1- الفيروس مثله كمثل اي فيروس فديه أخر يقوم بتشفير ملفات جهازك ويطلب منك مبلغ 300 دولار حتى يمكنك استرجاع ملفاتك مره اخرى
2- هذا الفيروس يقوم بالإنتشار من خلال رسائل تصيد Phishing EMails يتم ارسالها لملايين الإميلات بشكل عشوائي ويحتوي الإميل المرسل علي ملف مرفق عندما يتم فتحه يقوم بتنزل فيروس الفديةWannaCry
3- من الطرق التي يستخدمها الفيروس أيضا هي عملية الفحص العشوائي للعناوين IP Addresses فيقوم بانشاء ايبي عشوائي ومن ثم فحص اذا ما كان port 445 مفتوح علي هذا الايبي ام لا وهو البورت المستخدم بواسطة خدمة مشاركة الملفات SMB فإذا وجد ايبي مفتوح فيه هذا البورت يقوم بفحص جميع الايبيهات التي علي نفس الشبكه ويحاول استغلال ثغرة MS17-010 عليهم جميعا.
2- هذا الفيروس يقوم بالإنتشار من خلال رسائل تصيد Phishing EMails يتم ارسالها لملايين الإميلات بشكل عشوائي ويحتوي الإميل المرسل علي ملف مرفق عندما يتم فتحه يقوم بتنزل فيروس الفديةWannaCry
3- من الطرق التي يستخدمها الفيروس أيضا هي عملية الفحص العشوائي للعناوين IP Addresses فيقوم بانشاء ايبي عشوائي ومن ثم فحص اذا ما كان port 445 مفتوح علي هذا الايبي ام لا وهو البورت المستخدم بواسطة خدمة مشاركة الملفات SMB فإذا وجد ايبي مفتوح فيه هذا البورت يقوم بفحص جميع الايبيهات التي علي نفس الشبكه ويحاول استغلال ثغرة MS17-010 عليهم جميعا.
4- بعد ان يقوم الفيروس بالنزول علي جهاز الضحية واصابته يقوم مباشرة بفحص كل الايبيهات الموجوده علي الشبكه باحثا عن اي جهاز يستخدم port 445 الخاص بخدمة مشاركة الملفات SMB Service
5- اذا وجد اي جهاز علي الشبكه يستخدم خدمة مشاركة الملفات فانه يقوم بإستغلال الثغرة التي تم الاعلان عنها عقب تسريبها من فريق الأمن القومي الأمريكي NSA بواسطة فريق ShadowBrokers والثغره معروفه باسم MS17-010 وهي ثغره تصيب كل أنظمة الويندوز وتمكن المخترق من إختراق اي جهاز تعمل عليه خدمة مشاركة الملفات SMB
6- لأن خدمة مشاركة الملفات منتشره في كل الشركات وحتى اغلب الشبكات الخاصة فبهذه الطريقه انتشر الفيروس بسرعة وفي اكثر من اربعه وسبعين دوله حول العالم في وقت قياسي
7- من بين الدول المصابه بالفيروس هي ألمانيا, روسيا, إنجلترا, أسبانيا, أمريكا, الأرجنتين وغيرها من الدول العربية أيضا
8- تم الإبلاغ عن انتشار موسع للفيروس داخل 16 مستشفى في إنجلترا وتعطل انظمة تلك المستشفيات بسبب أن الفيروس قام بتشفير سجلات المرضى ولا يمكنهم استقبال اي حالات جديدة
5- اذا وجد اي جهاز علي الشبكه يستخدم خدمة مشاركة الملفات فانه يقوم بإستغلال الثغرة التي تم الاعلان عنها عقب تسريبها من فريق الأمن القومي الأمريكي NSA بواسطة فريق ShadowBrokers والثغره معروفه باسم MS17-010 وهي ثغره تصيب كل أنظمة الويندوز وتمكن المخترق من إختراق اي جهاز تعمل عليه خدمة مشاركة الملفات SMB
6- لأن خدمة مشاركة الملفات منتشره في كل الشركات وحتى اغلب الشبكات الخاصة فبهذه الطريقه انتشر الفيروس بسرعة وفي اكثر من اربعه وسبعين دوله حول العالم في وقت قياسي
