در گفتگو با جام جم آنلاین مطرح شد
اگر دوست دارید اطلاعات بیشتری از این بدافزار در اختیار داشته باشید و با روشهای پیشگیری از آلودگی و جلوگیری از عملکرد مخرب آن آشنا شوید، با ادامه این مطلب کلیک را همراهی کنید.
زورگیری که پتیا نیست!
تقریبا صبح سهشنبه 6 تیر 96 حملات گسترده باجافزاری از اوکراین آغاز شد و با گسترش سریع در اروپا و آمریکا، تیتر اخبار دنیای امنیت را به خود اختصاص داد. باجافزاری با بهرهمندی از عملکردی شبیه به واناکرای و قدرت تخریب بسیار بیشتر که پس از رمزنگاری اطلاعات کاربران برای بازگشایی این اطلاعات مبلغ 300 دلار بیتکوین از کاربر درخواست میکرد.
به گفته کارشناسان سیمانتک، این باجافزار پتیا بوده و از آسیبپذیری MS17-010 که در مایکروسافت با نام Eternal Blue شناخته میشود، استفاده میکند و همین ارزیابی نیز موجب شد در تمام سایتها این باجافزار با نام پتیا شناخته شود، اما نکته جالب توجه آنکه پس از بررسیهای دقیقتر توسط کارشناسان آزمایشگاه کسپرسکی
(Kaspersky) مشخص شد نهتنها این باجافزار از خانواده پتیا نیست، بلکه مشابه آن قبلا دیده نشده و به همین علت باتوجه به گسترش نام پتیا برای آن عنوان NotPetya را به آن اختصاص دادند. (باجافزار پتیا اولین بار سال 2016 توسط سیمانتک شناسایی شد)
مسبب واقعه
به گزارش سیمانتک، اولین عامل انتشار این باجافزار، نرمافزاری حسابداری برای انجام امور مالیاتی در سازمانهای کشور اوکراین بوده که MEDoc نام دارد. باجافزار ابتدا با تزریق به این نرمافزار، در شبکههای رایانه قربانیان مستقر شده سپس با روشهای مختلف خود را تکثیر و در شبکههای دیگر پخش شده است.
سریع و خشن
باجافزار NotPetya خیلی هدف مشخصی برای گرفتن قربانی ندارد و با سرعت در حال نفوذ به رایانههای کاربران در سراسر جهان است. همانطور که پیشتر نیز اشاره کردیم ابتدا رایانههایی در اوکراین قربانی این باجافزار شدند. این رایانهها اغلب متعلق به سازمانهای رسمی، دولتها، شرکتهای فعال در حوزه انرژی، ایستگاههای اتوبوس، پمپهای بنزین و گاز، فرودگاه و بانکها بوده و در ادامه با سرعتی باورنکردنی گزارشهای مختلف از حملات مشابه به رایانهها در دیگر نقاط جهان دریافت شد که نشان میدهد هدف اصلی این باجافزار انتشار سریع و دیوانهوار است.
تخریبگر واقعی
بـاجافــزار NotPetya عملکرد بسیار خاصی دارد. بهطور خلاصه این باجافزار پس از نفوذ به یک رایانه، فهرستی از همه رایانههای موجود در شبکه را ایجاد کرده و با روشهای مختلفی همچون اکسپلویت SMB، نسخهای از خود را در رایانههای فهرست شده کپی میکند. در ادامه یک فایل متنی برای نمایش هشدار به کاربر ایجاد میکند و فهرستی از همه فایلهای ذخیرهسازی شده روی هارددیسک رایانه را نیز در فرمتهای مختلف جمعآوری میکند:
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h. hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
پس از جمعآوری فهرست فایلهای موردنظر برای رمزنگاری، با تغییر در سکتور MBR هارددیسک و جایگزینی نرمافزار ساختگی خود، رایانه را ریاستارت میکند و به کاربر صفحهای شبیهسازی شده از ابزار CHKDSK را نمایش میدهد، اما در همین حین با کمک کلیدهای رمز کاملا تصادفی، اطلاعات جمعآوری شده در مرحله قبل را رمزنگاری میکند.این روش رمزنگاری با کلیدهای تصادفی کاملا نشان میدهد این باجافزار همچون دیگر باجافزارها دنبال اخذ پول برای باز کردن اطلاعات رمز شده نیست و صرفا قصد تخریب دارد، چراکه این اطلاعات حتی توسط سازندگان باجافزار نیز قابل رمزگشایی نخواهد بود.
