ITanalyze

دولت ترامپ رسماً کره شمالی را مسئول حمله سایبری معرفی کرد که اوایل سال میلادی جاری در سطح جهانی رخ داد.

به گزارش خبرگزاری مهر به نقل از فرانس پرس، دولت ترامپ به‌طور‌ علنی کره شمالی را به عنوان عامل حمله سایبری گسترده‌ای که اوایل سال میلادی جاری (۲۰۱۷) روی داد؛ معرفی کرد.

گفتنی است این حمله که در سطح جهانی و با استفاده از باج‌افزار واناکرای رخ داد؛ سیستم‌های کامپیوتری بیمارستان‌ها، بانک‌ها و بسیاری از شرکت‌ها را هدف قرار داد و خسارت حاصل از آن، میلیاردها دلار برآورد می‌شود.

در همین راستا، «تام بوسرت» مشاور امنیت داخلی کاخ سفید، مدعی شد: کره شمالی تقریباً برای بیش از یک دهه بی‌آنکه تحت نظارت باشد، رفتار بدی داشته و این مسئله روز به روز فاجعه‌آمیزتر می‌شود.

ظاهراً کاخ سفید امروز سه‌شنبه بیانیه‌ای به‌مراتب شدیدتر در انتقاد از اقدامات سایبری که به کره شمالی نسبت داده می‌شود، ارائه خواهد داد.

دولت واشنگتن با اطمینان می‌گوید گروه هکری «لازاروس» که به کره شمالی وابسته است، حمله سایبری واناکرای را انجام داده است.

این گروه هکری متهم به حمله سایبری ۲۰۱۴ علیه شرکت «سونی پیکچرز» نیز هست.

علیرغم اطلاع رسانی های وسیع و ارایه راهنمایی های لازم برای رفع آسیب پذیری مرتبط با حمله باج افزار Wanna Cry ، به دلیل تعلل برخی از سازمان ها و کاربران، این باج افزار طی سه روز گذشته، دو هزار قربانی جدید را در کشور به دام انداخت.

به گزارش روابط عمومی سازمان فناوری اطلاعات ایران، بر اساس اعلام مرکز ماهر، متاسفانه شاهد تعلل کاربران و بعضا مدیران فناوری اطلاعات سازمانها، دستگاهها، و شرکتها در زمینه رعایت توصیه های ایمنی برای جلوگیری از نفوذ باج افزار Wanna Cry بوده و این امر موجب رسیدن تعداد قربانی های این باج افزار به چهار هزار رایانه در کشور شد.

هفته گذشته، باج افزاری تحت عنوان wannacrypt‌ با قابلیت خود انتشاری در شبکه کشور ها شیوع یافت که براساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار در سطح شبکه کشور ما نیز رصد شد و در چند روز نخستین به حدود دو هزار قربانی رسید، اما با اطلاع رسانی به موقع انجام شده و عملیاتی شدن اقدام های لازم، این موضوع در کشور کنترل و گزارش های آلودگی به آن به شدت کاهش یافت.

باج‌افزار مذکور برای پخش شدن از یک کد اکسپلویت متعلق به آژانس امنیت ملی آمریکا به نام EternalBlue استفاده می‌کند که مدتی پیش توسط گروه shadowbrokers منتشر شد. این کد اکسپلویت از یک آسیب پذیری در سرویس SMB سیستم‌های عامل ویندوز با شناسه MS17-010 استفاده می‌کند. در حال حاضر این آسیب‌پذیری توسط مایکروسافت مرتفع شده است اما کامپیوتر‌هایی که بروزرسانی مربوطه را دریافت ننموده‌اند نسبت به این حمله و آلودگی به این باج‌افزار آسیب‌پذیر هستند.

بر همین اساس ، هفته گذشته، باتوجه به راهنماها و راه حل های منتشر شده در سایت های مختلف مبنی بر امکان بازیابی داده های رمز شده توسط باج افزار ها، مرکز ماهر ضمن انجام بررسی های فنی و دقیق مستند کاملی را در این خصوص منتشر کرد که لازم است کاربران هرچه سریعترنسبت به بروزرسانی سیستم ها براساس دستور العمل های قبلی مرکز ماهر اقدام کنند.

در حالی که باج افزار واناکرای تا به حال عمدتاً کشورهای اروپایی را هدف قرار داده بود، اخباری دال بر افزایش فعالیت آن در کشورهای آسیایی به گوش می‌رسد.

به گزارش فارس به نقل از بیزینس اینسایدر، این باج افزار که حدود 10 روز از آغاز فعالیتش می گذرد برای برخی دولت ها و شرکت های تجاری آسیایی مشکلاتی ایجاد کرده و آمار تازه از آلودگی صدها هزار رایانه به این باج افزار در بیش از 150 کشور جهان خبر می دهد.

بخش عمده آلودگی ها به واناکرای از طریق ارسال ایمیل های آلوده ایجاد شده است. این ایمیل ها دارای ضمائم آلوده ای هستند که با باز کردن آنها واناکرای فایل های شخصی کاربران را گروگان می گیرد و آنها را رمزگذاری می کند. واناکرای برای باز کردن فایل های یاد شده 300 دلار باج طلب می کند واگر این رقم پرداخت نشود فایل ها را ظرف مدت یک هفته پاک می کند.

منابع خبری از نفوذ واناکرای به دهها کارخانه، بیمارستان و مدرسه و دانشگاه در سراسر جهان خبر می دهند. محققان امنیتی می گویند کاربران باید از باز کردن ایمیل های حاوی فایل های ضمیمه مشکوک خودداری کنند.

واناکرای در چین به سیستم های پرداخت PetroChina که یکی از شرکت های بزرگ انرژی این کشور است، حمله کرده و باعث شده استفاده از برخی پمپ بنزین ها در این کشور ناممکن شود.

برخی نهادهای دولتی چین مانند پلیس، نهادهای مرتبط با ترافیک و ... هم به همین علت دچار مشکل شده اند. شرکت فناوری چینی Qihoo 360 می گوید حداقل 200 هزار رایانه در چین به واناکرای آلوده شده اند و مدارس و دانشگاه ها از جمله اهداف ساده برای آن محسوب می شوند.

کره جنوبی و تایوان هم از آلودگی برخی مدارس و نهادهای دولتی به باج افزار یاد شده خبر داده اند. کل موارد آلودگی به واناکرای در کره جنوبی 9 مورد اعلام شده است. در استرالیا هم آلودگی سه شرکت تجاری به واناکرای تایید شده است.

