Menu

درس های از پدافند غیر عامل

باج افزار Petya


به گزارش روابط‌عمومی شرکت پیام‌پرداز، در حالی که باج‌افزار WannaCry هم‌چنان قربانی می‌گیرد، حمله‌ی باج‌افزاری دیگری در وسعتی گسترده در حال وقوع است و کشورهای بسیاری از جمله روسیه، اکراین، اسپانیا، فرانسه، انگلیس و هند را درگیر کرده است و حدود ۳۰۰دلار را به بیت‌کوین تقاضا می‌کند. باج‌افزار Petya که با نام Petwrap نیز شناخته شده است، همانند WannaCry با سواستفاده از نقطه ضعف Windows SMBv1 قادر به انتشار گسترده شده است.

باز هم یک باج افزار انتشار یافته ی دیگر در سطح جهان!

 در حالیکه باج افزار WannaCry هنوز از بین نرفته،  حملات گسترده ی یک باج افزار جدید جهان را دچار هرج و مرج کرده است، از کار انداختن رایانه ها در شرکت ها، مراکز تأمین نیرو، و بانک ها در روسیه، اوکراین، اسپانیا، فرانسه، بریتانیا، هندوستان، و اروپا، و درخواست ۳۰۰ بیت کوین.

بنابر چندین منبع، یک نوع جدید از باج افزار Petya، که Petwrap نیز شناخته می شود، با کمک آسیب‌پذیری SMBv1 ویندوز (که باج افزار WannaCry هم از آن سوء‌استفاده کرده بود تا ۳۰۰ هزار سیستم و سرور را در جهان آلوده کند)،  در حال انتشار است.

جدای از این، بسیاری از قربانیان اطلاع داده‌اند که باج افزار Petya حتی وصله (Patch) های سیستم‌های آنان را نیز آلوده کرده است.

میکو هایپونن (Mikko Hypponen) رئیس دفتر تحقیق F-Secure گفت: Petya از اکسپلویت NSA Eternalblueاستفاده می کند، اما در شبکه‌های داخلی که بر اساس WMIC و PSEXEC هستند هم انتشار می یابد. این همان دلیلی است که چرا حتی سیستم‌های وصله شده (Patched) نیز آلوده شده اند.

Petya یک باج افزار بسیار مخرب است که بسیار متفاوت از دیگر باج افزار ها کار می کند. برخلاف دیگر باج افزار های تجاری، Petya فایل‌ها را در سیستم‌های هدف یکی یکی قفل نمی کند.

به جای آن، Petya کامپیوتر قربانی را ریستارت نموده و فایل جدول هارد درایو (MFT) را قفل می‌کند و سپس یک رکورد پیش از بوت (MBR) غیرقابل استفاده  را به کاربر نشان می دهد، محدودیت دسترسی به کل سیستم با تغییر  نام فایل ها، حجم فایل ها، و محل فایل‌ها در دیسک فیزیکی از نتایج عملکرد این باج افزار است.

باج افزار Petya در سیستم قربانی، MBR سیستم را با کد مخرب خودش جایگزین خواهد کرد که این کار باعث نمایش یادداشت‌های باج افزار می‌شود و کامپیوتر را در بوت شدن ناتوان می کند.

باج ندهید، شما فایل‌های خود را بازپس نمی گیرید!

کاربران آلوده شده توصیه کرده‌اند که برای این باج افزار، پولی پرداخت نکنید، چون هکر های پشت این باج افزار نمی‌توانند ایمیل‌های شما را دریافت کنند.

شرکت Posteo، ارائه دهنده ایمیل آلمانی، ایمیل هایشان را تعلیق کرده است.

ایمیل wowsmith123456@posteo.net که برای ارتباطات بین قربانی و مجرم برای فرستادن کلید قفل گشایی استفاده می‌شد، توسط این شرکت آلمانی تعلیق شده است.

