محافظت در برابر wannacry و wannacrypt

۲۴اردیبهشت ۱۳۹۶
۶۱۷۴
محافظت در برابر wannacry و wannacrypt

در مقالات قبلی به توضیح باج افزار wannacry و wannacrypt پرداختیم و راه حل های جلوگیری و دانلود بسته‌های امنیتی را در آن ذکر کردیم. حال در این مطلب به نحوه محافظت در برابر wannacry و wannacrypt در شبکه های سازمانی و همچنین سیستم های تک کاربره می‌پردازیم.

راه های مختلفی امروزه در سراسر جهان برای مقابله از نفوذ این Ransomware گفته شده که در ادامه به توضیح هر یک از آنها می پردازیم.

دقت داشته باشید مراحل زیر به صورت کلی ذکر شده و در صورتی که به دلایل امنیتی نمی‌توانید آنها را اجرا کنید باید از راه حل‌های جایگزین استفاده نمایید.

محافظت در برابر wannacry و wannacrypt

1- بروز نگه داشتن ویندوز

اگر از ویندوزهایی استفاده می‌کنید که مایکروسافت در حال حاضر آن را پشتیبانی می‌کند ؛ بهترین راه حل برای جلوگیری از ورود این باج افزار و یا هر بدافزار دیگری بروزرسانی مداوم ویندوز است.

مایکروسافت همواره با پیدا کردن حفره های امنیتی سریعا بسته های امنیتی را منتشر خواهد کرد.

2- نصب بسته امنیتی اضطراری برای ویندوز قدیمی

مایکروسافت طبق اعلان خود دیگر از ویندوز های XP ، سرور 2003 ، سرور 2008 ، ویستا و هم خانواده آنان پشتیبانی نکرده و هیچگونه آپدیتی جهت بهبود کارایی یا بر طرف کردن مسائل امنیتی ارائه نمی دهد ، ولی در مورد این بدافزار بسته های امنیتی را ارائه کرده که شما باید به صورت دستی آنها را دانلود و نصب نمایید.

برای دانلود این بسته ها می‌توانید به لینک روبه‌رو مراجعه کنید. ( دانلود بسته امنیتی مقابله با wannacry و wannacrypt )

3- فایروال خود را تنظیم کنید.

این باج افزار از پروتکل SMB برای ورود استفاده کرده پس می‌توانید با تنظیم فایروال خود از ورود آن جلوگیری کنید.

برای تنظیم فایروال خود مراحل زیر را به ترتیب طی کنید.

– فایروال سیستم را به طور کامل فعال کنید.

– یک رول Inbound تعریف کرده و در آن پورت‌های 137 ، 139 و 445 از نوع TCP را بلاک کنید.

– یک رول Inbound دیگر تعریف کرده و در آن پورت‌های 137 ، 138 از نوع UDP را بلاک کنید.

در صورت نیاز به یادگیری کار با فایروال به آموزش اضافه کردن رول در فایروال ویندوز مراجعه نمایید.

4- غیرفعال کردن SMB

یکی از راه های محافظت در برابر wannacry و wannacrypt غیرفعال کردن پروتکل SMB است ؛ مایکروسافت در ویندوز خود از 3 پروتکل SMBv1 ، SMBv2 و SMBv3 استفاده می کند.

برای غیر فعال سازی این پروتکل‌ها از دستورات زیر در پاور شل استفاده نمایید.

غیرفعالسازی SMB در ویندوز 8 ، 10 ، سرور 2016 و سرور 2012

– ابتدا پاورشل را با دسترسی Administrator باز کنید.

– دستور زیر را جهت غیرفعال کردن SMBv1 وارد کنید.

سپس پس از وارد کردن حرف Y را به نشانه تأیید وارد نمایید.

– دستور زیر را جهت غیرفعال کردن SMBv2 و SMBv3 وارد کنید.

نکته : در صورت بروز مشکل در SMB و سیستم File sharing در شبکه با دستورات زیر می‌توانید به حالت قبل باز گردید.

غیرفعالسازی SMB در ویندوز 7 ، ویستا ، سرور 2008 و سرور 2008R2

– پاورشل را با دسترسی Administrator باز کنید.

– دستور زیر را جهت غیرفعال سازی SMBv1 وارد نمایید.

– سپس دستور زیر را جهت غیرفعال کردن SMBv2 و SMBv3 وارد کنید.

بدین ترتیب شما پروتکل SMB Server را غیر فعال کرده و راه نفوذ را می بندید.

نکته : در نظر داشته باشید با وارد کردن کدهای بالا ممکن است در سیستم File Sharing دچار اختلال گردید. در صورت اختلال کدهای زیر را وارد کرده تا به حالت قبل باز گردید.

5- بروز نگه داشتن آنتی ویروس

در صورتی که بر روی شبکه و یا سیستم شخصی خود آنتی ویروس دارای لایسنس دارید آن را بروز نگه داشته تا آخرین اطلاعات امنیتی را جهت جلوگیری از واناکرای و واناکریپت دریافت کند.

6- تهیه نسخه پشتیبان

مثل همیشه پیشنهاد می‌کنیم از اطلاعات سازمان و یا شخصی خود نسخه پشتیبان تهیه کرده و آن را در یک فضای خارجی مانند هارد اکسترنال و یا سرور اختصاصی کپی کنید.

7- در مقابل حملات فیشینگ بهوش باشید.

همانطور که می دانید حملات فیشینگ به حملاتی گفته می شود که هکر یک وب سایت همانند وب سایت مورد نظر شما آماده کرده و هنگامی که شما در نظر دارید وارد سایت اصلی شوید ، سایت تقلبی برای شما باز می شود.

برا جلوگیری از این امر از آنتی ویروس‌های وب سرویس استفاده کرده و یا به آدرس سایت مرجع دقت کنید که همراه با https و دقیقا همان آدرس تایپ شده باشد.

این 7 نکته برای امنیت شما توسط تیم امنیتی آذرآنلاین گردآوری شده است.

امیدواریم از مطلب محافظت در برابر wannacry و wannacrypt استفاده لازم را برده باشید.

در صورتی که به این باج افزار آلوده شده‌اید ، می توانید با استفاده از مراحل مطلب حذف باج افزار wannacry به راحتی آن را پاک کنید.

جدیدترین اخبار از وانا کرای ؛ شدو بروکرز توسعه دهنده wannacry : بزودی با قدرت با خواهیم گشت.

برای دریافت اخبار جدید از Wannacry و گروه Shadow Brokers به کانال ما به نشانی azaronline@ بپیوندید.

اشتراک گذاری

آبتین حیدرآبادیان

نظرات کاربران

حمید

۲۵ اردیبهشت ۱۳۹۶

یاشاسین اذر آنلاین

پاسخ دادن

نادر

۲۵ اردیبهشت ۱۳۹۶

بسیار عالی ممنون.
تو powershell دستورات رو وارد کردم اما چیزی که مشخص باشه که کد ها رو درست وارد کردم نیومد مثلا یه ok یه چیزی که تایید کنه.

پاسخ دادن

آبتین حیدرآبادیان

۲۵ اردیبهشت ۱۳۹۶

خواهش می کنم
پس از وارد کردن در صورت صحت اجرای کد هیچ پیغامی داده نمی شود و تنها به خط اعلان بعدی می رود.
دستورات اجرا شده اند.

