WannaCry Ransomware چیست؟

WannaCry یک باج افزار است که می تواند به سرعت از طریق تعدادی از شبکه های کامپیوتری آلوده و منتشر شود.

WannaCry از چندین مؤلفه تشکیل شده است و به رایانه مورد نظر به شکل آنچه به عنوان داپلر شناخته می شود، نفوذ می کند، که یک برنامه مستقل است که سایر مؤلفه های برنامه تعبیه شده در باج افزار را استخراج می کند. این مؤلفه ها شامل برنامه ای است که داده ها را رمزگذاری و رمزگشایی می کند، فایل های حاوی کلیدهای رمزگذاری و یک کپی از TOR.

کد برنامه مبهم نیست و تحلیل آن برای متخصصان امنیتی نسبتاً آسان است. پس از راه اندازی، باج افزار سعی می کند به یک URL رمزگذاری شده به نام سوئیچ kill دسترسی پیدا کند و اگر نتواند این کار را انجام دهد، به جستجو و رمزگذاری فایل ها در فرمت های خاص، مانند فایل های Microsoft Office یا فایل های MP3 می پردازد. این رمزگذاری باعث می شود که فایل ها برای کاربر کامپیوتر غیر قابل دسترس باشد. سپس باج‌افزار یک اخطار باج را نمایش می‌دهد و مقدار مشخصی ارز، معمولاً بیت‌کوین (BTC) را برای رمزگشایی و در نتیجه بازیابی فایل‌ها درخواست می‌کند.
وقتی نوبت به ویندوز می رسد، آسیب پذیری که WannaCry از آن سوء استفاده می کند شامل اجرای پروتکل Windows Message Block (SMB) است. پروتکل SMB به گره‌های مختلف در شبکه اجازه می‌دهد تا با هم ارتباط برقرار کنند و پیاده‌سازی مایکروسافت می‌تواند از طریق بسته‌های ساخته‌شده خاص، برای اجرای کد دلخواه فریب بخورد.

WannaCry را می‌توان به عنوان نمونه‌ای بارز از اینکه باج‌افزار رمزنگاری می‌تواند ظاهری داشته باشد و چگونه می‌توان از آن برای اخاذی استفاده کرد، در نظر گرفت. این کار را با رمزگذاری فایل‌های بالقوه ارزشمند انجام می‌دهد و حتی می‌تواند کاربر را کاملاً از رایانه‌اش قفل کند. هر باج افزاری که از رمزگذاری استفاده می کند، باج افزار رمزنگاری نامیده می شود. نوعی که به طور خاص کاربران را از رایانه قفل می کند، باج افزار قفلی نامیده می شود.

بازگشت به واژه نامه