بدافزارها

باج افزار Petya
۹ آبان ۱۳۹۶

باج افزار Petya

شماره‌(های) مرجع مربوطه:

نام‌های دیگر:

  • Pnyetya
  • EternalPetya
  • NotPetya
  • NoPetya
  • ExPetr
  • Petna
  • Petya NSA EE

نحوه انتشار باج افزار Petya

نسخه‌ی اولیه‌ی Petya از طریق هرزنامه منتشر می‌شود. هرزنامه‌ای که عموما به صورت یک رزومه‌ی کاری است. مدل‌های مختلفی از هرزنامه توسط سازندگان باج افزار Petya برای انتشار این بدافزار خطرناک تا به امروز ساخته شده اند. به طور مثال هرزنامه ای که حاوی پیوندی به Dropbox است و در ظاهر عکس و یا رزومه‌ی کاری فرد متقاضی در آن بارگذاری شده است. در گونه‌ای دیگر فایلی با فرمت اکسل ضمیمه شده است که حاوی یک ماکرو مخرب می‌باشد. این ماکرو در صورت اجرا شدن باج افزار Petya را بر روی سیستم قربانی نصب می‌نماید.

در نسخه‌های بعدی باج افزار Petya از اکسپلویت کیت Eternal Blue استفاده شد. قبل‌تر از آن باج افزار WannaCry از این اکسپلویت کیت استفاده کرده بود. مایکروسافت قبل از شیوع نسخه‌ی جدید باج افزار Petya اقدام به وصله نمودن آسیب‌پذیری SMB نموده بود. (MS17-010) . اما همواره به دلیل سهل انگاری در نصب وصله‌های امنیتی و دنبال نکردن اخبار آسیب‌پذیری‌ها، مهاجمان  توانسته‌اند از آسیب‌پذیری‌ها در حملات خود استفاده نمایند، زیرا همواره سیستم‌های وصله نشده و آسیب‌پذیر حتی در حساس‌ترین سازمان‌ها وجود دارند. این نسخه از باج افزار Petya بعد از آلوده کردن یک سیستم در شبکه اقدام به پویش شبکه و مشخص نمودن سیستم‌های آسیب‌پذیر دیگر می‌نماید و با رفتار کرم‌گونه‌ی خود در مدت زمان کوتاهی می‌تواند تعداد زیادی از سیستم‌ها را آلوده نماید.

نحوه کار باج افزار Petya

باج افزار Petya از آغاز از روش‌های جدیدی برای آلوده کردن و از کار انداختن سیستم‌ها استفاده کرد. نسخه‌ی اول این باج افزار در سال ۲۰۱۶ شناسایی شد. نسخه‌ی ابتدایی باج افزار Petya  به جای رمزگذاری فایل‌های کاربر، دیسک سخت سیستمش را مورد هدف قرار داد. Master Boot Record (MBR) قسمتی از دیسک سخت رایانه‌ها می‌باشد که شامل اطلاعات تعداد و ترتیب پارتیشن‌ها و همچنین کدهای لازم برای بالا آمدن سیستم عامل است. این کدها Boot Loader نام دارند و Petya  هم بر روی آنها متمرکز است. زیرا قبل از سیستم عامل اجرا می‌شود و در صورت آلوده شدن به باج افزار Petya در هر بار اجرای boot loader به جای اجرا شدن کدهای لازم برای بالا آمدن سیستم‌عامل، کدهای مخرب Petya اجرا می‌شود. در سمت کاربر به نظر می‌رسد که روند ارزیابی دیسک در حال اجراست و جای نگرانی وجود ندارد. اما در حقیقت باج افزار Petya در حال رمزگذاری Master File Table است که در حقیقت جدول اصلی فایل‌ها و بخش پنهان دیگری از دیسک سخت است. در حقیقت تمام اطلاعات مربوط به مکان فایل‌ها و پوشه‌ها در MFT قرار دارد.