7- من بين الدول المصابه بالفيروس هي ألمانيا, روسيا, إنجلترا, أسبانيا, أمريكا, الأرجنتين وغيرها من الدول العربية أيضا
8- تم الإبلاغ عن انتشار موسع للفيروس داخل 16 مستشفى في إنجلترا وتعطل انظمة تلك المستشفيات بسبب أن الفيروس قام بتشفير سجلات المرضى ولا يمكنهم استقبال اي حالات جديدة
ما اللذي يتوجب عليك فعله:
١- قم فوراا بعمل تحديث لجميع أنظمة الوندوز داخل شركتك لتتأكد من ترقيع ثغرة MS17-010 والتي هي السبب الرئيسي في عملية الإختراق وانتشار الفيروس
اذا كان لأي سبب لديك مشكله في تحديث الويندوز فيمكنك استخدام تلك الأداه التي نشرتها شركة Symantec وتشغيلها بصلاحية administrator علي جهازك وسيقوم بعدها جهازك بإعادة التشغيل وتكون الثغره قد تم اغلاقها في جهازك
اما للشركات والبنوك وغيرها من المؤسسات فأنصح بشده بعمل تحديث لجميع اجهزة وسرفرات الشركة مباشرة.
٢- تأكد من أن جميع أجهزة شركتك منصب عليها برنامج مضاد فيروسات وعليه جميع التحديثات لتضمن بأن بيانات هذا الفيروس file signatures موجوده في مضاد الفيروسات الخاص بك ليقوم بايقاف اي محاوله من الفيروس الدخول الي اجهزة الشركه
٣- اذا كان لدي شركتك اي سرفرات متصلة بالانترنت فتأكد من ان port 445 و port 139 لا يمكن الوصول اليهم من خارج شكبتك او من خلال الانترنت بصورة عامة
٤- المخترقين يقومون باستخدام الايبيهات التاليه للتحكم في الفيروس او في الاجهزه المخترقه لذا ننصح وبشدة أن تقوم بالبحث داخل ال SIEM Solution الخاص بشركتك عن اي سجلات logs لها علاقه بهذه الايبيهات واذا لم يكن لدي شركتك SIEM Solution فيمكنك البحث في السجلات الخاصه بال Proxy او DNS Logs
الخاصه بشركتك عن تلك الايبيهات للتأكد من ان أجهزة شركتك لم يصيبها هذا الفيروس
الخاصه بشركتك عن تلك الايبيهات للتأكد من ان أجهزة شركتك لم يصيبها هذا الفيروس
213.61.66.116
171.25.193.9
163.172.35.247
128.31.0.39
185.97.32.18
178.62.173.203
136.243.176.148
217.172.190.251
94.23.173.93
50.7.151.47
83.162.202.182
163.172.185.132
163.172.153.12
62.138.7.231
188.166.23.127
193.23.244.244
2.3.69.209
146.0.32.144
50.7.161.218
217.79.179.77
212.47.232.237
81.30.158.223
79.172.193.32
89.45.235.21
38.229.72.16
188.138.33.220
كما ننصح أيضا بإضافة هذه القائمة من الأيبيهات الي ال IPS الخاص بشركتك او وضعهم علي قائمة الحظر.
٥- قم بإرسال بريد إلكتروني لموظفين شركتك توضح لهم فيها أن لا يقوموا بفتح اي بريد الكتروني به مرفقات مطلقااا الا اذا كانوا متأكدين من مصدر الرساله وهو شخص موثوق مائه بالمائه.
٦- بالطبع يتوجب عليك نسخ ملفاتك المهمه بشكل دائم حتى تتفادى مثل هذا النوع من الفيروسات ويمكنك استرجاع ملفاتك في اي وقت.
٧- هذه القائمة تحتوي جميع الهاشات الخاصه بملفات الفيروس ويمكنك ايضا استعمالها للتأكد من سلامة انظمة واجهزة شركتك من هذا الفيروس كالبحث بها علي اي Endpoint monitoring solutions خاص بشركتك:
تعليقات
إرسال تعليق