تا الان (هنگام نوشتن مقاله) ۲۳ قربانی برای گرفتن کد قفل گشا پول، بیت کوین به آدرس «۱Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX» برای باز کردن قفل فایل هایشان پرداخت کرده‌اند که جمعا ۶۷۷۵ دلار می شود.

Petya !Petya! یک حمله باج افزار جهانی دیگر

 

 تصاویری از آخرین آلودگی‌های Petya، که در توئیتر منتشر شده، نشان می‌دهد که باج افزار متنی را نمایش می‌دهد که درخواست  دلار در قالب بیت کوین می نماید. این متن در زیر آورده شده است:

«اگر شما این متن را بینید، فایل‌های شما دیگر قابل دسترس نیست، چون آن‌ها قفل شده اند. شاید شما مشغول یافتن راهی برای بازگردانی فایل‌های خود باشید، اما وقت خود را تلف نکنید. بدون خدمات قفل گشایی ما کسی نمی‌تواند فایل‌های  شما را بازیابی کند.»

بر اساس آخرین اسکن VirusTotal، هم اکنون، تنها ۱۶ تا از ۶۱ آنتی ویروس موجود در بازار، توانسته اند با موفقیت این باج افزار را تشخیص دهند.

 

باج افزار Petya، بانک ها، شرکت های ارتباطات تلفنی، شرکت های تجاری و کمپانی های تأمین نیرو را هدف قرار می دهد

 

هم اکنون، باج افزار Petyaغول نفتی روسیه – Rosneft – و همچنین شرکت تأمین نیروی اوکراین –Kyivenegro و Ukrenegro – را در چند ساعت گذشته را آلوده کرده است.

سرویس خبری Kyivenegro گزارش داد: ما مورد حمله قرار گرفته ایم. دو ساعت قبل، ما مجبور شدیم همه کامپیوتر هایمان را خاموش کنیم. ما منتظر  اجازه از سرویس امنیت اوکراین (SBU)، برای روشن کردن مجدد آن‌ها هستیم.

گزارش هایی از چندین بانک هم وجود دارد، شامل بانک ملی اوکراین (NBU) و Oschadbank، همانگونه که دیگر شرکت ها تأیید کرده‌اند که مورد حمله ی این باج افزار قرار گرفته اند.

Maersk شرکت بین‌المللی لجستیک، در حساب توئیتری خود تأیید کرد که حمله باج افزار Petya، سیستم‌های IT آن‌ها را در چندین مکان و واحد تجاری از کار انداخته است.

این شرکت اطلاع داد: "ما می‌توانیم تأیید کنیم که سیستم‌های IT شرکت Maersk در چندین سایت و واحد تجاری از کار افتاده اند. ما در حال حاضر این وضعیت را اذعان می کنیم. امنیت کارمندان ما، عملیات های ما و تجارت  مشتریان ، بالاترین اولویت ما هستند."

این باج افزار، چندین محل کار در شرکت معدن کاوی اوکران – Evra – را نیز تحت تأثیر قرار داده است.

شدید ترین خسارات از شرکت های اوکراینی گزارش شده است، که در این بین، سیستم‌های متروی محلی اوکراین و فرودگاه Kiev's Boryspil پایتخت اوکران هم وجود دارند.

۳ اوپراتور ارتباطات تلفنی اوکراین، Kyivstar، LifeCell و Ukrtelecom هم در آخرین حمله Petya آلوده شده اند.

 

چگونه این باج افزار اینقدر سریع منتشر می شود؟

Symantec، شرکت امنیت سایبری هم تأیید کرد که باج افزار Petya از اکسپلویت SMBv1 EternalBlue  استفاده می کند، درست مانند WannaCry، و از ماشین‌های ویندوزی وصله نشده سوءاستفاده می کند.