کاوه درفشانی - روز سه‌شنبه دو هفته قبل بود که گزارش "دفاع سایبری نیازمند اقدامات عاجل" به تیتر نخست هفته‌نامه تبدیل شد و از قضا در زمانیکه این گزارش در حال طی فرآیند چاپ بود، انتشار یک باج‌افزار خطرناک به سرعت دنیا را درنوردیده و اهمیت مضاعف توجه به امنیت سایبر کشور را روشنتر از قبل کرد.

حالا به تعبیری می‌توان گفت  "آفتاب آمد دلیل آفتاب". در همان ساعات ابتدایی انتشار باج ‌افزار موسوم به "می‌خواهی گریه‌کنی" (واناکرای) خبر رسید که بسیاری از کشورهای آسیایی و اروپایی به این باج‌افزار آلوده شده‌اند و اختلالات فراوانی در رایانه‌های گوشه و کنار جهان و از جمله ایران پیش آمده است.

باج‌افزار واناکرای که این روزها به دلیل سرقت اطلاعات بیماران برخی بیمارستان‌ها به "باج‌افزار آدم‌کش" نیز مشهور شده تا لحظه تنظیم این گزارش رایانه‌های مختلفی از بیش از صد کشور جهان را آلوده کرده است و خبر نفوذ آن به برخی رایانه‌های در کشور ما نیز به گوش رسید.

اما همانطور که در گزارش "دفاع سایبری نیازمند اقدامات عاجل" نیز اشاراتی به این مهم شد، نبود نهاد راهبر حوزه دفاع سایبری کشور و اقدامات جزیره‌ای و بعضا موازی در خصوص حمله اخیر نیز تا حدودی مشهود بود از جمله اینکه در برخورد با هر نوع حمله و خطر امنیتی سایبری می‌بایست وظایف و حوزه عمل و اختیار هر ارگانی از ابتدا روشن باشد تا در هنگام نفوذ بدافزارهایی همچون واناکرای در دسترس و پاسخگو باشد.

واناکرای چیست؟

طی دو هفته گذشته حملات سایبری بی‌سابقه‌ای در کل دنیا به وقوع پیوست که طی آن یک باج‌افزار پیچیده پس از رمزنگاری اطلاعات از قربانیان خود درخواست باج می‌کند.

ماجرا از آنجا آغاز شد که چند ماه قبل یک گروه هکری روش‌های مورد استفاده آژانس امنیت ملی آمریکا برای نفوذ به رایانه‌ها و سرقت اطلاعات از آنها را افشا کرد. این امر منجر به آن شد که برخی آسیب پذیری‌های سیستم عامل ویندوز که توسط آژانس امنیت ملی آمریکا به منظور جاسوسی سایبری و حمله به شبکه‌های رایانه‌ای مورد سوءاستفاده قرار می‌گیرد هم افشا شود.

ظاهرا طراحان واناکرای با سوءاستفاده از همین اطلاعات داده‌های کاربران را قفل کرده و برای دسترسی مجدد به آنها  درخواست پول می‌کنند. طراحان این بدافزار برای باز کردن قفل رایانه‌ها حداقل ۳۰۰ دلار درخواست می‌کنند.

در همین حال مایکروسافت برای رفع حفره‌های امنیتی افشا شده توسط هکرها وصله‌هایی را عرضه کرده، اما کاربرانی که این وصله‌ها را نصب نکرده‌اند، به طور جدی در معرض خطر آلودگی قرار دارند.

از جمله سازمان‌های مهمی‌ که به دنبال این حملات آسیب دیده‌اند می‌توان به سازمان ملی بهداشت آمریکا، شرکت مخابراتی دولتی تله فونیکای اسپانیا و شرکت پستی مشهور فدکس اشاره کرد. حملات یاد شده در انگلیس تا بدان حد پیش رفت که به تعطیلی بیمارستان‌ها انجامید و برخی عمل‌های جراحی را نیز لغو کرده است. همچنین پزشکان و پرستاران در این بیمارستان‌ها مجبور شدند به استفاده از قلم و کاغذ روی آورند.

این درحالیست که شرکت مایکروسافت در اطلاعیه‌ای، کم‌کاری دولت‌ها در زمینه امنیت اطلاعات را عامل موفقیت هکرها در هک کردن سیستم‌ها با استفاده از باج‌افزار واناکرای دانسته است. در بخشی از اعلامیه برد اسمیت مدیرعامل فعلی مایکروسافت آمده است: دولت‌ها باید به این حمله به عنوان یک هشدار و بیدارباش بنگرند و بدانند این حملات می‌توانند آسیب‌های بسیار زیادی برای غیرنظامیان و شهروندان داشته باشند و به همین دلیل به هیچ عنوان نباید از کنار این موضوع به سادگی گذشت.

واناکرای با ما چه کرد؟

نخستین هشدار در خصوص نفوذ واناکرای به ایران توسط پلیس فتا در 24 اردیبهشت مطرح شد. البته در گزارش پلیس فتا که بیشتر شبیه ترجمه خبر برخی ‌سایت‌های خارجی حوزه امنیت سایبری بود اعلام شده بود، سازمان‌ها می‌بایست مطمن شوند که آخرین به‌روز رسانی امنیتی ویندوز و به خصوص MS17‌010 را به منظور جلوگیری از انتشار آن نصب کرده‌اند.

کمی ‌بعد از انتشار این خبر اما این بار ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای) وابسته به سازمان فناوری اطلاعات ایران از تنظیم دستورالعمل پیشگیری از باج‌افزار واناکرای  و ابلاغ آن به نهادها و سازمان‌های کشور خبر داد.

بر اساس جدیدترین آمار ارایه شده از سوی مرکز ماهر، تا لحظه تنظیم این گزارش بیش از دو هزار کاربر در کشور به باج‌افزار واناکرای آلوده شده‌اند که از این تعداد حدود هزار و 500 قربانی از سوی مرکز ماهر و مابقی از طریق گزارش سازمان‌ها و نهادهای مختلف شناسایی شده است.

بیشترین آلودگی از طریق این باج افزار به ترتیب متعلق به اپراتورهای ارتباطی، سلامت و پزشکی و دانشگاهی بوده و بیشترین استان‌های آلوده، تهران و اصفهان هستند.