آلودگی در ایران
خوشبختانه طبق آخرین اطلاعیه ارائهشده توسط مرکز ماهر وابسته به سازمان فناوری اطلاعات ایران (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای)، تاکنون گزارشی مبنی بر آلوده شدن رایانه کاربران در داخل کشور به این باجافزار منتشر نشده و باتوجه به عدم آلودگی تا این لحظه و مقابله با فعالیت بدافزار واناکرای با عملکرد مشابه، پیشبینی میشود همه سازمانها و دستگاههای داخلی از ایمنی لازم در مقابل این باجافزار برخوردار بوده و در آینده نیز مشکلی در این خصوص مشاهده نشود.
سوالات رایج
آیا رایانه در مقابل این باجافزار ایمن است؟
چنانچه از نرمافزارهای امنیتی شناخته شده و معتبری همچون Symantec Endpoint Protection یا
Kaspersky Internet Security و... استفاده کنید و همواره آخرین بهروزرسانیهای این نرمافزارها و ویندوز را نیز دریافت کرده باشید از حملات این باجافزار در امان خواهید بود.
این حمله یک اقدام خرابکارانه هدفمند بوده است؟
هنوز نمیتوان در این زمینه اظهارنظر کرد، اما آنچه مشخص است هدف اولیه این باجافزار سازمانهای دولتی اوکراین بوده است.
برای رمزگشایی اطلاعاتمان پول درخواست شده را پرداخت کنیم؟
باتوجه به شواهد موجود و بررسیهای صورت گرفته و همینطور مسدود شدن ایمیل ذکر شده برای پرداخت پول برای بازگشایی اطلاعات، پرداخت پول کاملا بیفایده خواهد بود و به هیچ وجه اطلاعات شما قابل رمزگشایی نخواهد بود.
در صورت آلوده شدن به این باجافزار چه کاری باید انجام داد؟
باتوجه به عملکرد این بدافزار در صورتیکه رایانه شما به آن آلوده شود بهترین کار خاموش کردن رایانه و استفاده از دیسکهای نجات برای جلوگیری از اجرای شبیهساز CHKDSK توسط این بدافزار است تا بتوانید فایلهای خود را پیش از آنکه بهطور کامل رمزنگاری شوند، روی رسانه ذخیرهساز دیگری کپی کنید. پس از انجام این کار نیز باید همه اطلاعات ذخیره شده روی هارددیسک را حذف کرده و دوباره نسبت به نصب سیستمعامل و ابزارهای امنیتی اقدام کنید، چراکه هیچ اقدامی برای بازگشایی اطلاعات نمیتوان انجام داد و فقط در صورتی میتوانید از اطلاعات خود استفاده کنید که یک نسخه پشتیبان از آنها را در محلی دیگر خارج از هارددیسک رایانه (همچون دیسکهای نوری، هاردهای اکسترنال و حافظههای فلش) ذخیره کرده باشید.
برای پیشگیری از آسیبهای احتمالی باجگیرهای مشابه چه کاری باید انجام داد؟
همواره تنها توصیهای که برای پیشگیری از آلودگی به این باجافزارها و دیگر بدافزارها میتوان ارائه کرد، استفاده از نرمافزارهای امنیتی معتبر و بهروزرسانی سیستمعامل و دیگر نرمافزارهای نصب شده روی آن به آخرین نسخههای منتشر شده است. در ادامه نیز بهعنوان بهترین روش برای جلوگیری از آسیبهای احتمالی در صورت آلودگی به انواع بدافزارها، توصیه میشود نسخهای از اطلاعات مهم و ارزشمند خود را در بازههای زمانی مختلف روی رسانههای ذخیرهسازی که به رایانه شما اتصال ندارند، کپی کنید تا بتوانید در صورت نیاز از این اطلاعات استفاده کنید.
امیر عصاری
در گفتگو با جام جم آنلاین مطرح شد
سید رضا صدرالحسینی در یادداشتی اختصاصی برای جام جم آنلاین مطرح کرد
در گفتگو با جام جم آنلاین مطرح شد
سید رضا صدرالحسینی در یادداشتی اختصاصی برای جام جم آنلاین مطرح کرد
در گفتگو با جام جم آنلاین مطرح شد
در گفتگو با جام جم آنلاین مطرح شد
برای بررسی کتاب «خلبان صدیق» با محمد قبادی (نویسنده) و خلبان قادری (راوی) همکلام شدیم