محقق امنیتی در شبکه اجتماعی توئیتر گفت: باج افزار Petya در انتشار موفق بود، چون این باج افزار حمله سمت مشتری (Client-Side) نوع CVE-2017-0199 و حمله ی شبکه ی MS17-010 را ترکیب کرده و استفاده می کند.

EternalBlue یک اکسپلویت SBM ویندوزی است که توسط یک گروه هکری ناشناخته به نام Shadow Brokers، منتشر شد، در رخنه اطلاعاتی ماه آپریل. گروهی که ادعا کردند که این اطلاعات را به همراه دیگر اکسپلویت های ویندوز از آژانس جاسوسی آمریکا NSA دزدیده اند.

مایکروسافت برای همه نسخه های ویندوز وصله امنیتی ارائه داد، با وجود این بسیاری از کاربران آسیب‌پذیر باقی ماندند، و یک رشته ی متغیر بدافزار، در حال سوء‌استفاده از این نقص برای دریافت باج افزار هستند.

درست ۳ روز پیش، ما در مورد حمله ی باج افزار WannaCry به شرکت Honda Motor  و حدود ۵۵ چراغ راهنمایی دوربین سرعت در ژاپن و استرالیا گزارش دادیم.

 

چگونه خود را در برابر حملات این باج افزار امن نگه دارید؟

سریعاً باید چکار کنید؟ سریعاً وصله های goddamn را که برای EternalBlue است اعمال کنید (MS17-010)، و پروتکل ناامن SMBv1 را در ویندوز های شخصی و سرور خود غیرفعال کنید.

چون باج افزار Petya از ابزار های WMIC و PSEXEC  برای آلوده کردن سیستم‌های کاملاً وصله شده ویندوزی استفاده می کند، توصیه می‌کنیم که ابزار (Windows Managment Instrumentation Command-line)WMIC ویندوز خود را نیز غیرفعال کنید.

جلوگیری از آلودگی و از کار انداختن Petya

محققین دریافتند که باج افزار Petya، سیستم را بعد از ریستارت کردن قفل می کند. بنابراین، اگر سیستم شما به وسیله ی این باج افزار آلوده شد و سعی کرد سیستم شما را ریستارت کند، تنها کاری که باید بکنید این است که سیستم را مجدداً روشن نکنید.

 

حساب توئیتر HackerFantastic در توئیتی اعلام داشت: اگر سیستم ریستارت شد و شما پیام را دیدید، سریعاً سیستم را خاموش کنید، این پروسه ی قفل گذاری فایل هاست. اگر سیستم خود را روشن نکنید، فایل‌های شما امن خواهند ماند. و سپس از یک LiveCD یا یک ماشین خارجی برای بازیابی فایل‌ها استفاده کنید.

 

PT-Security، شرکت امنیتی مستقر در بریتانیا و Amit Serper از شرکت Cyberseason، یک سوئیچ از کار انداختن برای این باج افزار را کشف کردند. بر اساس یک توئیت، شرکت به کاربران توصیه کرد که فایلی مانند  c:Windows\perfc بسازند تا از آلوده شدن توسط این باج افزار جلوگیری کند.

برای در امان ماندن از حمله ی هر باج افزاری، شما باید به هر فایل ناخواسته و سندی که با ایمیل ارسال شده مظنون باشید، و هرگز نباید روی لینک های داخل ایمیل‌های ناشناس کلیک کنید مگر اینکه منبع ایمیل را بشناسید.

برای اینکه کار را برای باج افزار ها در مقابل فایل‌های با ارزشتان سخت کنید، همواره روند بک آپ گیری منظم داشته باشید که کپی اطلاعات را در یک حافظه خارجی ذخیره کند، آن هم حافظه ای که همیشه به سیستم شما وصل نباشد.

همچنین، مطمئن شوید که یک آنتی ویروس خوب و مؤثر بر روی سیستمتان دارید و همیشه آن را به روز نگه دارید. و از همه مهم تر، همیشه در حالت امن مرورگر اینترنت را مرور کنید.