باج افزار Petya چیست و چگونه فعالیت می کند ؟

bonyan 1396/04/10

بسیاری از سازمانها در اروپا و ایالات متحده توسط یک حمله باج افزاری شناخته شده به عنوان “Petya” فلج شده است. نرم افزارهای مخرب از طریق شرکت های بزرگ از جمله شرکت تبلیغ کننده WPP، شرکت غذا Mondelez، شرکت حقوقی DLA Piper و شرکت حمل و نقل دانمارکی Maersk گسترش یافته است، که با دسترسی به  رایانه ها ، داده ها را رمز گذاری و در ازای باز کردن آنها درخواست پول می کند.این دومین حمله بزرگ در سراسر جهان در دو ماه گذشته است. در اوایل ماه مه، سرویس بهداشت ملی بریتانیا در میان سازمان های آلوده WannaCry  قرار گرفت و باعث معرفی این باج افزار شد

untitled 1

حمله باج افزار WannaCry  به بیش از 230،000 کامپیوتر در بیش از 150 کشور صورت گرفت . در این میان شرکت تلفن همراه Telefónica و راه آهن دولتی آلمان  سخت ترین ضربه را متحمل شدند..
باج افزار  “Petya” به سرعت در شبکه هایی که از مایکروسافت ویندوز استفاده می کنند گسترش می یابد، اما این چه چیزی است، چرا اتفاق می افتد و چگونه می توان آن را متوقف کرد؟

باج افزار چیست؟
باج افزار  یک نوع نرم افزار مخرب است که با دسترسی به رایانه  داده های آن را مسدود می کند و جها انتشار و برگرداندن آنها درخواست پول می کند.
چگونه کار می کند؟
هنگامی که یک کامپیوتر آلوده می شود، ransomware پرونده های مهم  را رمزگذاری می کند و سپس برای استفاده از کلید های دیجیتالی مورد نیاز برای باز کردن فایل ها،  درخواست Bitcoin می کند. اگر قربانیان فایل پشتیبان جدیدی نداشته باشند، باید هزینۀ آن  را پرداخت کنند و یا تمام پرونده ها را از دست بدهند. این باج افزار معمولا برای باز کردن فایل ها درخواست سیصد دلار می کند که قربانیان باید آن را پرداخت نمایند.

آیا امکان حفاظت وجود دارد؟
در حال حاضر اکثر شرکت های مهم آنتی ویروس ادعا می کنند که نرم افزار خود را به طور فعال برای شناسایی و محافظت در برابر عفونت های “Petya” به روز می کند: محصولات Symantec با استفاده از تعاریف نسخه 20170627.009 بایداین کار را انجام دهند.کمپانی Kaspersky نیز می گوید که نرم افزار امنیتی آن اکنون می تواند بدافزار را شناسایی کند. علاوه بر این،به روز رسانی ویندوز یکی از راه های عمده عفونت را متوقف می کند.این بدافزار آنقدر در رایانه شخصی افراد باقی می ماند تا سعی کند به دیگران در همان شبکه گسترش یابد.

چرا این باج افزار Petya نامیده می شود ؟

به نظر می رسد این باج افزار مقدار قابل توجهی از کد را با یک قطعه قدیمی از ransomware که واقعا پتیا نامیده می شود به اشتراک بگذارد، اما در ساعت های پس از شیوع این باج افزار ، محققان امنیتی متوجه شدند که شباهت سطحی ایی وجود دارد.  محققان آزمایشگاه Kaspersky در روسیه بدافزار NotPetya را از بین بردند و انواع مختلفی از نام آن یعنی Petna، Pneytna و … گسترش یافت. در عوض، محققان دیگری که به طور مستقل تروجان ها را شناسایی کرده اند نامهای دیگری را به آن اضافه کردند: Bitdefender  آن را Goldeneye نامیده است.

