به گزارش گرداب، باجافزار Petya از سال 2016 شروع به فعالیت کرده است و نسخه تغییریافته این باجافزار از تاریخ 27 ورژن 2017 شروع به انتشار کرده که تعداد زیادی از سازمانها را آلوده کرده است. این باجافزار مانند باجافزار WannaCry از آسیبپذیری SMB، برای گسترش خود استفاده میکند. شرکت Symantec و Norton ادعا کردهاند که محصولات آنها از گسترش این باجافزار در استفاده از آسیبپذیری مذکور محافظت میکند. همچنین Symantec این باجافزار را تحت عنوان Ransom.Petya شناسایی میکند.
شرکت Avast نیز اعلام کرده است که آنتیویروس آنها قادر به شناسایی و حذف این باجافزار است به این صورت که اگر سیستم توسط این باجافزار آلوده شد، آن را شناسایی، قرنطینه و از بین میبرد و همچنین از ورود آن به سیستم هم جلوگیری میکند.
تفاوت این باجافزار با سایر باجافزارها در این است که علاوه بر رمزنگاری فایلها، جدول boot record یا همان MBR را نیز رمز نگاری میکند. در حملات روز گذشته، این باجافزار متن زیر در سیستم آلوده شده نمایش داده میشود که در آن درخواست 300 دلار به صورت بیت کوین برای رمزگشایی فایلها شده است:
به گزارش پایگاه اطلاع رسانی پلیس فتا، باجافزار Petya از آسیب پذیری MS17-010 (که به عنوان Eternal Blue نیز شناخته میشود) برای انتشار خود استفاده میکند. تا زمان تدوین این گزارش، عمدتا کشورهای اروپایی درگیر این باجافزار شدهاند و در این میان کشور اوکراین بیشترین میزان آلودگی تا کنون را داشته است ازجمله مترو کیِف، بانک ملی اوکراین، چندین فرودگاه و... و تاکنون 36 تراکنش بیت کوین برای آدرس بیت کوین مربوط به این باجافزار ثبت شده است و مبلغ آن حدود 3.63676946 بیت کوین معادل حدود 8900 دلار است.
تعدادی از کمپانی های چند ملیتی مانند Nivea، Maersk، WPP، Mondelez نیز خبر از آلودگی به این باجافزار داده اند. تا این زمان مشخص نشده است که اهداف این باجافزار سازمانها و ارگانهای خاصی باشد اما نسخه قبلی این باجافزار به منظور حمله به سازمانها طراحی شده بود.
اگر فایلهای یک سیستم توسط این باجافزار رمز شود روشی برای بازگرداندن آنها وجود ندارد و متاسفانه تا کنون هیچ رمزگشای قابلاطمینانی برای بازگردانی فایلها وجود ندارد و فعلاً پیشگیری، بهترین راهحل است. حتی پرداخت وجه مورد درخواست تضمینی برای رمزگشایی فایلها نیست.
باجافزار Petya به منظور آلودگی گسترده طراحی شده است و برای این منظور از آسیب
پذیری EternalBlue استفاده میکند. زمانی که استفاده از آسیب پذیری با موفقیت انجام شد، باجافزار خود را در سیستم هدف در شاخه C:\Windows کپی کرده و با بکارگیری rundll32.exe شروع به اجرای خود میکند. سپس این باجافزار شروع به رمزنگاری فایلها و MBR کرده و یک زمانبند برای ریبوت کردن سیستم بعد از یک ساعت به کار میگیرد.
رمزنگاری مورد استفاده این باجافزار AES-128 with RSA است. فایلهای با فرمت زیر مورد حمله این باجافزار قرار میگیرد:
.3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip
همچنین سعی میکند که Event log را نیز به منظور مخفی کردن اثرات خود پاک کند. پس از ریبوت شدن سیستم پیغام زیر مبنی بر چک کردن سیستم و سپس صفحه اصلی درخواست باج ظاهر میشود:
روشهای پیشنهادی به منظور پیشگیری از ابتلا به باجافزار:
سیستم ویندوز باید توسط آخرین وصلههای امنیتی بروزرسانی شود.
قبل از بازکردن فایلهای پیوست ایمیل، باید از فرستنده آن مطمئن شد.
پروتکل SMB غیر فعال شود و patch MS17-010 از سایت ماکروسافت دریافت و نصب شود.
پورت های 445 و 139 بر روی فایروال بسته شود.
غیر فعال کردن اسکریپتهای ماکرو از فایلهای آفیسی که از ایمیل دریافت میشود. به جای باز کردن فایلهای آفیس با استفاده از نسخه کامل آفیس، از office viewer استفاده شود.
فراهم کردن فیلترینگ مناسب و قوی برای فیلترکردن اسپم و جلوگیری از ایمیلهای فیشینگ.
اسکن تمامی ایمیلهای ورودی و جروجی برای شناسایی تهدیدات و فیلتر کردن فایلهای اجرایی برای کاربران.
Patch کردن سیستم عامل ها، نرمافزار، firm ware، و تجهیزات.
ملاحظات:
بکآپگیری دورهای از اطلاعات حساس
اطمینان از اینکه بکآپها به صورت مستقیم به کامپیوتر و شبکهای که از آن بکآپ گرفته میشود وصل نیست.
ذخیره کردن بکآپها بر روی cloud و همچنین فضای ذخیرهسازی فیزیکی آفلاین؛ بعضی از باجافزارها این قابلیت را دارند که بکآپهای تحت cloud را نیز lock کنند. بکآپها بهترین روش برای بازگرداندن دادههای رمز شده توسط باجافزار هستند. البته با توجه به اینکه سرورهای cloud در خارج از کشور ما هستند لذا ذخیره بکآپها به این روش در کشور ما نیاز به رعایت ملاحظات امنیتی دارد و میتواند مورد استفاده قرار گیرد.
منبع: تسنیم