پاسخ دادن

احمد

۲۵ اردیبهشت ۱۳۹۶

سلام خسته نباشید از کمکتون متشکرم

میخاستم بپرسم که الان که پروتکل SMB و پورت های 445 و… را بستیم و مسدود کردیم .مشکلی برای کامپیوتر و متصل شدن به اینترنت و … ایجاد نمیکند
و این که این تنظیمات برای همیشه باشد یا بعد مدتی دوباره به حالت اول برگردانیم

پاسخ دادن

آبتین حیدرآبادیان

۲۵ اردیبهشت ۱۳۹۶

سلامت باشید ممنون
برای اتصال و ارتباط با اینترنت مشکلی پیش نخواهد آمد.
پس از مدتی که بسته های امنیتی کامل مایکروسافت انتشار پیدا کند مطلبی مربوط به آن و نحوه بازگردانی SMB به حالت اول منتشر خواهیم کرد.

پاسخ دادن

محمدناصر ایزدی

۲۶ اردیبهشت ۱۳۹۶

سلام
بسیار عالی. خیلی کمکم کرد. ممنون. خدا خیرتون بده

پاسخ دادن

آبتین حیدرآبادیان

۲۶ اردیبهشت ۱۳۹۶

خواهش می کنم
موفق باشید

پاسخ دادن

مریم باسره

۲۶ اردیبهشت ۱۳۹۶

سلام
از مطالب بسیار مفید شما سپاسگزارم.

پاسخ دادن

آبتین حیدرآبادیان

۲۶ اردیبهشت ۱۳۹۶

سلام
خوشحالیم که مطالب ما برای حفظ امنیت سیستم شما مفید بوده است.

پاسخ دادن

نسی

۲۶ اردیبهشت ۱۳۹۶

واقعا عالی بود دستتون دردنکنه

پاسخ دادن

آبتین حیدرآبادیان

۲۶ اردیبهشت ۱۳۹۶

موفق باشید

پاسخ دادن

maryam

۲۸ اردیبهشت ۱۳۹۶

سلام ممنون از راهنمایی مفیدتون فقط من یه مشکل داشتم زمانی که کد غیرفعال سازی SMBv1 را تایپ میکنم پیام زیر را میدهد:
Windows PowerShell
Copyright (C) 2009 Microsoft Corporation. All rights reserved.

PS C:Usersadmin> Set-ItemProperty -Path “HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters” SMB1 -Type D
WORD -Value 0 -Force
Set-ItemProperty : Requested registry access is not allowed.
At line:1 char:17
+ Set-ItemProperty <<<< -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" SMB1 -Type DWORD -Valu
e 0 -Force
+ CategoryInfo : PermissionDenied: (HKEY_LOCAL_MACH…rverParameters:String) [Set-ItemProperty], Securit
yException
+ FullyQualifiedErrorId : System.Security.SecurityException,Microsoft.PowerShell.Commands.SetItemPropertyCommand
میشه لطفا راهنماییم بکنید برای رفع این خطا باید چی کار کنم؟

پاسخ دادن

آبتین حیدرآبادیان

۲۸ اردیبهشت ۱۳۹۶

باید برای اجرای این کد دسترسی Administrator داشته باشید
لطفا هنگام باز کردن پاورشل بر روی گزینه powershell کلیک راست کرده و Run as administrator را بزنید.

پاسخ دادن

حمید

۲ خرداد ۱۳۹۶

مرسی

پاسخ دادن

سارا

۴ خرداد ۱۳۹۶

با سلام ، من smb رو غیر فعال کردم ، اما دیگه دسترسی به شیر فولدرها ندارم ، هرچی هم دوباره شیر می کنم بازم نمایش نمیدهد، کد بازگردانی به حالت اول هم میزنم ، خطا میده؟

پاسخ دادن

آبتین حیدرآبادیان

۴ خرداد ۱۳۹۶

از دستورات فعالی سازی SMB در ادامه توضیح داده شده استفاده کنید. و همچنین پورت های بسته شده در firewall را باز کنید .

پاسخ دادن

میکائیل عزتی

۱۶ خرداد ۱۳۹۶

خیلی گلی

پاسخ دادن

ارسال نظر

نشانی ایمیل شما منتشر نخواهد شد.
تمام حقوق برای آذرآنلاین محفوظ می باشد.
enamad