محافظت در برابر باج افزار wannacry و wannacrypt

در این مطلب به نحوه محافظت در برابر wannacry و wannacrypt در شبکه های سازمانی و همچنین سیستم های تک کاربره می‌پردازیم.

راه های مختلفی امروزه در سراسر جهان برای مقابله از نفوذ این Ransomware گفته شده که در ادامه به توضیح هر یک از آنها می پردازیم.

دقت داشته باشید مراحل زیر به صورت کلی ذکر شده و در صورتی که به دلایل امنیتی نمی‌توانید آنها را اجرا کنید باید از راه حل‌های جایگزین استفاده نمایید.

محافظت در برابر wannacry و wannacrypt

1- بروز نگه داشتن ویندوز

اگر از ویندوزهایی استفاده می‌کنید که مایکروسافت در حال حاضر آن را پشتیبانی می‌کند ؛ بهترین راه حل برای جلوگیری از ورود این باج افزار و یا هر بدافزار دیگری بروزرسانی مداوم ویندوز است. مایکروسافت همواره با پیدا کردن حفره های امنیتی سریعا بسته های امنیتی را منتشر خواهد کرد.

2- نصب بسته امنیتی اضطراری برای ویندوز قدیمی

مایکروسافت طبق اعلان خود دیگر از ویندوز های XP ، سرور 2003 ، سرور 2008 ، ویستا و هم خانواده آنان پشتیبانی نکرده و هیچگونه آپدیتی جهت بهبود کارایی یا بر طرف کردن مسائل امنیتی ارائه نمی دهد ، ولی در مورد این بدافزار بسته های امنیتی را ارائه کرده که شما باید به صورت دستی آنها را دانلود و نصب نمایید.

برای دانلود این بسته ها می‌توانید به لینک روبه‌رو مراجعه کنید. ( دانلود بسته امنیتی مقابله با wannacry و wannacrypt )

3- فایروال خود را تنظیم کنید.

این باج افزار از پروتکل SMB برای ورود استفاده کرده پس می‌توانید با تنظیم فایروال خود از ورود آن جلوگیری کنید.

برای تنظیم فایروال خود مراحل زیر را به ترتیب طی کنید.

– فایروال سیستم را به طور کامل فعال کنید.

– یک رول Inbound تعریف کرده و در آن پورت‌های 137 ، 139 و 445 از نوع TCP را بلاک کنید.

– یک رول Inbound دیگر تعریف کرده و در آن پورت‌های 137 ، 138 از نوع UDP را بلاک کنید.

در صورت نیاز به یادگیری کار با فایروال به آموزش اضافه کردن رول در فایروال ویندوز مراجعه نمایید.

4- غیرفعال کردن SMB

یکی از راه های محافظت در برابر wannacry و wannacrypt غیرفعال کردن پروتکل SMB است ؛ مایکروسافت در ویندوز خود از 3 پروتکل SMBv1 ، SMBv2 و SMBv3 استفاده می کند.

برای غیر فعال سازی این پروتکل‌ها از دستورات زیر در پاور شل استفاده نمایید.

غیرفعالسازی SMB در ویندوز 8 ، 10 ، سرور 2016 و سرور 2012

– ابتدا پاورشل را با دسترسی Administrator باز کنید.

– دستور زیر را جهت غیرفعال کردن SMBv1 وارد کنید.

Set-SmbServerConfiguration -EnableSMB1Protocol $false

سپس پس از وارد کردن حرف Y را به نشانه تأیید وارد نمایید.

– دستور زیر را جهت غیرفعال کردن SMBv2 و SMBv3 وارد کنید.

Set-SmbServerConfiguration -EnableSMB2Protocol $false

نکته : در صورت بروز مشکل در SMB و سیستم File sharing در شبکه با دستورات زیر می‌توانید به حالت قبل باز گردید.

Set-SmbServerConfiguration -EnableSMB1Protocol $true
Set-SmbServerConfiguration -EnableSMB2Protocol $true

غیرفعالسازی SMB در ویندوز 7 ، ویستا ، سرور 2008 و سرور 2008R2

– پاورشل را با دسترسی Administrator باز کنید.

– دستور زیر را جهت غیرفعال سازی SMBv1 وارد نمایید.

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

– سپس دستور زیر را جهت غیرفعال کردن SMBv2 و SMBv3 وارد کنید.

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

بدین ترتیب شما پروتکل SMB Server را غیر فعال کرده و راه نفوذ را می بندید.

نکته : در نظر داشته باشید با وارد کردن کدهای بالا ممکن است در سیستم File Sharing دچار اختلال گردید. در صورت اختلال کدهای زیر را وارد کرده تا به حالت قبل باز گردید.

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force

5- بروز نگه داشتن آنتی ویروس

در صورتی که بر روی شبکه و یا سیستم شخصی خود آنتی ویروس دارای لایسنس دارید آن را بروز نگه داشته تا آخرین اطلاعات امنیتی را جهت جلوگیری از واناکرای و واناکریپت دریافت کند.

6- تهیه نسخه پشتیبان

مثل همیشه پیشنهاد می‌کنیم از اطلاعات سازمان و یا شخصی خود نسخه پشتیبان تهیه کرده و آن را در یک فضای خارجی مانند هارد اکسترنال و یا سرور اختصاصی کپی کنید.

7- در مقابل حملات فیشینگ بهوش باشید.

همانطور که می دانید حملات فیشینگ به حملاتی گفته می شود که هکر یک وب سایت همانند وب سایت مورد نظر شما آماده کرده و هنگامی که شما در نظر دارید وارد سایت اصلی شوید ، سایت تقلبی برای شما باز می شود.

برا جلوگیری از این امر از آنتی ویروس‌های وب سرویس استفاده کرده و یا به آدرس سایت مرجع دقت کنید که همراه با https و دقیقا همان آدرس تایپ شده باشد.

امیدواریم از مطلب محافظت در برابر wannacry و wannacrypt استفاده لازم را برده باشید.

در صورتی که به این باج افزار آلوده شده‌اید ، می توانید با استفاده از مراحل مطلب حذف باج افزار wannacry به راحتی آن را پاک کنید.

نویسنده : آبتین حیدرآبادیان

امین صیامی

کارشناس ارتباطات و فناوری اطلاعات - گرایش ارتباطات سیار