WannaCry Ransomware چیست؟
WannaCry یک باج افزار است که می تواند به سرعت از طریق تعدادی از شبکه های کامپیوتری آلوده و منتشر شود.
WannaCry از چندین مؤلفه تشکیل شده است و به رایانه مورد نظر به شکل آنچه به عنوان داپلر شناخته می شود، نفوذ می کند، که یک برنامه مستقل است که سایر مؤلفه های برنامه تعبیه شده در باج افزار را استخراج می کند. این مؤلفه ها شامل برنامه ای است که داده ها را رمزگذاری و رمزگشایی می کند، فایل های حاوی کلیدهای رمزگذاری و یک کپی از TOR.
کد برنامه مبهم نیست و تحلیل آن برای متخصصان امنیتی نسبتاً آسان است. پس از راه اندازی، باج افزار سعی می کند به یک URL رمزگذاری شده به نام سوئیچ kill دسترسی پیدا کند و اگر نتواند این کار را انجام دهد، به جستجو و رمزگذاری فایل ها در فرمت های خاص، مانند فایل های Microsoft Office یا فایل های MP3 می پردازد. این رمزگذاری باعث می شود که فایل ها برای کاربر کامپیوتر غیر قابل دسترس باشد. سپس باجافزار یک اخطار باج را نمایش میدهد و مقدار مشخصی ارز، معمولاً بیتکوین (BTC) را برای رمزگشایی و در نتیجه بازیابی فایلها درخواست میکند.
وقتی نوبت به ویندوز می رسد، آسیب پذیری که WannaCry از آن سوء استفاده می کند شامل اجرای پروتکل Windows Message Block (SMB) است. پروتکل SMB به گرههای مختلف در شبکه اجازه میدهد تا با هم ارتباط برقرار کنند و پیادهسازی مایکروسافت میتواند از طریق بستههای ساختهشده خاص، برای اجرای کد دلخواه فریب بخورد.
WannaCry را میتوان به عنوان نمونهای بارز از اینکه باجافزار رمزنگاری میتواند ظاهری داشته باشد و چگونه میتوان از آن برای اخاذی استفاده کرد، در نظر گرفت. این کار را با رمزگذاری فایلهای بالقوه ارزشمند انجام میدهد و حتی میتواند کاربر را کاملاً از رایانهاش قفل کند. هر باج افزاری که از رمزگذاری استفاده می کند، باج افزار رمزنگاری نامیده می شود. نوعی که به طور خاص کاربران را از رایانه قفل می کند، باج افزار قفلی نامیده می شود.