فيروس الفدية WannaCry وكيف تنقذ مؤسستك منه قبل فوات الأوان.

 

السلام عليكم إخواني الكرام,

انتشر وبشدة فيروس WannaCry منذ البارحه كالنار في الهشيم وأصاب اكثر من 40000 الف جهاز كمبيوتر في حوالي 74 دولة حول العالم ما بين مؤسسات حكومية و ما يقرب من 16 مستشفي في إنجلترا ومن المؤسف تعليق أحد الدكاترة بأحد المستشفيات التي اصيبت انظمتها بهذا الفيروس علي موقع الجارديان قائلا بأن جميع العمليات توقفت في المستشفي منذ الواحده مساء وتم حذف جميع سجلات المرضي ونتائج الفحص وأن حياة أشخاص كثيرون علي المحك بسب هذه الكارثه وبالتأكيد سيكون هناك موتي جراء إنتشار هذا الفيروس!!!

مرورا بأكبر شركة اتصالات في إسبانيا وغيرها من الأهداف التي اصيبت بهذا الفيروس حتي ان وزارة الداخلية الروسية لم تسلم. لذا قررنا علي وجه السرعة كتابة مقال يتلخص في جزأين. ما اللذي نعرفه عن الفيروس وماذا يتوجب عليك فعله لتحمي مؤسستك او شركتك التي تعمل بها قبل فوات الأوان.

ما اللذي نعرفه عن الفيروس حتي الآن:

1- الفيروس مثله كمثل اي فيروس فديه أخر يقوم بتشفير ملفات جهازك ويطلب منك مبلغ 300 دولار حتي يمكنك استرجاع ملفاتك مره اخري

2- هذا الفيروس يقوم بالإنتشار من خلال رسائل تصيد Phishing EMails يتم ارسالها لملايين الإميلات بشكل عشوائي ويحتوي الإميل المرسل علي ملف مرفق عندما يتم فتحه يقوم بتنزل فيروس الفديةWannaCry

3- من الطرق التي يستخدمها الفيروس أيضا هي عملية الفحص العشوائي للعناوين IP Addresses فيقوم بانشاء ايبي عشوائي ومن ثم فحص اذا ما كان port 445 مفتوح علي هذا الايبي ام لا وهو البورت المستخدم بواسطة خدمة مشاركة الملفات SMB فاذا وجد ايبي مفتوح فيه هذا البورت يقوم بفحص جميع الايبيهات التي علي نفس الشبكه ويحاول استغلال ثغرة MS17-010 عليهم جميعا.

4- بعد ان يقوم الفيروس بالنزول علي جهاز الضحيه واصابته يقوم مباشرة بفحص كل الايبيهات الموجوده علي الشبكه باحثا عن اي جهاز يستخدم port 445 الخاص بخدمة مشاركة الملفات SMB Service

5- اذا وجد اي جهاز علي الشبكه يستخدم خدمة مشاركة الملفات فانه يقوم بإستغلال الثغرة الخطيرة التي تم الاعلان عنها عقب تسريبها من فريق الأمن القومي الأمريكي NSA بواسطة فريق ShadowBrokers والثغره معروفه باسم MS17-010 وهي ثغره تصيب كل أنظمة الوندوز وتمكن المخترق من إختراق اي جهاز تعمل عليه خدمة مشاركة الملفات SMB

6- ولان خدمة مشاركة الملفات منتشره في كل الشركات وحتي اغلب الشبكات الخاصه فبهذه الطريقه انتشر الفيروس كالنار في الهشيم في اكثر من اربعه وسبعين دوله حول العالم في وقت قياسي

7- من بين الدول المصابه بالفيروس هي ألمانيا, روسيا, إنجلترا, أسبانيا, أمريكا, الأرجنتين وغيرها من الدول العربية أيضا التي لم تسلم من ذلك الفيروس

8- وللاسف تم الإبلاغ عن انتشار موسع للفيروس داخل 16 مستشفي في إنجلترا وتعطل انظمة تلك المستشفيات بسبب أن الفيروس قام بتشفير سجلات المرضي ولا يمكنهم استقبال اي حالات جديدة 🙁

ما اللذي يتوجب عليك فعله:

١- قم فوراا بعمل تحديث لجميع أنظمة الوندوز داخل شركتك لتتأكد من ترقيع ثغرة MS17-010 والتي هي السبب الرئيسي في عملية الإختراق وانتشار الفيروس

اذا كان لاي سبب لديك مشكله في تحديث الوندوز فيمكنك استخدام تلك الأداه التي نشرتها شركة Symantec وتشغيلها بصلاحية administrator علي جهازك وسيقوم بعدها جهازك بإعادة التشغيل وتكون الثغره قد تم ترقيعها في جهازك

اما للشركات والبنوك وغيرها من المؤسسات فننصح بشده بعمل تحديث لجميع اجهزة وسرفرات الشركة مباشرة.

