اقدامات لازم جهت جلوگیری از آلودگی به WannaCry (برای مدیران شبکه سازمان‌ها)


بروزرسانی ۱۳۹۶/۲/۲۴: میکروسافت برای ویندوز XP، ویندور2003 و ویندوز 8 نیز وصله امنیتی را منتشر کرد. جهت دریافت این وصله‌ها می‌توانید به این لینک مراجعه کنید.

همانطور که می­‌دانید باج‌گیر WannaCry به علت استفاده از روش مخفی و لو رفته NSA جهت انتشار و آلوده کردن سیستم­‌ها بسیار خطرناک است و تنها ظرف ۲۴ساعت بیش از ۷۰ هزار کامپیوتر را در ۹۹کشور جهان آلوده کرده است که سازمان­‌های مطرحی مانند FedEx آمریکا، NHS انگلستان و ... وجود دارند. تمام سازمان­‌های امنیت رایانه و خبرگزاری‌­های مرتبط درباره این باج‌­افزار هشدارها و اطلاعیه­‌هایی منتشر کرده‌­اند.

این باج‌گیر از یک حفره بسیار خطرناک در سیستم اشتراک فایل ویندوز استفاده کرده، و تنها اگر File Sharing یک سیستم باز باشد قادر به آلوده کردن آن است. حفره مزبور در تمامی نسخ ویندوز از XP تا ده و از سرور 2003 تا سرور 2016 وجود دارد. البته دو ماه پیش میکروسافت وصله‌­ای برای این حفره منتشر کرده است اما اغلب سیستم­‌ها هنوز این وصله‌­ها را نصب نکرده و آسیب‌­پذیر هستند.

در ایران نیز به علت استفاده از ویندوزهای XP و 2003 که دیگر آپدیتی برای آن‌ها منتشر نمی‌­شود و نیز غیرفعال کردن آپدیت ویندوز بخصوص در سازمان‌ها، خطر این بدافزار بسیار جدی است. به علاوه آنکه این باج‌گیر نیز مانند اغلب باج‌گیرها دارای علاجی نبوده و اگر سیستم به آن آلوده شود راهی برای برگرداندن اطلاعات وجود نخواهد داشت.

تیم امنیتی پادویش پیش از این، دستوارالعمل مقابله با باج­‌افزار WannaCry را تحت عنوان «در مقابله با WannaCry گریه نکنیم» منتشر کرد که جهت کاربران عمومی نوشته شده بود.

در اینجا قصد داریم نکات تکمیلی را برای مدیران شبکه سازمان­‌ها ذکر کنیم:

 ۱- از داده های خود پشتیبان تهیه کنید.

سرتیتر همه خبرها در مورد باج‌گیرها همین یک جمله است. همه می­‌دانیم که اگر مدیر شبکه یک سازمان از اطلاعات خود بکاپ مناسب و بروز نداشته باشد، چه خطر بزرگی در کمین اوست. با این همه گاهی به علت نبود سخت­‌افزار یا امکانات مناسب از داده‌­ها پشتیبان تهیه نمی‌­شود.

این فرصت خوبی است که به مدیران بالایی دوباره گوشزد کنیم که چقدر تهیه امکانات پشتیبان‌گیری مناسب و راه‌­اندازی آن مهم است.

۲- سیستم عامل­‌های شبکه خود را بروز کنید.

بدافزار WannaCry حتی آخرین نسخه ویندوز را نیز آلوده می­‌کند؛ مگر اینکه آن را آپدیت کرده باشید. بنابراین بسیار مهم است که از آپدیت بودن سیستم‌­های شبکه اطمینان حاصل کنید.

توصیه می‌شود، همه آپدیت­‌ها را نصب کنید، اما اگر قصد نصب همه آپدیت­‌ها را فعلا ندارید، حداقل آپدیت MS17-010 را نصب نمایید. دستورالعمل دریافت و اجرای این بروزرسانی روی سیستم‌­ها در انتهای این نوشته آمده است.

۳- از ابزار ضدباج گیر پادویش در کنار ضدویروس خود استفاده کنید.

هیچ ضدویروسی به تنهایی نمی‌­تواند جلوی باج‌گیرها را بگیرد، حتی اگر نمره یک جهانی باشد! حتما باید ابزار مکملی به نام ضدباج گیر داشته باشید.

ضدباجگیر پادویش کنار ضدویروس شما نصب می­‌شود، نیاز به آپدیت ندارد و حتی اگر شش ماه است ضدباج­گیر پادویش را بروز نکرده‌­اید، باز هم می­‌تواند با تشخیص رفتاری خود جلوی این بدافزار بدقلق را بگیرد. در واقع ضدباجگیر پادویش بدافزار WannaCry را قبل از اینکه این بدافزار حتی تولید شود، تشخیص می­داده است!

برای نصب ضدباجگیر پادویش در شبکه امکاناتی از قبیل نصب از راه دور یا نصب خودکار و یک کنسول مرکزی مدیریتی وجود دارد که عملیات یافتن سیستم­‌های بدون محافظت و نصب و تنظمیات در شبکه را آسان می­‌کند.

۴- از یک ضدویروس قوی و به روز جهت محافظت سیستم خود استفاده کنید.

اگرچه باج‌گیر WannaCry از بهترین ضدویروس­‌ها نیز عبور می­‌کند، اما بالاخره ضدویروس خوب ریسک آلودگی شما را کاهش می‌­دهد. بنابراین هرگز سیستم را بدون ضدویروس رها نکنید.

۵- در صورتیکه امکان آپدیت ندارید، اشتراک فایل ویندوز را غیرفعال کنید.

باجگیر WannaCry از مکانیزم Shared Folder ویندوز سیستم را آلوده می‌­کند. این مکانیزم برای دیدن و انتقال فایل درون شبکه به کار می‌­رود. بسیاری از سرورها در سازمان نیازی به فعال بودن این امکان ندارند، و هیچ کلاینتی نیز نیاز به این امکان ندارد. مکانیزم‌­های Active Directory میکروسافت فقط لازم دارند که اشتراک فایل روی سرور دامین فعال باشد.

به همین دلیل و بخصوص در مورد ویندوزهای قدیمی می­‌توانید با غیرفعال کردن این امکان ریسک خطر را کم کنید. البته این ویندوزها اینقدر مشکل دارند که بهتر است در اولین فرصت (یعنی همین دیروز) آنها را تعویض کنید!

۶- ویندوزهای قدیمی را کنار بگذارید.

اگر هنوز در شبکه شما ویندوز XP یا 2003 وجود دارد، دست بجنبانید!

این نسخه­‌ها منسوخ شده‌­اند و دیگر آپدیت نمی‌­شوند. حتی ضدباجگیر پادویش روی این سیستم‌­ها فاقد مکانیزم داده­بان است و فقط از طریق مکانیزم محافظت اطلاعات خود می‌تواند داده‌­های شما را حفظ کند. می‌دانید که یک لایه‌­ی محافظتی کم است و جهت اطمینان نیاز به چند لایه دارید. این ویندوزها در معرض خطر جدی هستند. باز هم اگر نیاز به اقناع مدیران بالادستی جهت تغییر سخت‌­افزار رایانه­‌های شبکه یا تهیه نرم‌­افزارهای به روز که با ویندوزهای جدید سازگار باشند دارید، این فرصت خوبی است که یکبار دیگر این موضوع مهم را به آن‌ها گوشزد کنید.

۷- فایروال خود را تست کنید.

اگر از مکانیزم Shared Folder استفاده نمی­‌کنید حداقل می­‌توانید آن را روی فایروال خود ببندید. برای این کار فرقی نمی­‌کند فایروال ویندوز را استفاده می‌کنید یا هر فایروال دیگری. دقت کنید که اگر رایانه‌­ای دارید که از طریق اینترنت قابل دسترسی است، حتما پورت­‌های مربوط به Shared Folder یعنی 445، 137، 138 و 139 باید از بیرون به سرورهای شما بسته باشند.

 

روش نصب آپدیت MS17-010

طبیعتا ما توصیه می‌­کنیم همواره همه وصله‌­های امنیتی را نصب کنید و بروز باشید. بهترین راه برای این کار این است که مکانیزم آپدیت خودکار ویندوز فعال باشد و کار کند. اما برای کاربرانی که ویندوزشان به اینترنت متصل نیست، یا به هر دلیلی آپدیت ویندوز را غیرفعال کرده‌­اند، روش زیر جهت نصب آپدیت و جلوگیری از آلودگی WannaCry توصیه می­‌شود:

۱- به صفحه MS17-010 در سایت میکروسافت مراجعه کنید.

۲- از جدول موجود در این صفحه، شماره نسخه ویندوز خود را با دقت انتخاب کنید.

مثلا اگر ویندوز ده دارید، بسته به 32 بیت یا 64 بیتی بودن سیستم و اینکه آپدیت 1511 یا 1607 هستید یا خیر باید بسته مناسب را انتخاب کنید. نسخه ویندوزتان را می‌توانید با زدن همزمان کلیدهای Win+R و اجرای برنامه msinfo32 ببینید.

اما اگر در مورد نسخه ویندوز خود شک دارید، می‌توانید چند آپدیت را دریافت کرده و امتحان کنید.

۳- بعد از پیدا کردن شماره نسخه ویندوز، روی آن کلیک کنید. (مثلا Windows 7 for 32-bit Systems Service Pack 1)

۴- در صفحه جدید یکباردیگر نام ویندوز خود را پیدا کنید و فایل مربوطه را دانلود کنید.

۵- سپس فایل را روی ویندوز خود نصب کرده و در صورت نیاز حتما سیستم را ریستارت کنید.

۶- توجه: آپدیتی برای ویندوزهای XP و 2003 وجود ندارد و این ویندوزها در معرض خطر هستند. تنها راه مقابله برای این ویندوزها بستن File Sharing ویندوز است که در ادامه می­آید.

 

روش بستن File Sharing ویندوز

در مورد کلاینت‌­ها و سرورهایی که نیازی به این سرویس ندارند، یا به علتی (مثلا منسوخ بودن ویندوز XP و 2003) امکان بروزرسانی وجود ندارد، با این روش می‌­توانید File Sharing را غیرفعال کنید. توجه کنید که این کار نباید روی این سیستم­‌ها انجام شود:

۱- سیستم­‌هایی که فایل به اشتراک می­‌گذارند؛

۲- سرورهای Domain Controller (اکتیو دایرکتوری) ؛

۳- هر سروری که از این مکانیزم استفاده می‌­کند (برخی ضدویروس­‌ها غیر از پادویش از این روش برای آپدیت استفاده می‌­کنند. یا برخی اتوماسیون­‌های اداری و مانند آن)؛

۴- یا سیستم‌­هایی که پرینتر خود را روی شبکه به اشتراک می­‌گذارند

اگر هیچ یک از این‌ها را استفاده نمی­‌کنید، می‌توانید File Sharing را به روش زیر غیرفعال کنید:

۱-  برای ویندوز XP: به کنترل پنل ویندوز رفته و گزینه Network Connection را انتخاب کنید.

۲-  برای ویندوزهای هفت به بعد: منوی استارت را باز کرده و دنبال گزینه View Network Connections بگردید و آن را باز کنید.

۳- در پنجره باز شده روی هر کارت شبکه فعال کلیک راست کرده و Properties را انتخاب کنید.

۴- در پنجره بعدی، گزینه File and Printer Sharing را غیرفعال کنید.

حواستان باشد که غیرفعال کردن یک گزینه موقتی است و باید سیستم خود را حتما بروز کنید.

 

در نهایت؛

توصیه اکید ما نصب ضدباج گیر پادویش روی سیستم است، چرا که نه تنها WannaCry را – حتی قبل از اینکه منتشر شود! – تشخیص داده و خنثی می ­کند؛ بلکه جلوی انواع دیگر باج گیرها را نیز خواهد گرفت. و البته تهیه یک پشتیبان خوب از داده­ ها نیز هرگز نباید فراموش شود.

 


شماره خبر : ۲۳۱

دیدگاه ها

ثبت دیدگاه