یک بد افزار ساخت هکرهای دولتی کره شمالی که سیستم را از طریق آسیب پذیری EternalBlue با کد CVE-2017-0143 MS17-010 آلوده کرده و فایل ها رمزنگاری می کند (با پسوند های WCRY وWNCRY ) و درخواست ۳۰۰ دلار از طریق لینک پول رمزنگاری شده بیت کوین می کند، این باج‌ افزار به نام‌ های مختلفی همچون WannaCry ، Wana Decrypt۰r، WannaCryptor و WCRY منتشر شده است، دلیل نگارش این متن عدم توجه مراکز امنیت اطلاعات کشور هست.

کاربران عادی آلوده شده به باج‌افزار

+هیچ پولی پرداخت نکنید احتمال دریافت کد برای خارج کردن فایل ها از حالت رمزنگاری تقریبا صفر هست.
+سایت noransom.kaspersky.com و www.nomoreransom.org برای دریافت آخرین اخبار و احتمالا نرم افزاری برای خارج کردن فایل ها از حالت رمزنگاری بررسی کنید.
+از اطلاعات رمزنگاری شده پشتیبان تهیه کنید.
+از شبکه/اینترنت قطع شوید.
+از اتصال ابزارهای ذخیره سازی حاوی اطلاعات خودداری کنید.
+از دریافت/خرید نرم افزارهایی با ادعای مقابله/خارج کردن فایل ها از رمزنگاری خودداری کنید
+همگام سازی اطلاعات غیرفعال کنید
+تمام آنچه سایت های دولتی امنیت اطلاعات معرفی کرده اند، توضیحاتی در مورد پاک کردن این باج افزار از روی سیستم است که کمکی به بازگردانی اطلاعات نمی کند، این فایل در این آدرس قابل دریافت است.
آلوده نشده
+ویندوز آپدیت کنید و آپدیت غیرفعال نکنید.
+اگر کاربر ویندوز هستید و آنتی ویروس ندارید Windows Defender فعال کنید
+از اطلاعات پشتیبان تهیه کنید، ترجیحا دو پشتیبان یکی روی هارد درایو و درایو پرتابل و دیگری روی فصای ابری همچون google Drive
+تنظیم Show file extensions در ویندوز فعال کنید تا پسوند فایل ها ببینید و از بازکردن فایل های مانند ‘.exe’ ‘.vbs’ ‘.scr’خودداری کنید
+به ایمیل ارسالی اطمینان نکنید حتی اگر از جانب پلیس، مالیات، بیمه، بانک باشد
+در ویندوز smb v1 غیرفعال کنید (در اینجا راهنمای کاملی از سوی مایکروسافت برای همه ویندوزها موجود است)

نکات دیگر در مورد باج‌افزار

+مدیران شبکه از اطلاعات رمزنگاری شده کاربران پشتیبان تهیه کنید
+پچ های ارایه شده مایکروسافت از این آدرس دریافت و نصب کنید
+برای یافتن و جستجوی سیستم های دارای مشکل CVE-2017-0143 MS17-010 از اسکریپت ارایه شده برای Nmap در این آدرس استفاده کنید (توضیحات بیشتر در این آدرس)
+راهنمایی برای ویندوز XP البته ویندوز XP خذف کنید !
+فایل ها توسط کلید یکتایی با رمزنگاری AES-128-CBC رمزنگاری میشوند و هر ادعایی در مورد شکستن رمزنگاری بدون دسترسی به کلید بازگشایی ادعایی احمقانه است! (کلید عمومی با نام ۰۰۰۰۰۰۰۰.pky به وجود می آید)

