انتشار باج‌افزار WannaCry با استفاده از سازوکار «سوئیچ مرگ» متوقف شد

کمیته رکن چهارم – یک محقق امنیتی که خود را «قهرمان تصادفی» نام‌گذاری کرده، توانسته است با پیدا کردن یک «سوئیچ مرگ۱» باج‌افزاری که در چند روز اخیر خبرساز شده را از کار بیندازد. در دنیای دیجیتال و رایانه‌ها، از سازوکاری به نام «سوئیچ مرگ» در دستگاه‌ها و یا سرویس‌ها استفاده می‌شود تا در صورتی که شرایط اضطراری پیش آمد و متوقف کردن دستگاه به‌شیوه‌ی معمول ممکن نبود از این سوئیچ استفاده شود.

به گزارش کمیته رکن چهارم،این محقق توانست با همکاری یکی از محققان امنیتی پروف‌پوینت، به کد باج‌افزار WannaCry نفوذ کرده و در آن یک «سوئیچ مرگ» کشف کند. این سازوکار در کد بدافزار برای متوقف کردن اضطرای توسط نویسنده‌ هارکد شده است که درخواستی را برای این منظور به سمت یک دامنه با نام عجیب ارسال می‌کند. اگر این درخواست با موفقیت ارسال شود، عملکرد «سوئیچ مرگ» اجرا خواهد شد و بدافزار متوقف می‌شود.

تنها کاری که محققان در این زمینه انجام دادند، ثبت یک دامنه به این نام بود، کاری که مهاجم به خود زحمت ایجاد آن را نداده بود. محققان بر این باورند حتی پس از اینکه بدافزار توسط این سوئیچ اضطراری خاموش شد، انتشار آن متوقف نخواهد شد. مشکل اصلی در حال حاضر این است که مهاجمان از هر نقطه‌ای، می‌توانند با کد باج‌افزار بازی کرده و «سوئیچ مرگ» را حذف کنند و یا اینکه دامنه‌ای را که درخواست به سمت آن ارسال می‌شود، تغییر دهند.

تاکنون شرکت بیت‌دیفندر اعلام کرده ۱۸۰ هزار مورد آلودگی به این باج‌افزار را گزارش کرده است. بدون اینکه تعداد آلودگی‌ها را در نظر بگیریم، محققان دریافتند ۱۰۲ نفر باج‌ درخواستی به مبلغ ۳۰۰ دلار را در قالب بیت‌کوین پرداخت کرده‌اند و از این طریق مهاجمان ۲۷ هزار دلار به جیب زده‌اند. پیش از اینکه بدافزار متوقف شود، در ۱۰۴ کشور منتشر شده است که از جمله‌ی این کشورها می‌توان انگلستان، روسیه، اوکراین، چین، هند، ایتالیا، مصر و دیگر کشورها را نام برد. آمریکا به لطف کشف «سوئیچ مرگ» کمترین آلودگی را به این باج‌افزار داشته است.

باج‌افزار WannaCry چیست؟

بدافزار WannaCry نمونه‌ای از باج‌افزارها است که از یک آسیب‌پذیری با شناسه‌ی MS۱۷-۰۱۰ بهره‌برداری می‌کند که بر روی بسیاری از نسخه‌های سامانه عامل ویندوز این آسیب‌پذیری وجود دارد. این آسیب‌پذیری زمانی به‌طور عمومی افشاء شد که یک گروه نفوذ با نام Shadow Brokers، ابزارهای نفوذ متعلق به آژانس امنیت ملی آمریکا را به‌طور برخط منتشر کردند. در بین این ابزارها، ابزار EternalBlue از این آسیب‌پذیری روز-صفرم در ویندوز بهره‌برداری می‌کرد.

باج‌افزار WannaCry یک بدافزار ترکیبی است که بار داده‌ی آن همچون یک باج‌افزار عمل کرده و در مرحله‌ی توزیع، رفتاری شبیه به یک کرم دارد. این ویژگی توزیع، باعث شده WannaCry خطرناک‌ترین باج‌افزاری باشد که تاکنون ظاهر شده است. برای اینکه خود را از این حملات در امان نگه دارید، چندین راه‌حل وجود دارد. یکی از این راه‌حل‌ها این است که از نسخه‌های به‌روزرسانی‌شده‌ی ویندوز استفاده کنید. در حال حاضر شرکت مایکروسافت برای برطرف کردن این آسیب‌پذیری وصله‌هایی را منتشر کرده ولی به نظر می‌رسد کسی به این وصله‌ها توجه نکرده و به‌روزرسانی‌ها را انجام نداده است.

شرکت مایکروسافت در حالی‌که اعلام کرده بود دیگر برای سامانه عامل ویندوز اکس‌پی به‌روزرسانی امنیتی منتشر نمی‌کند ولی اینک مجبور شده وصله‌هایی را برای این منظور ارائه کند. کاربران ویندوز اکس‌پی، ویندوز ۸ و کارگزار ویندوز ۲۰۰۳ می‌توانند این وصله‌ها را از کاتالوگ به‌روزرسانی‌های مایکروسافت بارگیری و نصب کنند. یکی دیگر از راه‌حل‌ها نیز این است که از یک نرم‌افزار امنیتی استفاده کنید تا در صورت وقوع حمله از دستگاه شما حفاظت کرده و به شما هشدار دهد. به احتمال زیاد به کتابخانه‌ی نرم‌افزارهای امنیتی، باج‌افزار WannaCry اضافه شده و می‌توانند آن را به‌درستی شناسایی و تشخیص دهند.

منبع: