این بدافزار ابتدا از طریق ضمیمه ایمیل به سیستم های کامپیوتری دسترسی پیدا می کند و سپس به سرعت می تواند در شبکه LAN پخش شود. این باج افزار می تواند هارد دیسک سیستم را رمزگذاری کند و از طریق آسیب پذیری SMB می تواند به کامپیوتر های دیگر از طریق پورت TCP نفوذ کند.


- باج افزار wannacrypt که با نام های wannacry و wanacryptor و wcrypt نیز معرف است، سیستم عامل های windows را مورد هدف قرار می دهد. در روز 12 ماه می 2017 این باج افزار در یک حمله سایبری بسیار عظیم استفاده شد که بیش از 230000 سیستم pc را در 150 کشور آلوده کرده است.
این باج افزار ابتدا سرویس سلامتی انگلستان را مورد هجوم قرار داد و سپس اسپانیا و به همین ترتیب سیستم های 150 کشور دنیا را آلوده کرد. این باج افزار سیستم های بیمارستانی انگلستان را آلوده و رمزگذاری نمود به طوری که کارمندان مجبور شدند برای مدتی از کاغذ و قلم برای انجام امور استفاده کنند.

چگونه این باج افزار به سیستم ها نفوذ می کند؟

این بدافزار ابتدا از طریق ضمیمه ایمیل به سیستم های کامپیوتری دسترسی پیدا می کند و سپس به سرعت می تواند در شبکه LAN پخش شود. این باج افزار می تواند هارد دیسک سیستم را رمزگذاری کند و از طریق آسیب پذیری SMB می تواند به کامپیوتر های دیگر از طریق پورت TCP نفوذ کند.

چه کسی این بد افزار را ایجاد کرده است؟

آمار دقیق و قابل استنادی از اینکه چه کسی این باج افزار را ایجاد کرده است، وجود ندارد اما این باج افزار قبلا در ماه فوریه کشف شد که در آن هنگام 0.1 بیت کوین برای رمز گشایی درخواست می کرد. اما اخیرا گروهی به نام Shadows brokers مسئولیت آن را پذیرفته اند.
این باج افزار به واسطه یک آسیب پذیری در اجرای server message block(SMB) در سیستم ویندوز پخش می شود. این فرصت به وجود آمده External blue نام گرفته که بر طبق گزارش ها، توسط گروه Shadows broker به سرقت رفته و مورد سوء استفاده قرار گرفته است. این external blue یک سلاح هک کردن است که توسط NSA برای دسترسی و کنترل کامپیوترهایی که مربوط به شرکت Microsoft windows است، طراحی شده و برای استفاده سرویس نظامی هوشمند آمریکا طراحی شده بود تا بتوانند به کامپیوترهایی که مورد استفاده تروریست ها است، دسترسی داشته باشند.

طریقه کار wannacrypt

از طریق مهندسی اجتماعی ایمیل های طراحی شده برای تحریک کاربران به نصب و راه اندازی بدافزار و فعالسازی کرم منتشر کننده ارسال می شود و این بدافزارها از طریق یک فایل word آلوده که همراه ایمیل ارسال می شود، به کامپیوتر نفوذ می کند. این ایمیل ها حاوی پیشنهاد یک کار یا یک همکاری یا فاکتور، یا دیگر اسناد تحریک کننده است که کاربر ترغیب شود آن را باز کند.
به محض شوع فعالیت باج افزار، کامپیوتر از کار می افتد و پس زمینه دسکتاپ به شکل زیر تغییر می کند که حاوی یک پیام است:

 


این باج افزار برای رمزگشایی و فعالیت مجدد سیستم فرد قربانی، 300 دلار بیت کوین درخواست می کند . پسوند فایل هایی که توسط این باج افزار آلوده شده است به صورت زیر می باشد.

WannaCrypt searches the whole computer for any file with any of the following file name extensions: .123, .jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .key , .sldm , .3g2 , .lay , .sldm , .3gp , .lay6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .sql , .ARC , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .mid , .stc , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .backup , .mp3 , .suo , .bak , .mp4 , .svg , .bat , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .msg , .sxd , .bz2 , .myd , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .class , .odb , .tar , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .csr , .onetoc2 , .txt , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der” , .ott , .vcd , .dif , .p12 , .vdi , .dip , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .dot , .php , .wav , .dotm , .pl , .wb2 , .dotx , .png , .wk1 , .dwg , .pot , .wks , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .jar , .rar , .zip , .java , .raw



منبع : ایران هشدار