توییت‌های مفیدی برای اطلاعات بیشتر

نمونه‌های باج‌افزار
https://twitter.com/the_ens/status/863055007842750465

C&Cهای روی Onion
https://twitter.com/the_ens/status/863069021398339584

EternalBlue تایید شده
https://twitter.com/kafeine/status/863049739583016960

دستورات روی شل
https://twitter.com/laurilove/status/863065599919915010

وضعیت/نقشه آلودگی
https://twitter.com/laurilove/status/863066699888824322

DLL هسته
https://twitter.com/laurilove/status/863072240123949059

آنالیز
https://twitter.com/PayloadSecurity/status/863024514933956608

استفاده از DoublePulsar
https://twitter.com/laurilove/status/863107992425779202

C&C
https://twitter.com/hackerfantastic/status/863105031167504385

آلودگی شرکت فدکس
https://twitter.com/jeancreed1/status/863089728253505539

مقابله
https://twitter.com/hackerfantastic/status/863070063536091137

هاست‌های C&C
https://twitter.com/hackerfantastic/status/863115568181850113

ردیابی بیت‌کوین‌ها !
https://twitter.com/bl4sty/status/863143484919828481

کلید در فرمت pem
https://twitter.com/e55db081d05f58a/status/863109716456747008

مشابهت‌ها با ویروس‌های دیگر
https://twitter.com/neelmehta/status/864164081116225536

بیانیه shadowbrokers☺
https://steemit.com/shadowbrokers/@theshadowbrokers/oh-lordy-comey-wanna-cry-edition

پسوندهای فایلی که توسط این باج‌افزار رمزنگاری می شوند

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

ساختار رمزنگاری

نمونه های فایل باج‌افزار برای بررسی محققین

(به هیچ عنوان روی سیستم اصلی این فایل ها اجرا نکنید)
hxxps://www.hybrid-analysis.com/sample/ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa?environmentId=100
hxxps://transfer.sh/PnDIl/CYBERed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.EXE
hxxps://transfer.sh/ZhnxR/CYBER1be0b96d502c268cb40da97a16952d89674a9329cb60bac81a96e01cf7356830.EXE (main dll)

آدرس های بیت‌کوین فعلی (درآمد باج‌افزار !)

https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

وضعیت ۲۴ ساعت آلودگی

https://intel.malwaretech.com/botnet/wcrypt/?t=24h&bid=all

نویسنده مهمان: حسین امینی محقق امنیت شبکه (اکانت توییتر)
نگارنده مشتاق شنیدن پرسش‌ها و نقطه‌نظرات احتمالی خوانندگان است تا ضمن پاسخ‌گویی در تکمیل این پست و نگارش پست احتمالی آینده مد نظر قرارگیرند. می‌توانید برای اطلاعات بیشتر با شناسه توییتری ایشان تماس بگیرید.

هفته گذشته توییت یکی از دوستان رو دیدم که از سواستفاده از تصاویر خصوصی زنان ایرانی در توییتر ناراحت بود. با نگاهی به اکانت گفته شده، متوجه شدم پیدا کردن فرد مسئول این سواستفاده نباید کار مشکلی باشه اما گستره سواستفاده بیشتر از یک اکانته.

اخطار: این نوشته شامل تصاویر محو شده است اما همین تصاویر هم ممکنه برای کسانی ناراحت‌کننده باشه.

بخش اول – وب سایت

همه توییت‌ها یک سایت سرویس «لوله بازکن» رو تبلیغ می‌کردند. بررسی دامنه‌ها (lolehbazkoni.ir و lolehbazkon.com) و سرور نشون داد که به احتمال زیاد کسی که دامنه رو ثبت کرده و سرور رو تهیه کرده در این سواستفاده دخالتی نداشته. قبل از نوشتن این متن، ایمیل فرستادم و بهش اطلاع دادم که ممکنه با این نوشته اسمی ازش برده بشه جایی. همین ابتدا باید بگم که من نشونه‌ای از همکاری آقای «ع.الف ن.» در این سواستفاده ندیدم.

در ادامه خواهیم دید که مدیر سایت، شخصا پشت‌پرده ساخت اکانت و توزیع تصاویر است.

بخش دوم – اکانت‌های مرتبط

در ابتدا با چک کردن ارتباط اکانت‌ها، تاریخچه توزیع تصاویر در توییتر و جستجوی نام‌های مشابه، تعداد دیگه‌ای از اکانت‌هایی که برای سواستفاده از تصاویر خصوصی زنان ایرانی ساخته شده بود رو پیدا کردم.

یکی از شیوه‌های معمول این سواستفاده‌گرها فالو کردن تعداد زیادی کاربره که اون‌ها رو ترغیب کنه با دیدن تصویر پروفایل و توییت‌های دیگه، فالوش کنند و به هدف نهایی که تبلیغ محصوله برسه. در تصویر زیر می‌بینید که از هر قشر و عقیده‌ای ممکنه فریب این روش رو بخورند و این اکانت مخرب رو فالو کنند.

