البرنامج الخبيث wannacry وكيفية الحماية منه

بسم الله الرحمن الرحيم

 السلام عليكم اخواني , في هذا الموضوع المهم سوف نتكلم عن البرنامج الخبيث wannacry الذي اصاب عدد كبير من الاجهزه حول العالم وما زال ينتشر بسرعة وتكمن خطورته بسهولة اختراقه للانظمه المصابه المنتشره حول العالم وتقوم بمهام لا يستغنى عنها مثل انظمه المستشفيات والحكومات وحتى المدارس . وسنتكلم عن كيفيه الحمايه منه .

اولا كيف يقوم هذا البرنامج بالانتشار ؟

يقوم هذا البرنامج الخبيث من نوع برامج الفدية بالانتشار عن طريق استغلال لثغره تم سرقتها من وكاله الامن القومي الامريكي NSA حيث تم عملية السرقه من قبل مجموعه تسمى shadow brokers وقامت بنشرها للعالم مما ادى الى استغلال هذا الثغره على نطاق واسع واحداث اضرار كبيره . وتسمى الاداه التي تقوم بالاستغلال باسم eternal blue حيث تقوم باستغلال ضعف في خدمه SMBv1 بانظمه الوندوز التاليه : windows XP windows 7 windows vista windows server 2003 and 2008 ويمكن للمخترق الحصول على صلاحيات Administrator حيث تمكنه للقيام باي مهمه على النظام ومنها تشفير البيانات كما يقوم به هذا البرنامج الخبيث .

 

ثانيا ما امكانيات هذا البرنامج الخبيث ؟

يمكن لهذا البرنامج تشفير جميع ملفاتك ثم الانتشار لباقي الاجهزه على الشبكة لذا عند الاشتباه بالاختراق من قبله يجب فصل الجهاز عن الشبكة .

 

ثالثا كيف يقوم هذا البرنامج بالانتشار الى الشبكه الداخلية للشركات والحكومات ؟

الجميع يتسأل كيف يمكن لهذا البرنامج الخبيث الوصول الى الاجهزه داخل الشبكه مع انها محمية ب firewall يحجب الاتصال المباشر للاجهزه الداخليه !!
في الحقيقه هذا البرنامج يقوم اولا بالانتشار عن طريق الايميلات والبرامج المجانيه على المواقع غير الموثوقه ثم يبدا بالانتشار عند تشغيله على اجهزه الشركه لذا يجب عليك تفعيل برامج مضادات الفيروسات على جهازك !

 

رابعا كيف اقوم بحماية نفسي ؟

1) يمكنك ان تقوم بايقاف خدمه ال SMBv1 وتفعيل SMBv2 على جهازك وهذا يحميك من اي هجمه عن طريق الشبكه : شاهد الطريقه من هنا

الاوامر التي تم تطبيقها في الفيديو :

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force

==============

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2 -Type DWORD -Value 1 -Force

2) اذا كان لديك هذه الانظمه يمكنك ان قوم بتحميل التحديث من مايكروسوفت : اضغط للتحميل

3) يجب ان تحدث مضاد الفيروسات الى اخذ تحديث

4) يمكنك استخدام ال firewall لحماية جهازك بايقاف الوصول الى بورت 445 ولكن هذا لا ينصح بعمله في الشركات التي تستخدم مشاركه الملفات .

5) الافضل ان تقوم بالتحديث ل windows 10 لان تسريبات الثغرات قديمه من 2013 فكيف الان انا متاكد ان هنالك ثغرات لم يتم الكشف عنها اقوى بكثير لذا قم بتحديث نظامك حتى لا يتم استغلاله من قبل البرامج الخبيثه .

 

الشرح التوضيحي :

[youtube https://www.youtube.com/watch?v=0JPIG67P1hw]