به‌روزرسانی؛ تنها راه پیشگیری از آلودگی

تنها راه پیشگیری از آلودگی دستگاه‌ها به باج‌افزار پتیا، به‌روزرسانی تمامی دستگاه‌های شبکه است و با توجه به آسیب‌پذیری‌هایی که این باج‌افزار ایجاد می‌کند، پیشنهاد می‌شود نرم‌افزار مایکروسافت آفیس، جهت جلوگیری از آلوده شدن به این باج‌افزار به‌روزرسانی شود.

به گزارش ایتنا از ایسنا، باج‌افزار جدید پتیا (Goldeneye/Petya) در حال گسترش است و نحوه‌ گسترش و نیز عملکرد آن بسیار مشابه باج‌افزار واناکرای است. در حال حاضر این باج‌افزار شرکت‌های کامپیوتری، کمپانی‌های تولیدکننده برق و نیز بسیاری از بانک‌ها را در کشورهای روسیه، اوکراین، اسپانیا، فرانسه، انگلیس و هند، آلوده کرده است.

پتیا مانند واناکرای، توسط آسیب‌پذیری SMB سیستم عامل ویندوز، گسترش پیدا می‌کند. این باج‌افزار همانند یکی از فایل‌های ویندوز در سیستم قربانی قرار می‌گیرد که ظاهرا توسط یک برنامه دیگر اجرا و راه‌ اندازی می‌شود. یک بار که این فایل اجرا شود تقریبا کار تمام است و تنظیمات سیستم قربانی را طوری تغییر می‌دهد که طبق برنامه‌ریزی خاصی سیستم دوباره راه‌ اندازی شود. همین که سیستم قربانی دوباره راه‌اندازی شود، اطلاعات آن رمزنگاری شده و یک پیغام با محتوای اخاذی ظاهر خواهد شد.

پتیا تفاوت‌هایی با دیگر باج‌افزارها دارد؛ مهم‌ترین و خطرناک‌ترین این تفاوت‌ها آن است که باج‌افزار فایل‌های روی یک سیستم را به صورت جداگانه آلوده نمی‌کند، بلکه کامپیوتر قربانی را راه‌اندازی مجدد کرده و سپس MFT مربوط به دیسک سخت قربانی را رمزگذاری می‌کند. این رمزگذاری باعث می‌شود MBR بی‌استفاده و ناکارآمد شود و در نتیجه دسترسی به تمامی اطلاعات مربوط به فایل‌ها (نام، حجم و آدرس) را محدود می‌کند.

اگر پیام پتیا را دریافت کردید، فایل‌هایتان دیگر قابل دسترس نیستند
آخرین بررسی‌های تحلیلی نشان داده است که این باج‌افزار اساساً تخریب‌گر اطلاعات بوده و حتی مهاجمین دسترسی به کلیدهای رمزنگاری و امکان بازگردانی اطلاعات رمز شده را ندارند. علاوه بر این، ایمیل ارتباطی با مهاجمین نیز توسط سرویس‌دهنده مربوطه مسدود شده است. لذا جدا از پرداخت هرگونه وجهی به مهاجمین خودداری کنید. البته بنا به گزارش مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای)، تاکنون گزارشی مبنی بر آلودگی کاربران داخل کشور به این باج افزار دریافت نشده است.

باج‌افزار پتیا در واقع کد خود را به جای MBR جایگزین می‌کند که در نهایت موجب می‌شود هنگام روشن شدن سیستم کاربر با چنین پیامی مواجه شود: اگر در حال خواندن این متن هستید، فایل‌های شما رمزگذاری‌شده و دیگر قابل دسترس نیستند. احتمالا شما در حال حاضر به دنبال راهی هستید که فایل‌های خود را بازیابی کنید، اما وقت خود را تلف نکنید هیچ‌کس بدون سرویس‌های رمزگشایی ما قادر به بازگرداندن فایل‌های شما نیست.

با توجه به اسکرین‌شات‌های تهیه شده از دستگاه‌های آلوده، این باج‌افزار از شما درخواست مبلغی برابر ۳۰۰ دلار برحسب بیت‌کوین می‌کند. پس از اجرا شدن باج‌افزار، سیستم قربانی هیچ‌گونه کارایی ندارد و در واقع بین سیستم قربانی و افراد حمله‌کننده یا هر شخصی دیگری هیچ راه ارتباطی وجود نخواهد داشت.

