دوقـلوهای زورگیر

اگر دوست دارید اطلاعات بیشتری از این بدافزار در اختیار داشته باشید و با روش‌های پیشگیری از آلودگی و جلوگیری از عملکرد مخرب آن آشنا شوید، با ادامه این مطلب کلیک را همراهی کنید.

زورگیری که پتیا نیست!

تقریبا صبح سه‌شنبه 6 تیر 96 حملات گسترده باج‌افزاری از اوکراین آغاز شد و با گسترش سریع در اروپا و آمریکا، تیتر اخبار دنیای امنیت را به خود اختصاص داد. باج‌افزاری با بهره‌مندی از عملکردی شبیه به وانا‌کرای و قدرت تخریب بسیار بیشتر که پس از رمزنگاری اطلاعات کاربران برای بازگشایی این اطلاعات مبلغ 300 دلار بیت‌کوین از کاربر درخواست می‌کرد.

به گفته کارشناسان سیمانتک، این باج‌افزار پتیا بوده و از آسیب‌پذیری MS17-010 که در مایکروسافت با نام Eternal Blue شناخته می‌شود، استفاده می‌کند و همین ارزیابی نیز موجب شد در تمام سایت‌ها این باج‌افزار با نام پتیا شناخته شود، اما نکته جالب توجه آن‌که پس از بررسی‌های دقیق‌تر توسط کارشناسان آزمایشگاه کسپرسکی
(Kaspersky) مشخص شد نه‌تنها این باج‌افزار از خانواده پتیا نیست، بلکه مشابه آن قبلا دیده نشده و به همین علت باتوجه به گسترش نام پتیا برای آن عنوان NotPetya را به آن اختصاص دادند. (باج‌افزار پتیا اولین بار سال 2016 توسط سیمانتک شناسایی شد)

مسبب واقعه

به گزارش سیمانتک، اولین عامل انتشار این باج‌افزار، نرم‌افزاری حسابداری برای انجام امور مالیاتی در سازمان‌های کشور اوکراین بوده که MEDoc نام دارد. باج‌افزار ابتدا با تزریق به این نرم‌افزار، در شبکه‌های رایانه قربانیان مستقر شده سپس با روش‌های مختلف خود را تکثیر و در شبکه‌های دیگر پخش شده است.

سریع و خشن

باج‌افزار NotPetya خیلی هدف مشخصی برای گرفتن قربانی ندارد و با سرعت در حال نفوذ به رایانه‌های کاربران در سراسر جهان است. همان‌طور که پیشتر نیز اشاره کردیم ابتدا رایانه‌هایی در اوکراین قربانی این باج‌افزار شدند. این رایانه‌ها اغلب متعلق به سازمان‌های رسمی، دولت‌ها، شرکت‌های فعال در حوزه انرژی، ایستگاه‌های اتوبوس، پمپ‌های بنزین و گاز، فرودگاه و بانک‌ها بوده و در ادامه با سرعتی باورنکردنی گزارش‌های مختلف از حملات مشابه به رایانه‌ها در دیگر نقاط جهان دریافت شد که نشان می‌دهد هدف اصلی این باج‌افزار انتشار سریع و دیوانه‌وار است.

تخریبگر واقعی

بـاج‌افــزار NotPetya عملکرد بسیار خاصی دارد. به‌طور خلاصه این باج‌افزار پس از نفوذ به یک رایانه، فهرستی از همه رایانه‌های موجود در شبکه را ایجاد کرده و با روش‌های مختلفی همچون اکسپلویت SMB، نسخه‌ای از خود را در رایانه‌های فهرست شده کپی می‌کند. در ادامه یک فایل متنی برای نمایش هشدار به کاربر ایجاد می‌کند و فهرستی از همه فایل‌های ذخیره‌سازی شده روی هارد‌دیسک رایانه را نیز در فرمت‌های مختلف جمع‌آوری می‌کند:

.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h. hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

پس از جمع‌آوری فهرست فایل‌های موردنظر برای رمزنگاری، با تغییر در سکتور MBR هارد‌دیسک و جایگزینی نرم‌افزار ساختگی خود، رایانه را ری‌استارت می‌کند و به کاربر صفحه‌ای شبیه‌سازی شده از ابزار CHKDSK را نمایش می‌دهد، اما در همین حین با کمک کلیدهای رمز کاملا تصادفی، اطلاعات جمع‌آوری شده در مرحله قبل را رمزنگاری می‌کند.این روش رمزنگاری با کلیدهای تصادفی کاملا نشان می‌دهد این باج‌افزار همچون دیگر باج‌افزارها ‌دنبال اخذ پول برای باز کردن اطلاعات رمز شده نیست و صرفا قصد تخریب دارد، چراکه این اطلاعات حتی توسط سازندگان باج‌افزار نیز قابل رمزگشایی نخواهد بود.