دو روز پس از حمله بی سابقه باج افزار واناکرای و پرداخت هزاران دلار باج در سراسر دنیا، رییس سازمان پدافند غیر عامل نیز به موضوع ورود کرد و گفت: راه بازگرداندن اطلاعات را در اختیار دارد.

رییس سازمان پدافند غیرعامل کشور هفته گذشته در باره حمله این باج افزار گفت: با توجه به مشخص نبودن میزان رایانه‌هایی که در داخل کشور آلوده به این باج افزار شده‌اند، سایت‌های بین‌المللی که این موضوع را دنبال می‌کنند، ایران را در رده 15 قرار داده‌اند.

رییس سازمان پدافند غیرعامل نیز به سازمان‌ها و ارگان‌های کشور در خصوص این باج‌افزار هشدار داده گفته: سازمان‌ها و ارگان‌ها رایانه‌های آلوده‌ای را که به شبکه متصل هستند، از شبکه جدا کنند و موضوع را به قرارگاه پدافند سایبری و پلیس فتا گزارش دهند.

وی همچنین مدعی شده چنانچه اطلاعاتی از دستگاه‌ها یا نهادها دچارآسیب شده باشد، قرارگاه پدافند سایبری کشور آمادگی دارد با در اختیار گذاشتن ابزارهایی درباره بازگردانی اطلاعات اقدام کند.

در آخرین خبرها نیز مرکز ماهر اعلام کرد: با توجه به اتفاقات اخیر و انتشار باج‌افزار WannaCrypt، نرم‌افزار ضدباج‌افزار بومی با مشارکت و سرمایه گذاری وزارت ارتباطات و فناوری اطلاعات توسعه یافته و در دسترس عموم قرارگرفته است.

سرگردانی یا هماهنگی در اقدام

از ابتدای هفته گذشته که موضوع حمله این باج‌افزار رسانه‌ای شد تا اواخر هفته شاهد اطلاعات و آمار متفاوتی در رسانه‌ها و به ویژه رسانه ملی بودیم. نکته جالب آنکه بخش‌های خبری کانال‌های صداوسیما هر کدام سراغ یک مسوول برای کسب خبر و اطلاعات رفته بودند. در یک شبکه مسوولی از مرکز ماهر پاسخگو بود، در شبکه دیگر پلیس فتا، در شبکه‌ای رییس سازمان پدافند غیرعامل و در برخی بخش‌ها نیز با حضور کارشناسان امنیتی موضوع مورد بحث و بررسی قرار می‌گرفت.

همچنین در حالیکه آخرین آمار مرکز ماهر همان 2 هزار IP آلوده به این باج‌افزار بود، پلیس فتا روز سه‌شنبه هفته گذشته در رسانه ملی خبر از افزایش 10 برابری میزان آلودگی به واناکرای داد و اعلام کرد: "در ابتدا نزدیک به دو هزار آی‌پی آلوده این باج‌افزار در کشور شده بودند ولی هم اکنون بیش از 20 هزار آی‌پی آلوده در کشور داریم."

به هر تقدیر در نگاه نخست حتی در ارایه گزارش از وضعیت یک حمله سایبری به کشور، شاهد پراکندگی در نهاد متولی اطلاع‌رسانی، پاسخگویی و آماردهی هستیم. این در حالیست که در خصوص فاجعه اخیر یعنی پلاسکو و برای جلوگیری از تنش‌های غیرضرور، تنها یک مرجع متولی پاسخگویی شد. اما مورد واناکرای نشان داد، خبری از این اقدام هماهنگ نیست.

به هر ترتیب در مورد حمله فعلی که به منزله محکی برای هماهنگی در امداد و عملیات رخدادهای رایانه‌ای است، چیزی که از بیرون به نظر می‌آمد این بود که سه سازمان و ارگان مرتبط با امنیت سایبر کشور یعنی پلیس فتا، سازمان پدافند غیرعامل و مرکز ماهر سازمان فناوری اطلاعات هر یک به صورت جداگانه اقدامات و توصیه‌هایی را برای مبارزه با این باج‌افزار ارایه داده‌اند. با این وجود اما شرح وظایف، چارچوب اختیارات و مسوولیت‌های هر یک از این نهادها در برخورد با بدافزارها و تهدیدات سایبری به روشنی مشخص نیست و علاوه بر سازمان‌ها، نهادها و مردم، رسانه‌ها نیز نمی‌دانند که هریک از این نهادها چه وظایفی را در شرایط بحرانی سایبری به عهده دارند.

ذکر مثالی اما به لزوم و چگونگی ایجاد شفافیت در لایه‌های مختلف دفاع سایبری کشور می‌تواند کمک کند. در حال حاضر ما ‌قوای مختلفی همچون سپاه، ارتش، پلیس، نیروهای امنیتی، بسیج و ستاد کل نیروهای مسلح ‌داریم که در بخش‌های مختلفی در حال فعالیت هستند اما حدود اختیارات، وظایف و چارچوب فعالیت هر یک کاملا روشن و مشخص است. بدیهی است که در حوزه سایبری نیز می‌بایست این حدود وظایف و چارچوب فعالیت هر یک از ارگان‌ها و نهادها به روشنی مشخص و مطرح شود تا هم در هنگام بروز شرایط بحرانی و حملات سایبری توان مقابله وجود داشته باشد و هم مردم و رسانه‌ها بدانند که وظایف هریک از ارگان‌های مرتبط با امنیت سایبری مشخصا چه مواردی است و بتوانند از آنها در مواقع لزوم درخواست رسیدگی کنند.

از این رو بجاست برای جلوگیری از تشدید موازی‌کاری‌های احتمالی از هم‌اکنون تکلیف نهاد راهبر "دفاع ملی سایبری " روشن شده و از توان هر دستگاه ذی‌ربط در حوزه دفاع و امنیت سایبری در بخش مشخصی استفاده شود تا علاوه بر جلوگیری از اتلاف منابع، شاهد پوشش همه جانبه به رویدادها و حملات سایبری آینده به کشور باشیم.

با گذشت یک هفته از حملات شدید باج افزار واناکرای، بررسی‌ها نشان می‌دهد تقریبا تمامی قربانیان باج افزار مذکور از سیستم عامل ویندوز ۷ استفاده می‌کنند.

