هشدارمهم! آمادگی در برابر ويروس وایپر
براساس گزارشات دريافتي، تعدادی از شرکتهای ایرانی اخیرا آلوده به ویروس خطرناکی شده اند كه اطلاعات دستگاهها رابصورت دائمي وغيرقابل برگشت، حذف ميكند. بدلیل اهمیت موضوع لازم است مدیران محترم شبکه توصیه های زیر را به منظور اطمینان بیشتر و کاهش ریسک این تهدید و سایر تهدیدات مشابه در شبکه خود انجام دهند:
1 – ازبه روزبودن آنتی ویروس خود برروي تمامی دستگاههای شبكه اطمينان حاصل كنيد
2 – ازاطلاعات خوديك نسخه پشتيبان بطوركامل تهيه كرده ودرمحل ديگری بصورت Offline مثلاًبر روی HDDهای External ويا DVD كپی كنيد .
3- آخرين بسته هاي بروزرسانی های واصلاحيه (Patch) سيستم عامل ونرم افزارهای كاربردی مورداستفاده رابرروي تمام دستگاههاوبه ويژه Serverهانصب كنيد ، براي اينكارمي توان ازنرم افزار WSUS و يا سایر نرم افزار های Patch Management مانند GFI Languard استفاده كرد .
4 – دسترسي كاربران به درگاههاي فيزيكي ماننددرگاه USB برای استفاده ازديسكهای قابل حمل رامحدودكنيد . برای اينكارميتوان از Application And Device Control در Symantec استفاده كرد .
5 –درصورتي كه ازسخت افزارهاي امنيتی يا نرم افزارهای Firewall برروي ورودي شبكه (Gateway) استفاده می كنيد ، دسترسي كاربران به اينترنت رامحدودبه سرويسها و پورتهای مورد نیازنماييد.
متاسفانه در حال حاضر خبر و اطلاعاتي در مورد بدافزار مورد نظر در اينترنت و سايتهاي خارجي معتبر وجود نداشته و در هيچ كشوري مشابه آن گزارش نشده است. از آنجا كه بدافزار مورد اشاره تاكنون توسط هيچ آنتي ويروس داخلي و خارجي شناسايي نشده و همچنين sample فايل آلوده جهت گزارش و ارسال نيز در دسترس نيست، در حال حاضر روشي براي پاك سازي و يا شناسايي قبل از وقوع وجود ندارد.
با اين وجود برخي منابع كارشناسي وتحقيقاتي درباره روش مقابله باويروس احتمالي Wipe راهكاري را بصورت زير پيشنهاد داده اند. با بررسیهای دقیق مشخص شد در تمام این موارد از دستور diskpart استفاده شده است. این دستور از دستورات command prompt می باشد و در ویندوز هم قابل اجرا است. براين اساس، توصیه اکید می شوددسترسي وفعاليت فايل diskpart.exe که از فایلهای سیستمی Windows بوده و در حالت عادی کاربردی ندارد محدود گردد.
جهت جلوگيري از اجراي فايل diskpart.exe لازم است از هر دو روش زير به صورت همزمان استفاده گردد تا از هرگونه احتمال خطر اجتناب شود.
روش اول(تغيير نام فايل diskpart.exe بر روي تمامي سرورها و كلاينتهاي مهم):
فايل diskpart.exe که از فایلهای سیستمی Windows بوده و در حالت عادی کاربردی ندارد در محل های زير قرار دارد:
%windir%system32diskpart.exe
%windir%system32en-USdiskpart.exe.mu
تغییرنام این فایل ها بايد در حالت Safe mode انجام شود.زيرا ويندوز در حالت عادي اجازه انجام اين كار را نمي دهد.
نكته: در ويندوز 7 ابتدا دستورات زير را اجرا كنيد بعد بر روی فایلها کلیک راست کرده و permision آنها را fullcontrol کنید و سپس اقدام به تغییر نام نمایید .
takeown /f c:windowssystem32diskpart.exe
takeown /f c:windowssystem32en-USdiskpart.exe.mui