از کجا آغاز شد؟
به نظر پلیس سایبری، این حمله از طریق مکانیسم به روزرسانی نرم افزاری ساخته شده است که در یک برنامه حسابداری ایی موجود است که شرکتهایی کشور اوکراین مجبور هستند از آن استفاده کنند. این توضیح می دهد که چرا بسیاری از سازمان های اوکراین تحت تاثیر قرار گرفتند، از جمله دولت، بانک ها، تاسیسات برق دولتی و فرودگاه و سیستم متروی کیف. سیستم مانیتورینگ تابش در چرنوبیل نیز به صورت آفلاین خارج شد و کارمندان را مجبور به استفاده از شمارنده های دستی برای اندازه گیری سطوح در محدوده مجاز نیروگاه هسته ای سابق کرد. موج دوم عفونت ها توسط یک برنامه فیشینگ که شامل فایل های مخرب بدافزار است، ایجاد شد.

تا چه حد گسترش یافته است؟
باج افزار “Petya” موجب اختلال جدی در شرکت های بزرگ در اروپا و ایالات متحده شده است، از جمله شرکت تبلیغاتی WPP، شرکت ساختمانی فرانسه، Saint-Gobain و شرکت های نفت روسیه Evraz و Rosneft. شرکت صنایع غذایی مونلودس، شرکت حقوقی DLA Piper، شرکت حمل و نقل دانمارکی و شرکت حمل و نقل AP Moller-Maersk و سیستم سلامت دره میراث، که بیمارستان ها و مراکز مراقبت در پیتسبورگ را اداره می کند.
به طور عمده، بر خلاف WannaCry، این نسخه از Petya تلاش می کند تا در داخل شبکه ها گسترش یابد، اما از داخل خود شبکه خارج نمی شود که باعث کاهش سرعت گسترش عفونت می شود.
untitled

آیا این یکی دیگر از جنایات فرصت طلبانه سایبری است؟
در ابتدا به نظر می رسید که شیوع آن فقط یکی دیگر از جنایات مهاجمان سایبری ایی  بود که از سلاح های سایبری آنلاین استفاده می کردند. با این حال، کارشناسان امنیتی می گویند که مکانیسم پرداخت این حمله بیش از حد آماتور است و بعید به نظر می رسد  که توسط جنایتکاران جدی انجام شدهباشد. در مرحله اول،شامل همان آدرس پرداخت بیت کوین برای هر قربانی است. بیشتر ransomware یک آدرس سفارشی برای هر قربانی ایجاد می کند. ثانيا حتی اگر کسی جریمه را پرداخت کند، هیچ راهی برای برقراری ارتباط با مهاجم برای درخواست کلید رمزگشایی برای باز کردن فایل های خود ندارند.

چه کسی در پشت این حمله است؟
روشن نیست، اما به نظر می رسد  “پتیا” یک “حمله عمدی، مخرب، و یا شاید تست مبنی بر خرابکاری است”. Grugq محقق ارشد امنیتی اشاره کرد که   نسخه جدید “قطعا برای کسب درآمد طراحی نشده است.اوکراین روسیه را برای حملات سایبری قبلی، از جمله یکی در شبکه برق خود در پایان سال 2015 ،متهم کرده است. روسیه نیز  حملات سایبری به اوکراین را منکر شده است.

اگر شما توسط ransomware تحت تاثیر قرار گرفتید چه کاری باید انجام دهید؟
ransomware کامپیوتر را آلوده می کند و سپس حدود یک ساعت قبل از راه اندازی مجدد دستگاه منتظر می ماند. در حالی که دستگاه راه اندازی مجدد شده است، می توانید کامپیوتر را خاموش کنید تا از رمزگذاری فایل ها جلوگیری شود و سعی کنید فایل ها را از دستگاه نجات دهید. واگر سیستم شما تویط یبلاج افزار تصرف شد هیچ هزینه ای پرداخت نکنید.
هیچ راهی برای به دست آوردن کلید decryption برای باز کردن فایل های شما وجود ندارد. کامپیوتر خود را از اینترنت جدا کنید، دیسک سخت را فرمت کنید و از فایل های خود را از یک نسخه پشتیبان تهیه کنید. بهترین کار آن است که همیشه  فایل های خود را به طور مرتب بایگانی کنید و نرم افزار ضد ویروس خود را به روز نگه دارید.

منبع : https://www.theguardian.com/technology/2017/jun/27/petya-ransomware-cyber-attack-who-what-

بدون دیدگاه