به گزارش ایسنا، باجافزار جدید پتیا (Goldeneye/Petya) در حال گسترش است و نحوه گسترش و نیز عملکرد آن بسیار مشابه باجافزار واناکرای است. در حال حاضر این باجافزار شرکتهای کامپیوتری، کمپانیهای تولیدکننده برق و نیز بسیاری از بانکها را در کشورهای روسیه، اوکراین، اسپانیا، فرانسه، انگلیس و هند، آلوده کرده است.
پتیا مانند واناکرای، توسط آسیبپذیری SMB سیستم عامل ویندوز، گسترش پیدا میکند. این باجافزار همانند یکی از فایلهای ویندوز در سیستم قربانی قرار میگیرد که ظاهرا توسط یک برنامه دیگر اجرا و راه اندازی میشود. یک بار که این فایل اجرا شود تقریبا کار تمام است و تنظیمات سیستم قربانی را طوری تغییر میدهد که طبق برنامهریزی خاصی سیستم دوباره راه اندازی شود. همین که سیستم قربانی دوباره راهاندازی شود، اطلاعات آن رمزنگاری شده و یک پیغام با محتوای اخاذی ظاهر خواهد شد.
پتیا تفاوتهایی با دیگر باجافزارها دارد؛ مهمترین و خطرناکترین این تفاوتها آن است که باجافزار فایلهای روی یک سیستم را به صورت جداگانه آلوده نمیکند، بلکه کامپیوتر قربانی را راهاندازی مجدد کرده و سپس MFT مربوط به دیسک سخت قربانی را رمزگذاری میکند. این رمزگذاری باعث میشود MBR بیاستفاده و ناکارآمد شود و در نتیجه دسترسی به تمامی اطلاعات مربوط به فایلها (نام، حجم و آدرس) را محدود میکند.
اگر پیام پتیا را دریافت کردید، فایلهایتان دیگر قابل دسترس نیستند
آخرین بررسیهای تحلیلی نشان داده است که این باجافزار اساساً تخریبگر اطلاعات بوده و حتی مهاجمین دسترسی به کلیدهای رمزنگاری و امکان بازگردانی اطلاعات رمز شده را ندارند. علاوه بر این، ایمیل ارتباطی با مهاجمین نیز توسط سرویسدهنده مربوطه مسدود شده است. لذا جدا از پرداخت هرگونه وجهی به مهاجمین خودداری کنید. البته بنا به گزارش مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای)، تاکنون گزارشی مبنی بر آلودگی کاربران داخل کشور به این باج افزار دریافت نشده است.
باجافزار پتیا در واقع کد خود را به جای MBR جایگزین میکند که در نهایت موجب میشود هنگام روشن شدن سیستم کاربر با چنین پیامی مواجه شود: اگر در حال خواندن این متن هستید، فایلهای شما رمزگذاریشده و دیگر قابل دسترس نیستند. احتمالا شما در حال حاضر به دنبال راهی هستید که فایلهای خود را بازیابی کنید، اما وقت خود را تلف نکنید هیچکس بدون سرویسهای رمزگشایی ما قادر به بازگرداندن فایلهای شما نیست.
با توجه به اسکرینشاتهای تهیه شده از دستگاههای آلوده، این باجافزار از شما درخواست مبلغی برابر ۳۰۰ دلار برحسب بیتکوین میکند. پس از اجرا شدن باجافزار، سیستم قربانی هیچگونه کارایی ندارد و در واقع بین سیستم قربانی و افراد حملهکننده یا هر شخصی دیگری هیچ راه ارتباطی وجود نخواهد داشت.
پتیا تاکنون رایانههای بسیاری را در کشورهای مختلف آلوده کرده است. این باجافزار کمپانی بزرگ نفتی روسی به نام Rosneft و نیز برخی از کمپانیهای تولیدکننده برق اوکراینی را آلوده کرده است. تعدادی از بانکها نیز آلودگی دستگاههای خود توسط باجافزار پتیا را در صفحه توییتر خود اعلام کردهاند. در این میان بزرگترین آسیب توسط اوکراین گزارش شده است. هم اکنون دستگاههای متروی محلی و همچنین فرودگاه اوکراین توسط این باجافزار آسیب دیدهاند. سه اپراتور ارتباطی اوکراین نیز در حملات اخیر دچار آسیب شدهاند.
نرمافزار آفیس را بهروزرسانی کنید
در حال حاضر تنها راه پیشگیری از آلودگی دستگاهها به این باجافزار، این است که تمامی دستگاههای روی شبکه خود را بهروزرسانی کنید. اطلاعاتی غیررسمی از کارشناسان امنیتی اوکراینی وجود دارد که نشان میدهد آسیبپذیریCVE ۲۰۱۷-۰۱۹۹ توسط این باجافزار مورد استفاده قرار میگیرد. از این رو پیشنهاد میشود نرمافزار مایکروسافت آفیس، جهت جلوگیری از آلوده شدن به این باجافزار بهروزرسانی شود.
متاسفانه تاکنون راهکاری برای بازگردانی فایلهای رمزشده کشف نشده است، اما با توجه به این که این باجافزار فایلها را در زمان بارگذاری مجدد سیستم عامل شروع به رمزنگاری میکند، در صورت عدم راهاندازی مجدد سیستم عامل پس از آلوده شدن، با قرار دادن دیسک لایو میتوان به فایلها دسترسی داشت.
همچنین در صورتی که سیستم عامل پس از آلوده شدن مجددا راهاندازی شد، اگر قبل از به اتمام رسیدن رمزنگاری رایانه خاموش شود، احتمالا امکان بازگردانی فایلهای باقی مانده با استفاده از دیسک لایو وجود داشته باشد. این باجافزار در صورت آلوده کردن رایانه در زمان بارگذاری مجدد، رایانه را مجبور به توقف ۳۰ الی ۴۰ دقیقهای با استفاده از تابع sleep میکند که این امر میتواند نشاندهنده آلوده شدن رایانه کاربر باشد.
برخلاف توصیههای انجام شده در راستای باجافزار واناکرای در ماه مه سال ۲۰۱۷ میلیادی (کمتر از دو ماه پیش)، باز هم بسیاری از دستگاههایی که از ویندوز استفاده میکردند این آسیبپذیری را جدی نگرفته و برای رفع آن اقدامی نکردهاند.
این باجافزار از معدود باجافزارهایی است که علاوه بر کارایی مخرب خود روی سیستم قربانی، برای توسعه و تکثیر از بستر اینترنت و شبکه استفاده میکند و بنابراین همانند کرمهای بسیار خطرآفرین شده است و در نهایت باید از پرداخت پول به این باجافزار خودداری شود. با پرداخت پول نمیتوانید فایلهای خود را برگردانید.
افرادی که این حمله را سازماندهی میکنند از طریق یک ایمیل از شما درخواست پول میکنند که شرکت آلمانی ارائهدهنده سرویس Posteo، در تاریخ ۲۷ جولای ۲۰۱۷ میلادی این ایمیل را به دلیل جرائم اینترنتی مسدود کرده است. این ایمیل در سیستم قربانی جهت ارسال پول درخواستی و همچنین دریافت کلید بازگردانی فایلها استفاده میشد که هم اکنون مسدود است.
انتهای پیام
نظرات