باج‌افزارها دست برنمی‌دارند؛ چگونه از “پتیا” در امان باشیم؟

پس از باج‌افزار واناکرای و حمله گسترده‌اش به سازمان‌های متعدد در کشورهای مختلف، این بار “پتیا” به سرعت در حال پخش شدن در سراسر اروپا و سایر قاره‌هاست.

به گزارش نشریه اینترنتی نوجوان ها به نقل از ایسنا، باج‌افزار پتیا (Petya)  که در محافل امنیت سایبری با نام پتنا (Petna) هم شناخته می‌شود، از اواخر ماه مارس سال ۲۰۱۶ شروع به فعالیت کرد؛ نسخه تغییریافته این باج‌افزار از تاریخ ۲۷ ژون ۲۰۱۷ شروع به انتشار کرده که تعداد زیادی از سازمان‌ها را آلوده کرده است. این باج‌افزار مانند باج‌افزار واناکرای (WannaCry) از آسیب‌پذیری SMB، برای گسترش خود استفاده می‌کند.

تاکنون، نفوذ این باج‌افزار در بیش از ۱۴ کشور از جمله آمریکا، مکزیک، ایران و برزیل تایید شده و انتظار می‌رود که کشورهای بیشتری به آن آلوده شده باشند. غافلگیرکننده‌ترین بخش ماجرا این‌جاست که آخرین گونه از باج‌افزار پتیا از همان اکسپلویتی که در جریان واناکرای هم باعث آلوده شدن بیش از ۲۰۰ هزار کامپیوتر شده بود، استفاده می‌کند. علیرغم وصله‌های امنیتی و توصیه‌هایی که در آن جریان ارائه شد، ظاهراً هنوز خیلی از شرکت‌ها به این توصیه‌ها اعتنا نکرده‌اند.

تا زمان تدوین این گزارش که در سایت پلیس فتا منتشر شده است، عمدتا کشورهای اروپایی درگیر این باج‌افزار شده‌اند و در این میان کشور اوکراین بیشترین میزان آلودگی تا کنون را داشته است، از جمله مترو کیِف، بانک ملی اوکراین و چندین فرودگاه تاکنون ۳۶ تراکنش بیت‌کوین برای آدرس بیت‌کوین مربوط به این باج‌افزار ثبت شده که مبلغ آن معادل حدود ۸۹۰۰ دلار است. تا این زمان مشخص نشده است که اهداف این باج‌افزار سازمان‌ها و ارگان‌های خاصی باشد اما نسخه قبلی این باج‌افزار به منظور حمله به سازمان‌ها طراحی شده بود.

پتیا چطور کار می‌کند؟

باج‌افزار پتیا به منظور آلودگی گسترده طراحی شده است و برای این منظور از آسیب‌پذیری اترنال‌بلو (EternalBlue) استفاده می‌کند. زمانی که استفاده از آسیب‌پذیری با موفقیت انجام شد، باج‌افزار خود را در سیستم هدف کپی و شروع به اجرای خود می‌کند. سپس این باج‌افزار شروع به رمزنگاری فایل‌ها وMBR  کرده و یک زمانبند برای ریبوت کردن سیستم بعد از یک ساعت به کار می‌گیرد.

نکته‌ای که پتیا را منحصربه‌فرد می‌کند این است که این باج‌افزار به جای ویندوز از سیستم عامل کوچک خود استفاده می‌کند، بنابراین قادر است ساختارهای حیاتی سیستم فایل کامپیوتر را در صورت راه‌اندازی مجدد آن روی دیسک بوت رمزنگاری کند. گونه‌ی بعدی پتیا هم از همین روش و تقریبا با همان کد سیستم عامل نسخه‌ی قبلی پتیا کار می‌کرد، اما روش مخصوص به خودش را برای پخش شدن، رمزنگاری فایل‌ها و آلوده کردن سیستم به کار می‌برد.