پتیا تاکنون رایانه‌های بسیاری را در کشورهای مختلف آلوده کرده است. این باج‌افزار کمپانی بزرگ نفتی روسی به نام Rosneft و نیز برخی از کمپانی‌های تولیدکننده برق اوکراینی را آلوده کرده است. تعدادی از بانک‌ها نیز آلودگی دستگاه‌های خود توسط باج‌افزار پتیا را در صفحه توییتر خود اعلام کرده‌اند. در این میان بزرگ‌ترین آسیب توسط اوکراین گزارش شده است. هم اکنون دستگاه‌های متروی محلی و همچنین فرودگاه اوکراین توسط این باج‌افزار آسیب دیده‌اند. سه اپراتور ارتباطی اوکراین نیز در حملات اخیر دچار آسیب شده‌اند.

نرم‌افزار آفیس را به‌روزرسانی کنید
در حال حاضر تنها راه پیشگیری از آلودگی دستگاه‌ها به این باج‌افزار، این است که تمامی دستگاه‌های روی شبکه خود را به‌روزرسانی کنید. اطلاعاتی غیررسمی از کارشناسان امنیتی اوکراینی وجود دارد که نشان می‌دهد آسیب‌پذیریCVE 2017-01999 توسط این باج‌افزار مورد استفاده قرار می‌گیرد. از این رو پیشنهاد می‌شود نرم‌افزار مایکروسافت آفیس، جهت جلوگیری از آلوده شدن به این باج‌افزار به‌روزرسانی شود.

متاسفانه تاکنون راهکاری برای بازگردانی فایل‌های رمزشده کشف نشده است، اما با توجه به این که این باج‌افزار فایل‌ها را در زمان بارگذاری مجدد سیستم عامل شروع به رمزنگاری می‌کند، در صورت عدم راه‌اندازی مجدد سیستم عامل پس از آلوده شدن، با قرار دادن دیسک لایو می‌توان به فایل‌ها دسترسی داشت.

همچنین در صورتی که سیستم عامل پس از آلوده شدن مجددا راه‌اندازی شد، اگر قبل از به اتمام رسیدن رمزنگاری رایانه خاموش شود، احتمالا امکان بازگردانی فایل‌های باقی مانده با استفاده از دیسک لایو وجود داشته باشد. این باج‌افزار در صورت آلوده کردن رایانه در زمان بارگذاری مجدد، رایانه را مجبور به توقف ۳۰ الی ۴۰ دقیقه‌ای با استفاده از تابع sleep می‌کند که این امر می‌تواند نشان‌دهنده آلوده شدن رایانه کاربر باشد.

برخلاف توصیه‌های انجام شده در راستای باج‌افزار واناکرای در ماه مه سال ۲۰۱۷ میلیادی (کمتر از دو ماه پیش)، باز هم بسیاری از دستگاه‌هایی که از ویندوز استفاده می‌کردند این آسیب‌پذیری را جدی نگرفته و برای رفع آن اقدامی نکرده‌اند.

این باج‌افزار از معدود باج‌افزارهایی است که علاوه بر کارایی مخرب خود روی سیستم قربانی، برای توسعه و تکثیر از بستر اینترنت و شبکه استفاده می‌کند و بنابراین همانند کرم‌های بسیار خطرآفرین شده است و در نهایت باید از پرداخت پول به این باج‌افزار خودداری شود. با پرداخت پول نمی‌توانید فایل‌های خود را برگردانید.

افرادی که این حمله را سازماندهی می‌کنند از طریق یک ایمیل از شما درخواست پول می‌کنند که شرکت آلمانی ارائه‌دهنده سرویس Posteo، در تاریخ ۲۷ جولای ۲۰۱۷ میلادی این ایمیل را به دلیل جرائم اینترنتی مسدود کرده است. این ایمیل در سیستم قربانی جهت ارسال پول درخواستی و همچنین دریافت کلید بازگردانی فایل‌ها استفاده می‌شد که هم اکنون مسدود است.


منبع : ایتنا

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

خدمات پس از فروش