به گزارش فارس به نقل از ورج، داده های منتشر شده توسط شرکت امنیتی کاسپراسکای حاکی است حدود 98 درصد از رایانه‌های آلوده به واناکرای از یکی از نسخه های ویندوز 7 استفاده می کنند و کمتر از یک درصد از آنها مجهز به ویندوز ایکس پی هستند. ویندوز 2008 آر 2 هم کمتر از یک درصد از آلودگی های مذکور را به خود اختصاص داده است.

ویندوز 7 کماکان محبوب ترین نسخه از ویندوز است و چهار برابر بیشتر از ویندوز 10 در سراسر جهان کاربرد دارد و همین امر رمز آلودگی گسترده آن به باج افزار واناکرای محسوب می شود. همچنین با کاهش استفاده از ویندوز ایکس پی سهم آن از آلودگی واناکرای نیز به شدت کاهش یافته است.

مایکروسافت قبلا برای مقابله با آسیب پذیری هایی که منجر به نفوذ باج افزار واناکرای شده، وصله هایی عرضه کرده بود، اما تعلل کاربران و عدم نصب وصله های مذکور باعث موفقیت باج افزار یاد شده و توزیع سریع و گسترده آن گردید. به تازگی برخی ابزار رایگان هم برای مقابله با واناکرای عرضه شده که اطلاعات مربوط به یکی از آنها از آدرس https://github.com/aguinet/wannakey در دسترس است.

کره شمالی اتهام تولید باج افزار واناکرای را رد کرد

مقامات کره شمالی می‌گویند طرح اتهام طراحی و انتشار باج افزار واناکرای به این کشور مسخره است و این موضوع را رد کردند.

به گزارش فارس به نقل از آسین ایج، در حالی که باج افزار یاد شده با قفل کردن فایل‌های رایانه‌ای کاربران به بیش از 300 هزار رایانه در 150 کشور جهان آسیب زده، رسانه های غربی کره شمالی را عامل اصلی طراحی واناکرای می دانند.

در این شرایط نماینده کره شمالی در سازمان ملل تصریح کرد این کشور دخالتی در نگارش و توزیع باج افزار مذکور نداشته است. واناکرای با قفل کردن فایل های ذخیره شده در رایانه های کاربران از آنها برای رمزگشایی از این فایل ها 300 دلار باج طلب می کند و در صورت عدم پرداخت این مبلغ فایل های قفل شده را بعد از یک هفته پاک می کند.

کیم این ریونگ که در یک کنفرانس خبری با همین موضوع شرکت کرده بود، افزود:  مرتبط کردن حملات سایبری واناکرای به دولت کره شمالی مسخره است. هرگاه اتفاق عجیبی رخ می دهد روش کلیشه ای امریکا و نیروهای متخاصم تبلیغات پرسروصدای بر ضد کره شمالی است.

چندی قبل شرکت های سمانتک و کاسپراسکای مدعی شدند که کدهای مورد استفاده در طراحی باج افزار واناکرای شباهت ها و اشتراک هایی با برنامه های هکری گروه Lazarus Group دارد که گروهی وابسته به دولت کره شمالی دانسته می شود.

در همین حال یک سخنگوی هیات ایتالیایی حاضر در سازمان ملل که ریاست کمیته تحریم کره شمالی در شورای امنیت سازمان ملل را بر عهده دارد از هک شدن رایانه یک عضو ناظر کمیته مذکور خبر داد. هر چند جزییات بیشتری در این زمینه افشا نشده است.

روش ابتکاری محققان فرانسوی برای مقابله با باج افزار «واناکرای»
محققان امنیتی در فرانسه به روشی ابتکاری برای قفل گشایی از فایل های رمزگذاری شده توسط باج افزار واناکرای دست یافته اند.

به گزارش خبرگزاری مهر به نقل از فری مالیزیاتودی، باج افزار واناکرای که از روز جمعه بیش از ۳۰۰ هزار رایانه را در ۱۵۰ کشور جهان آلوده کرده، فایل های رایانه ای ذخیره شده شخصی کاربران را قفل کرده و برای بازگرداندن آنها به حالت عادی درخواست دریافت ۳۰۰ دلار باج می کند. اما محققان می گویند می توان بدون پرداخت باج فایل های قفل شده را بازیابی کرد.

یوروپل می گوید ابزار مذکور توسط مرکز جرائم سایبری اروپا مورد آزمایش قرار گرفته اند و در شرایطی خاص قادر به احیای اطلاعات رمزگذاری شده بوده اند.

طراحان ابزار مذکور خود نیز می گویند تنها در صورتی می توان از این روش به خوبی استفاده کرد که رایانه های آلوده شده مجددا راه اندازی نشده باشند و فایل های ذخیره شده توسط هکرها به طور دائم قفل نشده باشند. طراحان باج افزار واناکرای یک هفته بعد از قفل کردن فایل های رایانه ای آنها کاملا قفل و پاکسازی می کنند.

ابزار یاد شده که wanakiwi نام دارد به رایگان در اینترنت در دسترس بوده و با ویندوزهای ۷، ۲۰۰۳ ، ویستا، ۲۰۰۸ و ایکس پی سازگاری دارد. طراحان این ابزار عبارتند از Adrien Guinet متخصص امنیتی مستقل، Matthieu Suiche یک هکر مشهور بین المللی و Benjamin Delpy کارمند Banque de France.

مرکز ماهر اعلام کرد: باج افزار سایبری «واناکرای» در نسخه نهایی خود از روش رمزنگاری قوی استفاده می کند که تاکنون هیچ روشی برای رمزگشایی فایلهای آسیب دیده از سمت این بدافزار، یافت نشده است.

اوایل هفته گذشته، نرم افزار مخربی تحت عنوان «واناکرای» با قابلیت خود انتشاری در شبکه حدود ۱۰۰ کشور شیوع یافته و بالغ بر ۷۵ هزار سیستم کامپیوتری را آلوده کرده است.

براساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار باج گیر، در سطح شبکه کشور ما نیز مشاهده شده به نحوی که طبق آخرین آمار این مرکز، بیش از ۵۰ اپراتور ارتباطی و سازمان، قربانی این باج افزار در کشور شده اند که بیشتر این آلودگی ها نیز در حوزه اپراتورهای ارتباطی و حوزه پزشکی، سلامت و دانشگاهها و در تهران و اصفهان شناسایی شده است.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای در اطلاعیه جدید خود در خصوص انتشار سریع آسیب پذیری بدافزار رایانه ای «واناکرای» اعلام کرد: «با توجه به حمله گسترده باج‌افزار wannacry در سطح جهان و شیوع سریع آن و نیز آلودگی کاربران ایرانی به این بدافزار، به کاربران توصیه اکید می‌شود که منحصرا از روش‌ها و راه‌کارهای معرفی شده توسط مراجع شناخته شده، از جمله مرکز ماهر برای رفع آلودگی به این بدافزار استفاده کنند. »

این مرکز با تاکید براینکه نسخه نهایی این باج‌افزار از روش رمزنگاری قوی استفاده می‌کند، هشدار داد: «نرم افزارها و وب‌سایت‌های ناشناخته‌ای که گاهی در جستجوهای اینترنتی ظاهر می‌شوند، خود منتشر کننده بدافزارهای دیگری هستند که با شناسایی سیستم‌های آسیب دیده و آسیب‌پذیر می‌توانند به آنها از همان طریق ورود این بدافزار نفوذ کرده و سبب ایجاد آسیب‌های بیشتر شوند.»

برخی از این وبسایتهای ناشناخته مانند شکل زیر در جستجوهای اینترنتی ظاهر می شود و کاربران باید توجه داشته باشند که وبسایتهای ناشناخته را باز نکنند:

طبق اعلام مرکز ماهر، با اینکه در بسیاری از موارد، این باج افزار موفق به رمزگذاری تمام فایل‌ها در  سیستم ‌های قربانی نشده است، اما با این وجود در خصوص موارد رمزگذاری موفق، تاکنون هیچ روش موثری برای رمزگشایی فایل‌های آسیب دیده در هیچ‌ یک از کشورهای مورد حمله یافت نشده است.

به گزارش مهر این مرکز با تاکید براینکه در صورت پیدا شدن راه حل مناسب، به سرعت و به شکل مطمئن، موضوع از طریق مرکز ماهر اطلاع رسانی می شود، یادآور شد: کاربران در صورت مبتلا شدن به آسیب‌های ناشی از این باج‌افزار، ضروری است تا پس از حذف آن، نسبت به حذف دیگر بدافزارهایی که به همراه آن نصب شده‌اند نیز اقدام کنند.

نحوه پیشگیری و حذف بدافزار باج گیر در وبسایت مرکز ماهر از این لینک در دسترس قرار دارد.

یک شرکت امنیت سایبری جهانی اعلام کرد، یک حمله سایبری بزرگ و مخفیانه دیگری به راه افتاده که مقیاس آن بزرگتر از حمله سایبری اخیر به کامپیوترهای سراسر جهان است.
به گزارش ایسنا، به نقل از خبرگزاری فرانسه، این حمله جدید همان نقاط ضعفی را که بدافزار معروف به WannaCry از آنها سوءاستفاده می‌کرد را مورد استفاده قرار می‌دهد اما این بار به جای مسدود کردن فایل‌ها از صدها هزار کامپیوتری که آلوده شدند برای به دست آوردن پول مجازی استفاده می‌کند.
نیکولاس گادیر، یکی از محققان شرکت تجهیزات امنیتی "پروف‌پوینت" گفت: به دنبال شناسایی حمله بدافزار  WannaCry محققان این شرکت یک حمله جدید مرتبط با حمله مذکور موسوم به "ادیلکوز" را کشف کردند. وی افزود: این حمله سایبری از تجهیزات هک کردن که اخیرا توسط سازمان امنیت ملی آمریکا کشف شده به شیوه‌ای محرمانه‌تر و مخفیانه‌تر و برای هدف متفاوتی استفاده می‌کند.
ادیلکوز به جای اینکه یک کامپیوتر آلوده را با رمرگذاری داده‌ها کاملا از کار بیندازد و از مالک آن باج بگیرد از کامپیوترهای آلوده شده برای به دست آوردن پول مجازی، ارز رمزپایه که از رمزگذاری برای ایمنی بخشی به تراکنش‌ها و کنترل تولید واحدهای جدید از همان ارز و در نهایت انتقال این پول به سازندگان این ویروس استفاده می‌کند. پول‌های مجازی همچون ارز رمزپایه "مونرو" و "بیت‌کوینگ از کامپیوترهای داوطلبان برای ثبت انتقالات مالی استفاده می‌کنند.
شرکت پروف‌پوینت گفت: نشانه‌های این حمله شامل اخلال در سیستم عامل ویندوز و کاهش سرعت کامپیوتر و عملکرد سرور است که تاثیرات آن به گونه‌ای است که کاربر فورا متوجه آن نمی‌شود. گادیر گفت: از آنجایی که حمله "ادیلکوز" در سکوت صورت می‌گیرد و هیچ مشکلی برای کاربر به وجود نمی‌آورد برای تبهکاران سایبری و خلافکاران اینترنتی بسیار مفید و سودمندتر است.
این ویروس کاربران آلوده را به حامیان مالی بی‌اطلاعی برای مهاجمانشان تبدیل می‌کند.
روپیر هولمز یک مسئول شرکت مذکور گفته است: تا الان میزان خسارت‌ها را نمی‌دانیم اما صدها هزار کامپیوتر احتمالا  آلوده شده و سطح حمله گسترده تر از حمله واناکری است.

درپی حمله جهانی بدافزارسایبری که به بیش از ۱۰۰ کشور آسیب رسانده، وزارت ارتباطات مدعی شد که آنتی ویروس ایرانی موفق به جلوگیری از حملات این باجگیر شده است.

به گزارش خبرگزاری مهر، اوایل هفته جاری نرم افزار مخربی تحت عنوان «واناکرای» با قابلیت خود انتشاری در شبکه حدود ۱۰۰ کشور شیوع یافته و بیش از ۷۵ هزار سیستم کامپیوتری را آلوده کرده است. براساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار باج گیر، در سطح شبکه کشور ما نیز مشاهده شده به نحوی که طبق آخرین آمار این مرکز، بیش از ۵۰ اپراتور ارتباطی و سازمان، قربانی این باج افزار در کشور شده اند که بیشتر این آلودگی ها نیز در حوزه اپراتورهای ارتباطی و حوزه پزشکی، سلامت و دانشگاهها و در تهران و اصفهان شناسایی شده است.