آلودگی در ایران

خوشبختانه طبق آخرین اطلاعیه ارائه‌شده توسط مرکز ماهر وابسته به سازمان فناوری اطلاعات ایران (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای)، تاکنون گزارشی مبنی بر آلوده شدن رایانه کاربران در داخل کشور به این باج‌افزار منتشر نشده و باتوجه به عدم آلودگی تا این لحظه و مقابله با فعالیت بدافزار وانا‌کرای با عملکرد مشابه، پیش‌بینی می‌شود همه سازمان‌ها و دستگاه‌های داخلی از ایمنی لازم در مقابل این باج‌افزار برخوردار بوده و در آینده نیز مشکلی در این ‌خصوص مشاهده نشود.

سوالات رایج

آیا رایانه در مقابل این باج‌افزار ایمن است؟

چنانچه از نرم‌افزارهای امنیتی شناخته شده و معتبری همچون Symantec Endpoint Protection یا
Kaspersky Internet Security و... استفاده کنید و همواره آخرین به‌روزرسانی‌های این نرم‌افزارها و ویندوز را نیز دریافت کرده باشید از حملات این باج‌افزار در امان خواهید بود.

این حمله یک اقدام خرابکارانه هدفمند بوده است؟

هنوز نمی‌توان در این زمینه اظهارنظر کرد، اما آنچه مشخص است هدف اولیه این باج‌افزار سازمان‌های دولتی اوکراین بوده است.

برای رمزگشایی اطلاعاتمان پول درخواست شده را پرداخت کنیم؟

باتوجه به شواهد موجود و بررسی‌های صورت گرفته و همین‌طور مسدود شدن ایمیل ذکر شده برای پرداخت پول برای بازگشایی اطلاعات، پرداخت پول کاملا بی‌فایده خواهد بود و به هیچ وجه اطلاعات شما قابل رمزگشایی نخواهد بود.

در صورت آلوده شدن به این باج‌افزار چه ‌کاری باید انجام داد؟

باتوجه به عملکرد این بدافزار در صورتی‌که رایانه شما به آن آلوده شود بهترین کار خاموش کردن رایانه و استفاده از دیسک‌های نجات برای جلوگیری از اجرای شبیه‌ساز CHKDSK توسط این بدافزار است تا بتوانید فایل‌های خود را پیش از آن‌که به‌طور کامل رمزنگاری شوند، روی رسانه ذخیره‌ساز دیگری کپی کنید. پس از انجام این کار نیز باید همه اطلاعات ذخیره شده روی هارد‌دیسک را حذف کرده و دوباره نسبت به نصب سیستم‌عامل و ابزارهای امنیتی اقدام کنید، چراکه هیچ اقدامی برای بازگشایی اطلاعات نمی‌توان انجام داد و فقط در صورتی می‌توانید از اطلاعات خود استفاده کنید که یک نسخه پشتیبان از آنها را در محلی دیگر خارج از هارد‌دیسک رایانه (همچون دیسک‌های نوری، هاردهای اکسترنال و حافظه‌های فلش) ذخیره کرده باشید.

برای پیشگیری از آسیب‌های احتمالی باج‌گیرهای مشابه چه کاری باید انجام داد؟

همواره تنها توصیه‌ای که برای پیشگیری از آلودگی به این باج‌افزارها و دیگر بدافزارها می‌توان ارائه کرد، استفاده از نرم‌افزارهای امنیتی معتبر و به‌روزرسانی سیستم‌عامل و دیگر نرم‌افزارهای نصب شده روی آن به آخرین نسخه‌های منتشر شده است. در ادامه نیز به‌عنوان بهترین روش برای جلوگیری از آسیب‌های احتمالی در صورت آلودگی به انواع بدافزارها، توصیه می‌شود نسخه‌ای از اطلاعات مهم و ارزشمند خود را در بازه‌های زمانی مختلف روی رسانه‌های ذخیره‌سازی که به رایانه شما اتصال ندارند، کپی کنید تا بتوانید در صورت نیاز از این اطلاعات استفاده کنید.

امیر عصاری