تجزیه و تحلیل های انجام شده از سوی کارشناسان حاکی از گسترش و شیوع باج افزار و ویروس جدیدی به کامپیوترهای دارای سیستم عامل ویندوز در سراسر دنیا است که موجب دردسر و بروز مشکلات فراوانی شده است. این بدافزار که پتیا (Petya ) نامیده می شود از طریق پنهان سازی و عدم اجازه دسترسی به فایل ها، عملکرد کاربران را مختل کرده و از آن ها باج خواهی می کند.
این ویروس باج افزار در ابتدا وارد سیستم کامپیوتر میزبان شده و اطلاعات داخلی آن را رمز گذاری کرده و اجازه دسترسی کاربر را به این اطلاعات نمی دهد. در ادامه، پیامی مبنی بر درخواست معادل 300 دلار بیت کوین و آدرس مرتبط با آن دیده می شود. متاسفانه به گفته کارشناسان، خلا های امنیتی موجود در سیستم عامل ویندوز سبب شده است تا این ویروس به راحتی بتواند گسترش یافته و سیستم های بیشتری را آلوده کند.
این ویروس که از روز سه شنبه به طور گسترده ای در جهان پخش شده است، در عملکرد بسیاری از شرکت های تجاری، فروشگاه ها؛ آژانس های تبلیغاتی و دفاتر حقوقی اختلال ایجاد کرده است.
در ابتدا کارشناسان امنیتی روسیه و شرکت کاسپرسکی این ویروس جدید را پتیا معرفی کردند اما بررسی های بعدی نشان داد که این ویروس، نسخه به روز شده پتیا نبوده و به همین دلیل نام NotPetyaa برای این ویروس جدید انتخاب شد. ویروسی که تنها طی مدتی کوتاه از فعالیت خود توانست هزاران سیستم را در سراسر دنیا آلوده کند که عمدتا در قاره اروپا قرار دارند.
روش کار ویروس
این ویروس باج افزار در ابتدا وارد سیستم کامپیوتر میزبان شده و اطلاعات داخلی آن را رمز گذاری کرده و اجازه دسترسی کاربر را به این اطلاعات نمی دهد. در ادامه، پیامی مبنی بر درخواست معادل 300 دلار بیت کوین و آدرس مرتبط با آن دیده می شود. متاسفانه به گفته کارشناسان، خلا های امنیتی موجود در سیستم عامل ویندوز سبب شده است تا این ویروس به راحتی بتواند گسترش یافته و سیستم های بیشتری را آلوده کند. بررسی های اولیه نشان می دهد که آغاز و نقطه انتشار این باج افزار در کشور اوکراین بوده و به همین دلیل در مرحله نخست، کامپیوترهای کاربران اوکراین و روسیه آماج حمله این باج افزار قرار گرفتند. در همان ساعات نخستین، سیستم های کنترل تشعشعات هسته ای نیروگاه چرنوبیل از کار افتاد که این موضوع می توانست بسیار خطرناک باشد اما به گفته مقامات اوکراین، پس از 12 ساعت مجددا کنترل این سیستم ها به حالت عادی بازگشت.
بر اساس شواهد موجود و تجزیه و تحلیل های انجام شده توسط کارشناسان، ویروس NotPetyaa از یک ضعف امنیتی در ویندوز با عنوان EternalBlue استفاده می کند که پیش از این ویروس مشابه واناکرای نیز از همین حفره امنیتی بهره برده بود. EternalBlue یک حفره امنیتی است که باج افزارها می توانند از طریق آن به سیستم نفوذ کرده و کنترل ان را به دست گیرند. البته شرکت مایکرو سافت چند ماه پیش یک وصله امنیتی جدید برای برطرف کردن این معضل منتشر کرده است که در صورت نصب آن، سیستم های کاربران در برابر حملاتی از این دست مصون خواهد بود اما مشکل اینجاست که بسیاری از کامپیوترهای جهان به روز رسانی نشده و فاقد این وصله امنیتی جدید هستند.
خلاصه ای از روند شیوع NotPetya :
- این ویروس از طریق اینترنت سیستم های میزبان را آلوده می کند. باج افزار فوق با هدف قرار دادن سیستم ها و ساخت open-source Minikatz t مدیریت شبکه و حافظه آن را در اختیار می گیرد. در ادامه از اطلاعات موجود در این سیستم برای برقراری ارتباط با سایر کاربران و آدرس های موجود در آن استفاده می شود.
- این ویروس پس از برقراری ارتباط با سایر سیستم ها از PsExec و WMIC برای آلوده کردن آن ها استفاده می کند. این باج افزار همچنین می تواند سخت افزارهای زیر شبکه را نیز اسکن کرده و دامنه کنترل آن ها را به دست گیرد. برای این منظور از سرویس DHCP برای شناسائی میزبان ها استفاده می شود.
- این ویروس همچنین از یک نسخه اصلاح شده NSA به سرقت رفته استفاده می کند که از طریق حفره امنیتی EternalBlue SMB فعال می شود که پیش از این توسط ویروس واناکری WannaCry نیز استفاده شده بود. البته این باج افزار جدید با سرقت و نفوذ به EternalRomance SMB کدهای مخرب خود را به سایر سیستم ها منتقل می کند. اما در صورت به روز رسانی سیستم عامل ویندوز و استفاده از وصله امنیتی جدید، امکان نفوذ ویروس فوق از بین می رود.
- ویروس NotPetyaa بر خلاف نمونه قبلی خود، صرفا از طریق رمزگذاری فایل ها کنترل سیستم را به دست نگرفته و روشی منحصر به فرد را استفاده می کند. در این روش MFT رمزگذاری شده و کدهای مخرب ویروس وارد MBR می شود سپس این ویروس خود را در شاخه C:Windowsکپی کرده و کنترل کامل سیستم عامل را به دست می گیرد. در این شرایط به هیچ عنوان امکان دسترسی کاربر به سیستم عامل وجود نداشته و پیام درخواست باج روی صفحه ظاهر می شود.
- این ویروس با هدف آلوده کردن سیستم های مختلفی در جهان به طور گسترده طراحی شده و برای مقابله با آن توصیه می شود موارد امنیتی را رعایت کنید. اولین و بدیهی ترین موضوع؛ به روز رسانی ویندوز است که سیستم شما را به آخرین وصله امنیتی مجهز کرده و راه ورود ویروس را خواهد بست. علاوه بر این توصیه می شود به هیچ عنوان پیام ها و ایمیل های ناشناس و مشکوک را باز نکرده و همچنین از اطلاعات سیستم خود یک نسخه پشتیبان تهیه کنید تا در صورت بروز حمله باج افزاری، اطلاعات خود را از دست ندهید.
برای کسب اطلاعات بیشتر درباره این ویروس و منشا آن می توانید اینجا را کلیک کنید.
منبع: theregister
ترجمه و تلخیص: احسان محمدحسینی
No tags for this post.