نتیجه پیگیری‌های من در توییتر این ۱۴ اکانت مرتبط بود:

می‌بینیم که همه اکانت‌ها اشاره‌ای به «لوله بازکن» و نام خانوادگی «کرمی» دارند. در ابتدا حدس می‌زدم که شاید برای بدنام کردن کسی این اکانت‌ها ساخته شده که به این وضوح داره تبلیغ یک شرکت رو انجام می‌ده و اسم مدیرش رو استفاده می‌کنه.

باید بررسی رو بیشتر می‌کردم تا بتونم با اطمینان بیشتری این فرضیه رو رد یا تایید کنم.

برای این کار مجبور شدم ایمیلی که باهاش اکانت‌های توییتری ساخته شده بود رو پیدا کنم، با اکانت‌های احتمالی در فیسبوک، اینستاگرام و سایت‌های دیگه مقایسه کنم و صحتشون رو بسنجم.

اکانت‌های توییتری با این ایمیل‌ها ساخته شده:

با ایمیل mohammadkarami31@gmail.com اکانت توییتر karami75348779 ساخته شده بود و همچنین اکانت فیسبوک محمد کرمی (mohammad.karami.7545)

می‌تونیم بیینیم که محمد کرمی در اکانت فیسبوک، به برخی از اکانت‌های تویتری لینک داده:

شماره تلفن پشتیان این اکانت فیسبوک ۰۹۱۲۱۸۹۲۰۹۲ بود که با همین شماره تلفن اکانت فیسبوک منصور کرمی (mansor.karami.5) هم ساخته شده.

ایشون با اکانت منصور کرمی هم به برخی دیگه از اکانت‌های توییتر لینک داده:

همچنین اکانت فیسبوک دیگه‌ای به اسم «لوله بازکنی تخلیه چاه» که اون هم تصاویر خصوصی زنان رو منتشر می‌کنه، با همین شماره تلفن ساخته شده (lolehbazkonikarami).

اکانت‌های دیگه این فرد از این قراره:

گوگل پلاس (حسین کرمی): https://plus.google.com/115720787780817867955

آپارات: http://www.aparat.com/lolehbazkon

اینستاگرام: instagram.com/__09121892092

اینستاگرام: https://www.instagram.com/lolehbazkoni

اینستاگرام: https://www.instagram.com/lolehbazkon71/

لنزور: http://www.lenzor.com/lolehbazk

سایت اسک: https://ask.fm/alikarami

یوتیوب: https://www.youtube.com/channel/UCxlntGGAoTqycW7IuF9P2BQ

همچنین اکانت گوگل پلاسی به اسم «سارینا دوستی» داره اما به اشتباه در یکی از نوشته‌ها اسمش رو اعلام کرده:

در نوشته دیگه‌ای در سال ۲۰۱۴ هم ایمیلش رو نوشته:

لیست اکانت‌ها و وبلاگ‌های دیگه‌اش رو می‌تونید توی این تصویر ببیند:

دو مورد دیگه برای رد فرضیه «بدنام کردن» به مجموعه اطلاعات بالا اضافه شد.

۱. ایشون به اشتباه در اکانت فیسبوک «لوله بازکنی تخلیه چاه» فیلمی از خودش رو منتشر کرده که با چهره‌اش با تصاویرش در اکانت‌های دیگه هماهنگی داره. من ردی از این فیلم جای دیگه پیدا نکردم.

۲. شماره حساب‌های اعلام شده در سایت «لوله بازکنی» معتبر بوده و به اسم ایشون بود.

با توجه به همه اطلاعات گفته شده، فردی که اکانت‌های متعدد و وبلاگ‌های گوناگون ساخته و با انتشار تصاویر خصوصی زنان ایرانی، سعی در تبلیغ شرکتش رو داشته آقای بهمن کرمی است. ایشون با اسامی منصور، علی، محمد و حسین کرمی هم خودش رو معرفی می‌کنه.

اگر رفتارهای ایشون آسیب دیدید، می‌تونید با تشکیل پرونده ازش شکایت کنید.

همچنین همونطور که در نوشته‌های قبلی گفتم، در صورتی که آقای بهمن کرمی تمامی اکانت‌ها و وبلاگ‌هایی که جهت سواستفاده از تصاویر خصوصی زنان ایرانی ساخته رو ببنده، من هم این نوشته رو از دسترس خارج می‌کنم.