٢- تأكد من أن جميع أجهزة شركتك منصب عليها برنامج مضاد فيروسات وعليه جميع التحديثات لتضمن بأن بيانات هذا الفيروس file signatures موجوده في مضاد الفيروسات الخاص بك ليقوم بايقاف اي محاوله من الفيروس الدخول الي اجهزة الشركه

٣- اذا كان لدي شركتك اي سرفرات متصلة بالانترنت فتأكد من ان port 445 و port 139 لا يمكن الوصول اليهم من خارج شكبتك او من خلال الانترنت بصورة عامة

٤- المخترقين يقومون باستخدام الايبيهات التاليه للتحكم في الفيروس او في الاجهزه المخترقه لذا ننصح وبشدة أن تقوم بالبحث داخل ال SIEM Solution الخاص بشركتك عن اي سجلات logs لها علاقه بهذه الايبيهات واذا لم يكن لدي شركتك SIEM Solution فيمكنك البحث في السجلات الخاصه بال Proxy او DNS Logs
الخاصه بشركتك عن تلك الايبيهات للتأكد من ان أجهزة شركتك لم يصيبها هذا الفيروس

213.61.66.116
171.25.193.9
163.172.35.247
128.31.0.39
185.97.32.18
178.62.173.203
136.243.176.148
217.172.190.251
94.23.173.93
50.7.151.47
83.162.202.182
163.172.185.132
163.172.153.12
62.138.7.231
188.166.23.127
193.23.244.244
2.3.69.209
146.0.32.144
50.7.161.218
217.79.179.77
212.47.232.237
81.30.158.223
79.172.193.32
89.45.235.21
38.229.72.16
188.138.33.220

كما ننصح أيضا بإضافة هذه القائمة من الأيبيهات الي ال IPS الخاص بشركتك او وضعهم علي قائمة الحظر.

٥- قم بإرسال بريد إلكتروني لموظفين شركتك توضح لهم فيها أن لا يقوموا بفتح اي بريد الكتروني به مرفقات مطلقااا الا اذا كانوا متأكدين من مصدر الرساله وهو شخص موثوق مائه بالمائه.

٦- بالطبع يتوجب عليك نسخ ملفاتك المهمه بشكل دائم حتي تتفادي مثل هذا النوع من الفيروسات ويمكنك استرجاع ملفاتك في اي وقت.

٧- هذه القائمة تحتوي جميع الهاشات الخاصه بملفات الفيروس ويمكنك ايضا استعمالها للتأكد من سلامة انظمة واجهزة شركتك من هذا الفيروس كالبحث بها علي اي Endpoint monitoring solutions خاص بشركتك:
https://gist.github.com/Blevene/42bed05ecb51c1ca0edf846c0153974a

مراجع هامة يمكن قرآئتها:

http://blog.talosintelligence.com/2017/05/wannacry.html

https://www.hybrid-analysis.com/sample/ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa?environmentId=100

 

The worm that spreads WanaCrypt0r

نبذة عن الكاتب

خبير أمن معلومات مصري , متخصص في تجربة إختراق تطبيقات الويب و أمن الشبكات و متحدث في عدة مؤتمرات دولية عن أمن المعلومات , تم مكآفأته و إدراج اسمه عدة مرات على حائط الشكر بموقع Google , Ebay , Microsoft , Yandex وتم تكريمة من قبل Yahoo و Avira و Barracuda. يمكنكم التواصل مع الكاتب عبر حسابة علي تويتر @Zigoo0

التعليقات:

اترك تعليقاً | عدد التعليقات: (10)

  1. يقول يوسف الحومي:

    لدي سيرفر 2003 لم تعمل فيه الTool ولا يوجد تحديث من مايكروسوفت لسد هذه الثغرة, ما العمل؟

    • يقول ابراهيم حجازي:

      اهلا بك اخي، قامت ميكروسوفت بطرح ترقيع للثغره اليوم لسرفرات 2003 ووندوز xp كذلك

      • يقول يوسف الحومي:

        أخي إبراهيم, بحثت في مايكروسوفت تك نت عن الباتش ل2003 و XP ولم أجده.

        إذا كان لديك رابط للباتش أكون ممتن, شكرا لك.

  2. يقول lahcen loujdy:

    شكرا لكم أخي ابراهيم على هذا التوضيح
    ماهي أنظمة التشغيل المعرضة بكثرة لهذا الهجوم ؟
    تحياتي

  3. يقول Samirof:

    http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

    يوسف الحومي هنا تجد النرقيات كلها

  4. يقول زائر:

    .
    سعيد إنكم لا زلتم موجودين ، فقط هذا ما أردت قوله ^_^

  5. يقول عماد:

    السلام عليكم
    اخي ابراهيم انا اريد تحليل شامل حول العملية يعني بالتفصيل الممل

  6. يقول العريشي ابن جازان:

    وعليكم السلام ورحمة الله وبركاته،
    الاخ/ ابراهيم الحجازي
    الله يسعدك ويرحم والديك
    كتبت المختصر المفيد في وقت وجيز واستجابة سريعة لانتشار جرثومة وانا كراي

    تقبل فائق شكري لاهتمامك وحرصك
    أسأل الله أن ينفعك بعلمك وينفع بكـ

  7. يقول isaudi:

    الفترة الاخيره اصبحت الفيروسات بشكل كبير واصبحت الحروب حروب تقنية

أكتب تعليق