پس از باجافزار واناکرای و حمله گستردهاش به سازمانهای متعدد در کشورهای مختلف، این بار “پتیا” به سرعت در حال پخش شدن در سراسر اروپا و سایر قارههاست.
به گزارش نشریه اینترنتی نوجوان ها به نقل از ایسنا، باجافزار پتیا (Petya) که در محافل امنیت سایبری با نام پتنا (Petna) هم شناخته میشود، از اواخر ماه مارس سال ۲۰۱۶ شروع به فعالیت کرد؛ نسخه تغییریافته این باجافزار از تاریخ ۲۷ ژون ۲۰۱۷ شروع به انتشار کرده که تعداد زیادی از سازمانها را آلوده کرده است. این باجافزار مانند باجافزار واناکرای (WannaCry) از آسیبپذیری SMB، برای گسترش خود استفاده میکند.
تاکنون، نفوذ این باجافزار در بیش از ۱۴ کشور از جمله آمریکا، مکزیک، ایران و برزیل تایید شده و انتظار میرود که کشورهای بیشتری به آن آلوده شده باشند. غافلگیرکنندهترین بخش ماجرا اینجاست که آخرین گونه از باجافزار پتیا از همان اکسپلویتی که در جریان واناکرای هم باعث آلوده شدن بیش از ۲۰۰ هزار کامپیوتر شده بود، استفاده میکند. علیرغم وصلههای امنیتی و توصیههایی که در آن جریان ارائه شد، ظاهراً هنوز خیلی از شرکتها به این توصیهها اعتنا نکردهاند.
تا زمان تدوین این گزارش که در سایت پلیس فتا منتشر شده است، عمدتا کشورهای اروپایی درگیر این باجافزار شدهاند و در این میان کشور اوکراین بیشترین میزان آلودگی تا کنون را داشته است، از جمله مترو کیِف، بانک ملی اوکراین و چندین فرودگاه تاکنون ۳۶ تراکنش بیتکوین برای آدرس بیتکوین مربوط به این باجافزار ثبت شده که مبلغ آن معادل حدود ۸۹۰۰ دلار است. تا این زمان مشخص نشده است که اهداف این باجافزار سازمانها و ارگانهای خاصی باشد اما نسخه قبلی این باجافزار به منظور حمله به سازمانها طراحی شده بود.
پتیا چطور کار میکند؟
باجافزار پتیا به منظور آلودگی گسترده طراحی شده است و برای این منظور از آسیبپذیری اترنالبلو (EternalBlue) استفاده میکند. زمانی که استفاده از آسیبپذیری با موفقیت انجام شد، باجافزار خود را در سیستم هدف کپی و شروع به اجرای خود میکند. سپس این باجافزار شروع به رمزنگاری فایلها وMBR کرده و یک زمانبند برای ریبوت کردن سیستم بعد از یک ساعت به کار میگیرد.
نکتهای که پتیا را منحصربهفرد میکند این است که این باجافزار به جای ویندوز از سیستم عامل کوچک خود استفاده میکند، بنابراین قادر است ساختارهای حیاتی سیستم فایل کامپیوتر را در صورت راهاندازی مجدد آن روی دیسک بوت رمزنگاری کند. گونهی بعدی پتیا هم از همین روش و تقریبا با همان کد سیستم عامل نسخهی قبلی پتیا کار میکرد، اما روش مخصوص به خودش را برای پخش شدن، رمزنگاری فایلها و آلوده کردن سیستم به کار میبرد.
در صورتی که سیستم به شکل موفقیتآمیزی آلوده میشد، پتیا با نمایش صفحهای که به زبان انگلیسی نوشته شده بود از کاربر میخواست ۳۰۰ دلار پول در قالب بیتکوین (Bitcoin) به کیف پولی که به آدرس posteo.net متصل بود واریز کند.
اگر فایلهای یک سیستم توسط این باجافزار رمز شود، روشی برای بازگرداندن آنها وجود ندارد و متاسفانه تا کنون هیچ رمزگشای قابل اطمینانی برای بازگردانی فایلها وجود ندارد و فعلا پیشگیری، بهترین راهحل است. حتی پرداخت وجه مورد درخواست تضمینی برای رمزگشایی فایلها نیست.
چگونه از حمله پتیا در امان باشیم؟
توصیهای که در زمان حملهی واناکرای مطرح شد، در مورد پتیا هم صادق است. به عنوان یک راهکار سریع، حتماً آخرین بهروزرسانیهای امنیتی را روی کامپیوترها و سرورهای ویندوزی خود نصب کنید. در پی حملهی باجافزاری قبلی، مایکروسافت با انتشار وصلههای امنیتی جدید برای سیستم عاملهایی که پشتیبانی آنها را لغو کرده بود، مثل ویندوز XP و ویندوز سرور ۲۰۰۳، دست به عمل عجیبی زد تا از امنیت سیستمهای قدیمی هم اطمینان حاصل کند.
سیستم ویندوز باید توسط آخرین وصلههای امنیتی بهروز رسانی شود. همچنین قبل از بازکردن فایلهای پیوست ایمیل، باید از فرستنده آن مطمئن شد. فراهم کردن فیلترینگ مناسب و قوی برای فیلترکردن اسپم و جلوگیری از ایمیلهای فیشینگ، اسکن تمامی ایمیلهای ورودی و خروجی برای شناسایی تهدیدات و فیلتر کردن فایلهای اجرایی برای کاربران، بکآپگیری دورهای از اطلاعات حساس و اطمینان از اینکه بکآپها به صورت مستقیم به کامپیوتر و شبکهای که از آن بکآپ گرفته میشود وصل نیست از راهکارهای جلوگیری از آلودگی به پتیا به شمار میرود.
بهترین روش مقابله با این برنامهها داشتن یک پشتیبان مطمئن است، به خصوص با نظر به این که رمزنگاری مورد استفاده در باجافزار پتیا فوق العاده ایمن است. تنها راه برای دستیابی مجدد به دادهّها بعد از آلوده شدن به این باجافزار کمک به صاحبان آن یا برگرداندن فایلها از طریق پشتیبان است. برای حفاظت از یک سیستم، نصب بهروزرسانیهای حیاتی هم قدم بسیار مهمی به شمار میآید، چرا که مهمترین عامل آلوده شدن به پتیا اکسپلویت اترنال بلو بوده که مشکل آن چند ماه قبل توسط مایکروسافت برطرف شده است.
ذخیره کردن بکآپها روی فضای ابری (cloud) و همچنین فضای ذخیرهسازی فیزیکی آفلاین نیز اهمیت زیادی دارد؛ بعضی از باجافزارها این قابلیت را دارند که بکآپهای تحت فضای ابری را نیز قفل کنند. بکآپها بهترین روش برای بازگرداندن دادههای رمز شده توسط باجافزار هستند. البته با توجه به اینکه سرورهای ابری در خارج از کشور ما هستند، بنابراین ذخیره بکآپها به این روش در کشور ما نیاز به رعایت ملاحظات امنیتی دارد و میتواند مورد استفاده قرار گیرد.
یادداشت سردبیر:
با تشکر فراوان از آقای کیوان جهانگرد از اعضای فعال سایت که این مطلب را برای ما ارسال کرده اند.