باج افزار واناکرای همچنان در سیستم های آلوده وجود دارد

باج افزار واناکرای همچنان در سیستم های آلوده وجود دارد

18 ماه پس از اولین پخش باج افزار WannaCry، آلودگی همچنان مشغول سرک کشیدن در میان هزاران سیستم آلوده میباشد.

 

وقتی آلودگی واناکرای برای اولین بار در شبکه های جهانی رها شد، محقق امنیتی مارکوس هاتچینز یک دامنه ای را ثبت کرد که همانند یک سوییچ اتمام (Kill Switch) برای اجزای آلوده ی باج افزار عمل میکرد. اگر آلودگی میتوانست به این سوییچ متصل گردد، اجزای باج افزار فعال نمیشدند. اگرچه آلودگی بی سر و صدا در پس زمینه اجرا میشد ولی با وجود این سوییچ مانع از وجود هرگونه اقدامی بر روی سیستم فرد میشد.

در یک پست در توییتر در جمعه ی گذشته توسط جیمی هاکینز، رییس بخش امنیت و تهدیدات پیشرفته موسسه Kryptos Logic ، اطلاعاتی مبنی بر میزان اتصال های آی پی های مختلف به این سوییچ وجود دارد. اگرچه این کیل سوییچ اکنون توسط Cloudflare پشتیبانی میشود تا دسترسی بالاتری را ارائه دهد و مانع حملات DDoS شود ولی وی اشاره کرد که دامنه کیل سوییچ بیش از 17 میلیون اتصال در عرض یک هفه را دریافت کرده است. این اتصالات از سوی بیش از 630 هزار آی پی خاص دریافت میشود که شامل 194 کشور در یک هفته میباشد.

در شکل پایین یک نمودار که بیشترین میزان کشور هایی که همچنان آلوده به واناکرای هستند را نشان میدهد. چین، اندونزی و ویتنام سه کشور برتر در این زمینه هستند. هاکینز به bleepingcomputer اعلام کرد که انگلستان تقریبا شامل 0.15 درصد این اتصالات به سوییچ میباشند. ایالات متحده چیزی حدود 1.35 درصد این اتصالات را تنها با آمار یک روز شامل میباشند. این اعداد از طریق DHCP میتوانند در بازه ی زمانی طولانی تر بسیار تکان دهنده باشند.
 

هاکینز نیز یک نمودار را پست کرده است که نشان دهنده میزان اتصال ها در عرض یک هفته میباشد. همانطور که انتظار میرفت، میزان اتصال ها در زمان آخرهفته بسیار کمتر میباشد نسبت به روز های عادی میباشد چرا که روز های عادی کارمندان بیشتری در سازمان ها از سیستم های خود استفاده میکنند.

این حقیقت که بسیاری از سیستم ها با این بد افزار آلوده هستند یک مشکل اساسی میباشد. راه چاره ی شما یک دسترسی اینترنت میباشد تا این سوییچ به دامین اتصال یابد تا دیگر باج افزار قابلیت فعال شدن در سیستم آلوده را نداشته باشد.

برای جلوگیری از بروز این اتفاق، هاکینز توصیه میکند که استفاده از سرویس TellTale میسر است تا آی پی های سیستم بررسی شوند که آلوده به باج افزار WannaCry نباشند.

سرویس TellTale چیست

در آوریل 2018، موسسه کریپتوس لاجیک یک سرویسی به نام TellTale را راه اندازی کرد که به سازمان ها اجازه میدهد که رنج های  آی پی خود را برای آلودگی های شناخته شده نظارت کنند. با استفاده از این سرویس، سازمان ها در میبابند که آیا سیستم هایشان با باج افزار واناکرای یا هرگونه تهدید شناخته شده ی دیگری آلوده شده است یا نه، بدین ترتیب یک سیستم نظارتی به کاربران کمک میکند.

با تعداد زیادی از این سازمان ها که همچنان با واناکرای آلوده هستند و احتمال وجود بد افزار های مخفی دیگر، سرویس TellTale یک ابزار کارآمد است که میتواند سازمان ها را در صورت آلودگی مطلع کند.

منبع: www.bleepingcomputer.com