آنتی ویروس بومی حملات باج گیر سایبری را متوقف کرد

با این وجود وزارت ارتباطات اعلام کرده است که سیستم هایی که از ضدبدافزار بومی «پادویش» استفاده می کرده اند از این حملات مصون مانده اند.

این وزارتخانه تاکید کرد: «بدافزار باجگیر که به سیستم های کشورهای همجوار حملات گسترده ای انجام داده است، توسط ضدباجگیر بومی پادویش شناسایی شد و به سیستم‌هایی که از این آنتی ویروس استفاده می‌کنند آسیبی نرسید.»

شیوه عملکرد این باج‌افزار به این صورت است که اقدام به رمزنگاری کلیه فایل‌ها و داده‌های رایانه‌ اشخاص می‌کند و سپس درخواست باج (واریز پول به طریق اینترنتی و ...) در قبال رمزگشایی برای اجازه دسترسی صاحبان اطلاعات می‌کند و اشخاص تا قبل از پرداخت باج، نمی توانند به فایل‌ها و اطلاعات داخل کامپیوتر خود دسترسی داشته باشند.

با وجود انتشار این بدافزار در چند روز گذشته در سراسر جهان و در برگیری حدود ۹۰ کشور، آنتی ویروس پادویش توانست با موفقیت بدافزار باجگیر را شناسایی و حملات آن را متوقف کند.

وزارت ارتباطات به کاربران فضای مجازی توصیه کرده است که برای جلوگیری از آسیب های احتمالی و آلوده شدن سیستمهای خود، علاوه بر نصب کردن «آنتی ویروس بومی» در سیستم عامل ویندوز و اندروید که مجهز به ضد باجگیر است، از داده های خود نیز پشتیبان تهیه و سیستم عامل کامپیوتر خود را بروز کنند. همچنین اشتراک فایل ویندوز را غیرفعال و ویندوزهای قدیمی پایین‌تر از ویندوز۷ شامل XP و ... را کنار بگذارند.

همچنین به همه کاربران توصیه اکید می‌شود، آنتی ویروس بومی را همراه نسخه باجگیر آن روی سیستم‌های کامپیوتر و موبایل خود نصب کنند چرا که این آنتی ویروس نه تنها واناکرای (WannaCry) را حتی قبل از اینکه منتشر شود، تشخیص داده و خنثی می کند، بلکه جلوی انواع دیگر باجگیرها را نیز می گیرد.

ضدبدافزار بومی پادویش تنها محصول کامل کشور است که با مشارکت و همکاری پژوهشگاه ارتباطات و فناوری اطلاعات و یک شرکت دانش بنیان با بکارگیری ده‌ها نیروی نخبه و متخصص جوان ایرانی درداخل کشور تولید شده و در سال ۱۳۹۵ نسخه تکامل یافته خانگی و تجاری آن منتشر شد. لینک دسترسی به این آنتی ویروس از اینجا قابل دریافت است.

حمله باج گیر سایبری در ایران کاهش یافت

درهمین حال مرکز مدیریت امداد و هماهنگی رخدادهای رایانه ای (ماهر) وابسته به سازمان فناوری اطلاعات ایران، با اشاره به تولید ضد باج افزار بومی برای مقابله با واناکرای، اعلام کرد که این آنتی ویروس توسط مرکز ماهر مورد ارزیابی امنیتی قرار گرفته و در پیشگیری کامل از آلودگی  به باج افزارها، از جمله باج افزار مذکور موثر شناخته شده است.

این مرکز اعلام کرد که باج‌افزار wannacrypt ، همزمان با شیوع در سطح جهان، در بخش هایی از کشور ما هم موجب آلودگی برخی رایانه ها شد که با اقدام های صورت گرفته و افزایش سطح آگاهی متقاضیان و فعالیت های مورد نیاز برای پیشگیری و مقابله با این پدیده ، روند شیوع آن از ظهر روز گذشته با کاهش بسیار چشمگیری رو به رو بوده است.

این کاهش حملات، بیانگر رعایت توصیه های ارائه شده از سوی مرکز ماهر توسط دستگاهها و کاربران کشورمان و اقدام های پیشگیرانه در سطح شبکه زیرساخت ارتباطی کشور بوده است.

رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا از 10 برابر شدن حجم آلودگی رایانه ها به ویروس باج افزار خبر داد.

به گزارش خبرگزاری صدا و سیما، سرهنگ علی نیک نفس گفت: پلیس فتا اولین دستگاهی بود که این باج افزار را در سطح کشور رصد و از طریق سایت و رسانه ها اطلاع رسانی کرد .

وی افزود: در ابتدا نزدیک به دو هزار آی پی آلوده این باج افزار در کشور شده بودند ولی هم اکنون بیش از 20 هزار آی پی آلوده در کشور داریم.

سرهنگ نیک نفس گفت: علت اصلی افزایش سرعت آلودگی سیستم ها به این باج افزار عدم به روز رسانی سیستم هاست در صورتیکه اگر سیستم ها آپدیت لازم را داشت و افزون های آسیب زا بر روی آنها حذف شود امکان پاکسازی باج افزار وجود دارد.

رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا ادامه داد: کاری که باج افزار می کند این است که فایل ها را با پسوندهای مشخص رمزگذاری و در نتیجه برای رمزگشایی پول دریافت می نماید.

وی با تاکید بر اینکه در زمینه رمزگشایی تاکنون هیچ ادعایی ثبت نشده است گفت: ولی امکان پاکسازی ویروس در سیستم وجود دارد که این پاکسازی را در سایت پلیس فتا گزارش کرده ایم.

سرهنگ نیک نفس ادامه داد: آنتی ویروس های به روز این ویروس را می شناسند .

رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا تاکید کرد: از آنجاییکه این باج افزار از شبکه به سرعت منتقل می شود بلافاصله بعد از آلودگی سیستم باید از شبکه جدا و به سرعت خاموش شود تا فرصت کمتری این باج افزار برای رمزگذاری بقیه اطلاعات داشته باشد.

او گفت: بدون اطلاعات کافی و تخصص اقدام به روشن کردن سیستم نباید کرد چون احتمالا سیستم به سرعت داده ها را رمز گذاری می کند و در قبال رمزگشایی درخواست وجه می کند.

سرهنگ نیک نفس افزود: تاکنون افرادی که برای رمزگشایی پول پرداخت کرده اند برایشان هنوز رمزگشایی انجام نشده است.

