در ساعات گذشته رخنه امنیتی و باگ کشف شده در هسته سری ویندوز های 2008 و 2008 r2 مشاهده شده است که باعث کریپت شدن و هک شدن میلیون ها سرور مجازی و سیستم های مبتنی بر ویندوز سرور 2008 شده است ، گروه امنیتی اورداد این موضوع را مورد بررسی دقیق قرار داده است و در این مقاله به راه های مقابله با هک و رفع مشکل بوجود آمده برای این سرور ها میپردازد.

سوال اولی که برای همه ی ما پیش می آید ، چرا هک شدیم ؟
در روز گذشته با مشاهده درخواست های فراوان کاربران سرور های مجازی تحت عنوان های :
سرور من هک شده وقتی وارد سایت میشم با پیغام هک مواجه میشم
فایل های سرور من تغییر نام پیدا کردند
و پیام های اینچنینی، مورد را بررسی کردیم و با کمال تعجب شاهد باگ عجیبی در ویندوز شدیم ، بگذارید توضیحی دقیق تر داشته باشیم:

باج افزار یا Ransomware چیست ؟
باج افزار یک نوعی از بد افزارها است که به مجرمان این امکان را می دهد تا بتوانند از طریق یک کنترل از راه دور، کامپیوتر قربانی را قفل کنند به طوری که کاربر نتواند از سیستم خود استفاده کند. این بدافزار با نفوظ به سیستم قربانی تمامی اطلاعات در سیستم عامل را به صورت غیر قابل بازگشت کد گذاری میکند و در قبال ارائه کلید آزاد سازی رمزگزاری از قربانی درخواست وجه یا بیت کوین میکند.

از کجا بفهمیم هک شدیم :
در این نسخه از باج افزار پیغامی با متن زیر در هنگام لاگین به سرور مشاهده میکنیم

متن های مشاهده شده :

===============================# aes-ni ransomware #===============================

█████╗ ███████╗███████╗ ███╗ ██╗██╗
██╔══██╗██╔════╝██╔════╝ ████╗ ██║██║
███████║█████╗ ███████╗█████╗██╔██╗ ██║██║
██╔══██║██╔══╝ ╚════██║╚════╝██║╚██╗██║██║
██║ ██║███████╗███████║ ██║ ╚████║██║
╚═╝ ╚═╝╚══════╝╚══════╝ ╚═╝ ╚═══╝╚═╝

SPECIAL VERSION: NSA EXPLOIT EDITION

INTRO: If you are reading it, your server was attacked with NSA exploits.
Make World Safe Again.

SORRY! Your files are encrypted.
File contents are encrypted with random key (AES-256 bit; ECB mode).
Random key is encrypted with RSA public key (2048 bit).

We STRONGLY RECOMMEND you NOT to use any “decryption tools”.
These tools can damage your data, making recover IMPOSSIBLE.

Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price.

If you want to decrypt your files, you have to get RSA private key.
In order to get private key, write here:

[email protected]
[email protected]
[email protected]

IMPORTANT: In some cases malware researchers can block our e-mails.
If you did not receive any answer on e-mail in 48 hours,
please do not panic and write to BitMsg (https://bitmsg.me) address:
BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN
or create topic on https://www.bleepingcomputer.com/ and we will find you there.

If someone else offers you files restoring, ask him for test decryption.
Only we can successfully decrypt your files; knowing this can protect you from fraud.

You will receive instructions of what to do next.
You MUST refer this ID in your message:

WIN-NSUMKLS5TVF#70721B9AA35295EF2EBDACA4C6209F58

Also you MUST send all “.key.aes_ni_0day” files from C:\ProgramData if there are any.
===============================# aes-ni ransomware #===============================

/**********************************************************/
Dear owner, bad news!!!!
Your SERVER [hacked], and file’s [ENCRYPTED]!
If you need back files and recommendation’s,
to protect your file’s and server, write to e-mail:
[1] [email protected]
[2] [email protected]
If don’t answer on e-mail? Write to [jabber]:
{
what’s jabber?
GUIDE : http://www.howtogeek.com/howto/38942/the-beginners-guide-to-pidgin-the-universal-messaging-client/
Programm : https://pidgin.im/download/
Register account : https://www.xmpp.jp or https://rows.io/ or your custom.
Add me : [[email protected]]
}
And so, write me.
Sorry. /**********************************************************/

چطور میتونیم از این مشکل رهایی پیدا کنیم
در ابتدا باید برای سریعا یک آنتی ویروس قوی روی سیستم نصب کنیم و کل سیستم رو اسکن دقیق انجام بدیم ، پیشنهاد ما استفاده از آنتی ویروس McAfee VirusScan Enterprise میباشد
در مرحله بعد باید با استفاده از regedit فایل ولکام ویندوز که حاوی متن هک میباشد را حذف نماییم ، جای نگرانی نیست اگر از سرویس های اورداد استفاده میکنید این عملیات به صورت رایگان و دقیق توسط کارشناسان ما انجام خواهد گرفت . همچنین برای دیگر دوستان توسط گروه ما یک فایل نصبی تهیه و آماده شده است که تمام مراحل را به صورت خودکار انجام خواهد داد .

و اما راه های پیشگیری از ایجاد چنین مشکلاتی :
همیشه از آخرین نسخه ویندوز به صورت اورجینال استفاده نمایید.
از یک آنتی ویروس سریع و سبک استفاده کنیم .
فایروال سرور را فعال داشته و پورت ریموت دسکتاپ را تغییر دهید.
پورت های اضافه را روی سرور بسته و از نصب نرم افزار های ناشناس پرهیز کنیم .

برای اطلاعات بیشتر با پشتیبانی در تماس باشید .