سرهنگ دوم علی نیک‌نفس رئیس مرکز تشخیص و پیشگیری پلیس فتا در خصوص باجافزار اظهار کرد: در روز 12 می 2017 (22 اردیبهشت 96) یک نمونه جدید از باجافزار Ransome.CryptXXX) wannacrypt) به طور گسترده‌ای تعداد زیادی ازارگان‌ها و سازمان‌ها به ویژه در اروپا را تحت تاثیر قرار داده و آلودهکرده است.سرهنگ دوم علی نیک‌نفس در خصوص معرفی باج افزار گفت:این باج افزار داده‌ها را رمز کرده و سپس درخواست 300 دلار در قالببیت‌کوین در قبال رمز گشایی آن و اجازه دسترسی صاحبان اطلاعات را می‌کند.سپس عنوان می‌کند که اگر تا 3 روز مبلغ پرداخت نگردد میزان درخواستی آنهادوبرابر خواهد شد و اگر مبلغ تا هفت روز پرداخت نگردد، داده‌های رمز شدهحذف خواهند شد. این باج افزار همچنین یک فایل با نام !Please ReadMe!.txt به جا می‌گذارد که شامل متنی است که اعلام می‌کند که چه اتفاقیافتاده و باج ‌ درخواستی به چه صورت باید پرداخت شود.

سرهنگ نیک نفس توضیح داد: باج افزار wannacrypt فایل هایی باپسوندهای .backup .tiff .djvu .mpeg .class .java.accdb .sqlitedb .sqlite3.lay6 xltm .pptm .ppsm .ppsx .ppam .potx .potm .sldx .sldm .vmdk . vsdx.onetoc2 .jpeg .docb .docm. dotm .dotx .xlsm .xlsb .xltx. docx .xlsx.pptx. را رمزگذاری می کند.

رئیس مرکز تشخیص و پیشگیری ادامهداد: این باج افزار به دیگر سیستم‌ها با بکارگیری آسیب پذیری کداجرایی SMBv2 remote در سیستم‌های ویندوزی انتقال پیدامی‌کند (MS17-010). سازمان‌ها می‌بایست مطمئن شوند که آخرین به روز رسانیامنیتی ویندوز و به خصوص MS17-010 را به منظور جلوگیری از انتشار آن نصبکرده‌اند.

سرهنگ نیک نفس در خصوص اینکه چه کاربران یا سازمان‌هایتحت تاثیر این باج افزار قرار گرفته اند، گفت: تعدادی از سازمان‌ها کهبیشتر آنها در اروپا هستند متاثر از این باج افزار شده‌اند. در زیر نوشتهیک پزشک از یکی از بیمارستان‌های لندن که تحت تاثیر این باج افزار قرارگرفته آمده است: \"همه چیز از کار افتاده است، هیچ نتیجه آزمایشی نداریم،هیچ گروه خونی در دسترس نیست، تمام عمل‌های جراحی کنسل شده است.\" بر طبقگزارش Symantec تاکنون رمزگشای این باج افزار موجود نیست و در همان ساعاتاولیه فعالیت باج افزار بیش از 74 کشور عمدتا در اروپا و آسیا را تحت تاثیرقرار داده است.

سرهنگ نیک نفس در تشریح میزان آلودگی در 24 ساعت گذشته گفت: این باج افزاربه سرعت در حال گسترش است و به تمامی قاره‌ها نفوذ کرده است.

وی در خصوص راهکارهای محافظتی برای جلوگیری از آلوده شدن سیستم ها بهاین باج افزار گفت: غیر فعال کردن SMBv1 با استفاده دستورDisable-WindowsOptionalFeature –Online –FeatureName smb1protocol بهکاربران کمک می کند تا مانع از آلودگی شوند.

سرهنگ نیک نفس با بیان اینکه تمامی سیستم عامل‌ها و نرم افزارهای خود رابه روز نگه دارید، افزود: آپدیت‌های جدید گاهی شامل Patchهای آسیب پذیریهستند که ممکن است باج افزارها از آن استفاده کنند. لذا باید به محض ارائهوصله های امنیتی جدید سیستم را به روز رسانی مجدد نمود.

رئیسمرکز تشخیص و پیشگیری ادامه داد: ایمیل‌ها یکی از اصلی‌ترین روش‌های انتشارباج افزار است. مراقب ایمیل‌های ناخواسته باشید. به ویژه ایمیل‌های کهضمیمه آن‌ها فایل های مایکروسافتی هستند. مطمئن شوید که ایمیل‌ها را ازمنبع مطمئن دریافت کرده‌اید و برای باز کردن فایل‌های ضمیمه، ماکرو را فعالنکنید.

به گفته وی پشتیبان گیری از داده‌های حساس ساده‌ترین راه برای مبازره با این باج‌افزار است.

براساس گزارش پلیس فتا، این باج افزار از آسیب پذیری ویندوزیاستفاده کرده واقدام به آلوده کردن سیستم‌ها نموده است. سیستم آلوده نیزسیستم‌های متصل به شبکه را آلوده کرده و این فرآیند ادامه می‌یابد. در صورتبه روز رسانی سیستم عامل و دیفندر آن، از ابتلای سیستم جلوگیری به عملمی‌آید.

روش دیگر برای جلوگیری از این باج افزار بستن Port 445 می باشد که در ادامه راه های بستن این پورت آموزش داده شده است.

اموزش راه اول بستن پورت 445 در ویندوز 7.

ابتدا وارد \"Control Panel\" شوید و بعد \"Windows Firewall\" را باز کنید.درمنوی ویندوز فایروال بر روی\"Advanced Setting\"کلیک کرده و\"Inbound Rules\"روش کیک کنید در سمت راست\"New Rule\"رو بزنید...و بعد که باز شد تیک\"Port\"رو بزنید و بعد \"Next\" و مانند تصاویر زیر قدم به قدم عمل کنید.

روش دوم بستن پرت 445:

بر روی \"My Cuomputer\"راست کلیک کرده و وارد \"Manage\"شوید در\"Computer Managment\" در سمت راست\"Menu\" بر روی \"Service And Applications\" کلیک کرده و وارد شوید. در همون\"Menu\" شما بر روی \"Services\" کلیک کرده و وارد شوید,در \"Services\" \" شماباید \"Server\" رو پیدا کنید و بعد دوبار کلیک کره بر روش و وارد \"(ServerProperties(Local Computer شوید و بعد در قسمت \"General\" در اون پایین\"Startup typ\" این گزینه \"Automatic Delayed Start\" رو \"Disable\" کنید و\"Ok\" بزنید و بعد کامپیوتر خود را \"Restart\" کنید,بعد از انجام این کارها وریستارت کردن سیستم,در CMD تایپ کنید