برای محافظت از سیستم‌ها در برابر باج‌افزار Petwrap چه‌کار کنیم؟

 

مایکروسافت در به روزرسانی های امنیتی خود، آسیب پذیری هایی را که ابزارهای EternalBlue و EternalRomance از آن در حمله ی Petwrap بهره برداری می کنند، وصله کرده است. مایکروسافت هر دوی این آسیب پذیری ها را در تاریخ ۱۴ مارس در به روزرسانی های شناسه ی MS17-010 وصله کرده است.

 

انتشار این به روزرسانی ها تقریباً به ۳ ماه قبل برمی گردد. به‌عبارت دیگر سیستم‌هایی که در حمله‌ی باج‌افزاری جدید آلوده شده‌اند، به‌روزرسانی‌های امنیتی مایکروسافت برای این آسیب‌پذیری‌ها را اعمال نکرده‌اند. مایکروسافت به مشتریان خود اکیداً توصیه کرده که اگر سیستم‌های خود را به‌روز نکرده‌اند، هرچه سریع‌تر این کار را انجام دهند.


با این حال، برخی از سازمان‌ها ممکن است نتوانند به‌روزرسانی‌های امنیتی مایکروسافت را انجام دهند. برای این منظور به آن‌ها راه‌کارهای دیگری را پیشنهاد می‌کنیم. 
۱)    به‌طور کامل سرویس SMBv1 را در ویندوز غیرفعال کنید. 


برای اینکه از وضعیت فعلی سرویس SMB بر روی سیستم خود مطلع شوید، می‌توانید در سیستم عامل ویندوز، دستور زیر را اجرا کنید:


Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol


برای غیرفعال کردن SMBv1 در ویندوز ۸  و ویندوز سرور ۲۰۱۲ دستور زیر را می‌توانید اجرا کنید:


Set-SmbServerConfiguration -EnableSMB1Protocol $false


برای غیرفعال کردن SMBv1 در ویندوز ۷، ویندوز ویستا و ویندوز سرور ۲۰۰۸ نیز می‌توانید دستور زیر را اجرا کنید:


Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

 

۲)    بر روی سیستم‌های دیواره‌ی آتش و مسیریاب‌های خود قانونی را ایجاد کنید تا ترافیک ورودی مربوط به SMB را از روی پورت ۴۴۵ مسدود کنند.

 

۳)    یک روش ساده‌ی دیگر نیز وجود دارد. پوشه‌ی دایرکتوری ویندوز (C:\Windows) را باز کنید. در این مسیر یک فایل بدون پسوند با نام perfc ایجاد کنید و مجوزهای مربوط به آن را «فقط خواندنی» تعیین کنید. این روش به این دلیل مؤثر است که باج‌افزار پس از اینکه سامانه‌ای را اسکن کرد، به دنبال این فایل می‌گردد. اگر آن را پیدا کرد، فرض می‌کند که سیستم قبلاً آلوده شده و دیگر آن را آلوده نمی‌کند.

پست‌های مشابه

Leave a Comment

16 − 7 =