وی با بیان اینکه سایت هایی که ادعا می کنند که می توانند رمزگشایی اطلاعات کنند نباید اعتماد کرد، ادامه داد: در بررسی های صورت گرفته هیچ یک از این سایت ها واقعیت ندارند و این نوعی کلاهبرداری است.

رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا تاکید کرد: هرگونه راه حل برای رمزگشایی از طریق سایت پلیس فتا اطلاع رسانی می شود همانطور که نحوه حذف این باج افزار اطلاع رسانی شده است.

سرهنگ نیک نفس با اشاره به اینکه در دو سال گذشته موضوع باج افزارها از سوی پلیس فتا اطلاع رسانی و هشدار داده شده است گفت: ولی حجم آلودگی نشان از کم توجهی در حوزه امنیتی است.

وی درباره اقدامات لازم برای مقابله با این باج افزار گفت: در مقابله با باج افزارها باید بک آپی جدا از سیستم صورت بگیرد و ترجیحا این موضوع برروی حافظه های فقط خواندنی مثل دی وی دی انجام شود و جدای از سیستم نگهداری گردد.

سرهنگ نیک نفس با هشدار دوباره برای به روز رسانی سیستم ها تصریح کرد: مراکز میزبانی سایت ها و مسئول امنیت آنها باید به سرعت اقدام به بروز رسانی و اقدامات لازم کند.

رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا درباره نحوه عملکرد باج افزارها گفت: باج افزار زمانی که در سیستم نصب شود شروع به رمزگذاری می کند، سرعت سیستم را کند می کند و با سرعت بسیار زیاد رمزگذاری را آغاز می نماید و به سرعت پیغام می دهد که اطلاعات شما قابل دسترس نیست و تا زمانی که مبلغ وجه را واریز کنید و بعد از واریز کلید رمزگذاری را در اختیار شما قرار دهد که البته تاکنون افرادی که این وجه را پرداخت کردند بازگشت و رمزگذاری را دریافت نکردند.

سرهنگ نیک نفس تاکید کرد: مواردی که در اینترنت وجود دارد مبنی بر اینکه ادعای رمزگشایی باج افزارها را می کنند صحت ندارد و عمدتا این سایت ها کلاهبرداری است و این موضوع را پلیس فتا به صورت مستمر رصد می نماید.

با توجه به اتفاقات اخیر و انتشار باج‌افزار WannaCrypt، نرم‌افزار ضدباج‌افزار بومی با مشارکت و سرمایه گذاری وزارت ارتباطات و فناوری اطلاعات توسعه یافته و در دسترس عموم قرارگرفته است.

روابط عمومی سازمان IT - ابزار توسط مرکز ماهر مورد ارزیابی امنیتی قرار گرفته و در پیشگیری کامل از آلودگی  به باج‌افزارها از جمله باج‌افزار مذکور موثر شناخته شده است.

این گزارش حاکی است، باج‌افزار wannacrypt ، همزمان با شیوع در سطح جهان، در بخش‌هایی از کشور ما هم موجب آلودگی برخی رایانه‌ها شد که با اقدام‌های صورت گرفته و افزایش سطح آگاهی متقاضیان و فعالیت‌های مورد نیاز برای پیشگیری و مقابله با این پدیده ، روند شیوع آن از ظهر روز گذشته با کاهش بسیار چشمگیری رو به رو بوده که بیانگر رعایت توصیه‌های ارایه شده از سوی مرکز ماهر توسط دستگا‌ها و کاربران کشورمان و اقدام‌های پیشگیرانه در سطح شبکه زیرساخت ارتباطی کشور بوده است.

کاربران می‌توانند از طریق سایت مرکز ماهر نسبت به  دریافت و استفاده از نرم‌افزار بومی تولید شده اقدام کنند.

کارشناسان امنیت سایبری روز دوشنبه مدعی یافتن سرنخ هایی درباره حملات سایبری گسترده هفته گذشته شدند که در نهایت کره شمالی پشت این عملیات قرار دارد.

به گزارش ایرنا به نقل از خبرگزاری فرانسه، ده ها هزار رایانه در کشورهای مختلف جهان جمعه گذشته هدف حمله باج افزاری قرار گرفتند که دسترسی به اطلاعات روی سیستم را محدود کرده و تنها به ازای دریافت مبلغی مشخص، این وضعیت را لغو می کرد.
بیمارستان های انگلیس و برخی شرکت های پستی و ارتباطی در اسپانیا از جمله اولین سازمان هایی بودند که هدف حمله این ویروس قرار گرفتند.
حال یکی از محققان شرکت گوگل متوجه شباهتی شده است که بین ویروس یاد شده با حملات سایبری پیشین منتسب به کره شمالی وجود دارد.
این موضوع به سرعت مورد توجه شرکت های امنیت سایبری قرار گرفت و دیگر محققان هم به بررسی احتمال دست داشتن پیونگ یانگ در این حمله سایبری پرداختند.
در بیانیه شرکت کسپراسکای در همین رابطه آمده است: در حال حاضر نیازمند تحقیقات بیشتری روی نسخه های قدیمی تر این ویروس هستیم.
بیانیه می افزاید: این سرنخ شاید کلید حل برخی رازهایی باشد که در ارتباط با این حمله سایبری مطرح است.
بنا به اعلام این شرکت، سرنخ های یافت شده به گروهی با اسم رمز «لازاروس» می رسد که متهم به هک بانک مرکزی بنگلادش و سرور های شرکت سونی در سال 2014 است.
اداره تحقیقات فدرال آمریکا (اف.بی.آی) پیش از این مدعی ارتباط گروه لازاروس با دولت کره شمالی و تلاش پیونگ یانگ برای حذف فیلم کمدی «مصاحبه» از پایگاه داده سونی شده بود که ماجرای تلاش برای ترور رهبر کره شمالی را به تصویر می کشید؛ با این حال پیونگ یانگ این ادعا را مردود دانسته است.

حمله «باج افزار» به چین،کره‌جنوبی و هنگ‌کنگ
هکرها با ویروس «باج افزار» که قربانیان را طعمه اهداف مالی خود می کنند، هزاران رایانه را در سراسر کشور چین، کره جنوبی و منطقه هنگ کنگ هدف حمله قرار داده اند.