در صورتی که سیستم به شکل موفقیت‌آمیزی آلوده می‌شد، پتیا با نمایش صفحه‌ای که به زبان انگلیسی نوشته شده بود از کاربر می‌خواست ۳۰۰ دلار پول در قالب بیت‌کوین (Bitcoin) به کیف پولی که به آدرس posteo.net  متصل بود واریز کند.

اگر فایل‌های یک سیستم توسط این باج‌افزار رمز شود، روشی برای بازگرداندن آن‌ها وجود ندارد و متاسفانه تا کنون هیچ رمزگشای قابل اطمینانی برای بازگردانی فایل‌ها وجود ندارد و فعلا پیشگیری، بهترین راه‌حل است. حتی پرداخت وجه مورد درخواست تضمینی برای رمزگشایی فایل‌ها نیست.

چگونه از حمله پتیا در امان باشیم؟

توصیه‌ای که در زمان حمله‌ی واناکرای مطرح شد، در مورد پتیا هم صادق است. به عنوان یک راهکار سریع، حتماً آخرین به‌روزرسانی‌های امنیتی را روی کامپیوترها و سرورهای ویندوزی خود نصب کنید. در پی حمله‌ی باج‌افزاری قبلی، مایکروسافت با انتشار وصله‌های امنیتی جدید برای سیستم عامل‌هایی که پشتیبانی آن‌ها را لغو کرده بود، مثل ویندوز XP و ویندوز سرور ۲۰۰۳، دست به عمل عجیبی زد تا از امنیت سیستم‌های قدیمی هم اطمینان حاصل کند.

سیستم ویندوز باید توسط آخرین وصله‌های امنیتی به‌روز رسانی شود. همچنین قبل از بازکردن فایل‌های پیوست ایمیل، باید از فرستنده آن مطمئن شد. فراهم کردن فیلترینگ مناسب و قوی برای فیلترکردن اسپم و جلوگیری از ایمیل‌های فیشینگ، اسکن تمامی ایمیل‌های ورودی و خروجی برای شناسایی تهدیدات و فیلتر کردن فایل‌های اجرایی برای کاربران، بک‌آپ‌گیری دوره‌ای از اطلاعات حساس و اطمینان از اینکه بک‌آپ‌ها به صورت مستقیم به کامپیوتر و شبکه‌ای که از آن بک‌آپ گرفته می‌شود وصل نیست از راه‌کارهای جلوگیری از آلودگی به پتیا به شمار می‌رود.

بهترین روش مقابله با این برنامه‌ها داشتن یک پشتیبان مطمئن است، به خصوص با نظر به این که رمزنگاری مورد استفاده در باج‌افزار پتیا فوق العاده ایمن است. تنها راه برای دستیابی مجدد به داده‌ّها بعد از آلوده شدن به این باج‌افزار کمک به صاحبان آن یا برگرداندن فایل‌ها از طریق پشتیبان است. برای حفاظت از یک سیستم، نصب به‌روزرسانی‌های حیاتی هم قدم بسیار مهمی به شمار می‌آید، چرا که مهم‌ترین عامل آلوده شدن به پتیا اکسپلویت اترنال بلو بوده که مشکل آن چند ماه قبل توسط مایکروسافت برطرف شده است.

ذخیره کردن بک‌آپ‌ها روی فضای ابری (cloud) و همچنین فضای ذخیره‌سازی فیزیکی آفلاین نیز اهمیت زیادی دارد؛ بعضی از باج‌افزارها این قابلیت را دارند که بک‌آپ‌های تحت فضای ابری را نیز قفل کنند. بک‌آپ‌ها بهترین روش برای بازگرداندن داده‌های رمز شده توسط باج‌افزار هستند. البته با توجه به اینکه سرورهای ابری در خارج از کشور ما هستند، بنابراین ذخیره بک‌آپ‌ها به این روش در کشور ما نیاز به رعایت  ملاحظات امنیتی دارد و می‌تواند مورد استفاده قرار گیرد.

یادداشت سردبیر:

با تشکر فراوان از آقای کیوان جهانگرد از اعضای فعال سایت که این مطلب را برای ما ارسال کرده اند.