در نسخه‌های بعدی، باج افزار Petya سازندگان این بدافزار از Mischa هم استفاده کردند. در این صورت اگر به هر دلیلی امکان آلوده کردن MBR فراهم نشود فایل‌های قربانی توسط باج افزار Mischa رمز می‌شوند.

نسخه‌ی دیگری از باج افزار Petya که در سال ۲۰۱۷ عرضه شد، از آسیب‌پذیری  SMB استفاده کرد و از طریق یک سری رفتار کرم گونه تنها در عرض چند ساعت موفق به آلوده کردن تعداد زیادی از سازمان‌ها و موسسات در سراسر دنیا گردید. نسخه‌ی جدید باج افزار Petya تمام دنیا و به خصوص کشورهای اروپایی و به طور عمده اوکراین را مورد هدف قرار داد. البته برخی کارشناشان امنیتی اظهار داشتند که باج افزار مزبور Petya نبوده و آن را NotPetya نامیدند. در نتیجه این باج افزار با نام NotPetya  نیز شناخته می‌شود.

پیغام باج‌خواهی باج افزار Petya

پیغام باج‌خواهی Petya به صورت یک جمجمه متشکل از کدهای اسکی است و قربانی با فشردن هر دکمه‌ای تنها پیغام مزبور را دریافت خواهد کرد. در جدیدترین نسخه از این باج افزار مقدار باج  درخواستی سیصد دلار می‌باشد. قربانی می‎بایست این باج را به صورت ارز دیجیتال(bitcoin) پرداخت نماید.

در نسخه‌های ابتدایی باج افزار Petya حتی با داشتن کلید هم امکان رمزگشایی در مواردی وجود نداشت. در نسخه‌های بعدی محققان موفق به رمزگشایی شدند اما در نسخه‌ی آخری که سازندگان باج افزار Petya ارائه کردند با توجه به رفع ایرادات کار رمزگشایی  بسیار سخت‌تر و تقریبا غیرممکن شده است.

راه‌کارهای کسپرسکی برای مقابله با باج افزار Petya

توصیه‌ی کارشناسان امنیتی کسپرسکی در مقابله با باج افزارها همیشه پیشگیری است. با این وجود کسپرسکی برای مقابله با باج افزار Petya پیشنهاداتی دارد:

  • در زمانی که با Blue Screen of Death مواجه می‌شوید یعنی فقط MFT دیسک سخت شما رمز‌نگاری شده است. در این لحظه سیستم شما یک BSOD نشان می‌دهد و در حال شروع روند بررسی دیسک است. کسپرسکی پیشنهاد می‌نماید: اگر در این مرحله قرار دارید به سرعت سسیتم خود را خاموش کنید دیسک سخت آن را جدا نموده و به سیستم دیگری وصل نمایید. همچنین در این زمان از دیسک سخت به عنوان دستگاه بالا آمدن سیستم استفاده نکنید! و به سرعت فایل‌های خود را بازیابی کنید.
  • باج افزار Petya تنها MFT را رمز می‌نماید در نتیجه امکان بازیابی فایل‌ها توسط متخصصین وجود دارد. کاربر در این زمان با وجود پرداخت هزینه نمی‌تواند به بازگشت فایل‌هایش کاملا امیدوار باشد و ممکن است آن‌ها را برای همیشه از دست بدهد.

راهکارها

  • یکی از راه‌های رایج انتشار باج افزارها از طریق هرزنامه می‌باشد. در این راستا آموزش کاربران، ضروری است.
  • ایجاد نسخه پشتیبان از اطلاعات به صورت منظم و مداوم.
  • نصب وصله‌های امنیتی به صورت بلادرنگ و بدون معطلی. بسیاری از این باج افزارها از نقاط آسیب‌پذیری کشف شده بهره می‌برند.
  • استفاده از ضد ویروس‌هایی مانند کسپرکی و به روز نگه داشتن ضد ویروس نصب شده بر روی سیستم.

آرمان داده پویان نمایندگی رسمی کسپرسکی در ایران


تازه ترین ها