به گزارش ایرنا، این هکرها (نفوذگرهای اینترنتی) پیشتر بیش از ۲۰۰ هزار رایانه را در نزدیک به ۱۵۰ کشور جهان مورد حمله قرار داده و با قفل اطلاعات شخصی، خواستار واریز مبلغی برای بازگرداندن اطلاعات رایانه های مورد حمله شده بودند.
بر همین اساس اعلام شده که دستکم بیش از ۳۰ هزار سازمان و شرکت در سراسر چین و صدها شرکت در منطقه هنگ کنگ هدف حملات سایبری باج افزارها قرار گرفته اند.
روز سه شنبه در تارنمای مرکز «چیهو» چین که از موسسات اطلاع رسانی و آموزشی محسوب می شود، ‌اعلام شد که بیش از چهار هزار دانشگاه و موسسه آموزشی نیز هدف هکرها قرار گرفته اند.
بر اساس این گزارش؛ فروشگاه ها، ایستگاه های راه آهن و همچنین بیمارستان ها و بسیاری از مراکز خدماتی در چین و هنگ کنگ قربانی ویروس مذکور شده اند که با نام «می خواهم گریه کنم» در رایانه ها فعال می شود و پرونده های آنها را قفل می کند و طعمه های این هکرها در قبال پرداخت وجه می توانند از شر این ویروس خلاصی یابند.
این ویروس به قدری قوی عمل کرده که بر اساس گزارش شرکت ملی نفت چین توانسته است پمپ های بنزین در ۲۰ هزار ایستگاه عرضه سوخت در چین را از کار بیندازد.
شرکت «باکس» در هنگ کنگ هم گزارش کرده که دستکم ۴۸ بار مورد حمله هکرها از هفت کشور جهان قرار گرفته و خسارات زیادی را متحمل شده است.
این در شرایطی است که بر اساس گزارش رسانه های گروهی هنگ کنگ و چین هزاران مورد حمله به رایانه های سازمان های مختلف رخ داده و حملات به طور متوالی در روزهای اخیر ادامه داشته است.
همچنین از کره جنوبی نیز خبر می رسد که رایانه های زیادی در این کشور مورد حمله قرار گرفته اند.
شرکت «سی جی وی» کره جنوبی که در برنامه های تبلیغاتی فعال می باشد و زنجیره ای است می گوید که 50 مرکز آن مورد حمله این ویروس قرار گرفته است.
مسئولان کره جنوبی از مردم و شرکت های این کشور خواسته اند تمامی تدابیر امنیتی را برای رایانه های خود در نظر بگیرند.
اداره امنیت و اینترنت کره جنوبی در بیانیه ای آورده که دستکم حملات سایبری پنج شرکت دیگر کره ای را نیز هدف قرار داده است.
بر اساس اعلام کارشناسان، ممکن است حمله گسترده باج افزارها موسوم به «وانا کرای»، در روزهای آینده نیز در سراسر جهان ادامه داشته باشد و در گسترده ای افزایش یابد.
گفته می شود این بدافزار قدرتمند ساخت آژانس امنیت ملی آمریکا است که تاکنون علاوه بر قاره آسیا چندین کشور اروپایی را نیز مورد حمله قرار داده است.
هشدار حمله سایبری روز جمعه توسط شرکت های بزرگ امنیت سایبری سراسر جهان اعلام شد مبنی بر اینکه ویروس باج افزار خطرناکب به سرعت در فضای مجازی در حال انتشار است و هزاران رایانه را در سراسر جهان آلوده کرده است

انتشار باج افزار wannacrypt عمدی یا سهوی

تحلیل های حاکی از انتشار عمدی ویروس باج گیر wannacrypt برای اجبار به ارتقا سیستم عامل های قدیمی است.
 باشگاه خبرنگاران جوان؛ با پایش و دریافت گزارش های از کاربران وسعت آلودگی رایانه ها به ویروس باج گیر wannacrypt در ایران رو به افزایش است، این ویروس باج گیر تولیدات برخی از خودروسازان بزرگ دنیا را هم مختل کرده است، رئیس آژانس سیستم های انفورماتیک فرانسه هشدار داده موج حملات سایبری شرکت های مختلف را هدف قرار داده و باید در روزهای آینده منتظر پس لرزه های آن بود.
همانطور که پیش بینی شده بود موج تازه ای از این ویروس امروز به راه افتاده و با توجه به اینکه روز دوشنبه نخستین روز کاری در بسیاری از کشورهاست باز کردن ایمیل توسط کارمندان به افزایش آلودگی این ویروس دامن زده است. کشورهای آسیایی نیز از این ویروس در امان نبوده و تازه ترین قربانی آن دانشگاه های چین بوده اند که با روشن کردن رایانه ها پیش از باز کردن قفل سیستم ها از آنها درخواست پول شده است.
محققان می گویند از بین بردن این باج گیر دشوار است اما یک پژوهشگر امنیت سایبری در انگلیس می گوید موفق به کنترل انتشار این ویروس شده است.
همانطور که گفته شده این آلودگی این باج گیر رایانه ای نیز در کشور در حال افزایش است، جدیدترین آمارهای ارائه شده حکایت از آلوده شدن بیش از دو هزار قربانی به باج‌افزار wannacrypt و شناسایی حدود هزار و 500 قربانی از جانب این مرکز دارد.
هادی سجادی معاون امنیت سازمان فناوری اطلاعات در این خصوص گفت: دستورالعمل های فنی دقیقی را برای پیشگیری از این موضوع تهیه کرده ایم و در سایت مرکز به نشانی WWW.CERTCC.IR همه نسخ ویندوز وجود دارد، زیرا همه سیستم عامل های ویندوز باید به روزرسانی شود، سیستم هایی که از قبل به روزرسانی شده بدوند دچار مشکل نشدند.
وی همچنین گفته است که تنها راه مقابله این باج گیر پیشگیری است و به محض ابتدا راه حل بسیار سخت است.
آنطور که گفته میشود بیشترین آلودگی از طریق این باج افزار به ترتیب متعلق به اپراتورهای ارتباطی، سلامت و پزشکی و دانشگاهی است و بیشترین استان های آلوده، تهران و اصفهان هستند.
این باج گیر که ظاهرا از دولت امریکا به سرقت رفته است با عمدا به بیرون درز کرده بیشتر رایانه هایی که دارای ویندوز قدیمی هستند درگیر کرده است، مایکروسافت برای به روزرسانی ویندوز XP بسته به روزرسانی عرضه کرده بود اما با اقبال کاربران مواجه نشد.