هدف پتیا تخریب بوده تا باج خواهی
هفته گذشته باجافزار Petya در اروپای شرقی و آسیا منتشر شد و در ساعات اولیه کامپیوترهای زیادی را آلوده کرد. این باجافزار از یک حفره امنیتی در ویندوز استفاده می کرد که چندی پیش و توسط گروه Shadow Brokers منتشر شده بود. این حفره امنیتی پیشتر توسط باجافزار WannaCry مورد استفاده قرار گرفته بود.
اکنون پس از گذشت یک هفته از انتشار آن پژوهشگران شرکت مکآفی پس از بررسی رفتار و کدهای این بدافزار متقاعد شدهاند که باجگیری هدف اصلی طراحان Petya نبوده است. این پژوهشگران در اثبات ادعای خود اینگونه استدلال میکنند؛
هدف اصلی باجافزارها کسب درآمد در طولانی مدت است. برای محقق شدن این هدف باجافزارها با توانایی رمزنگاری/رمزگشایی فایلها ساخته میشوند. این مراحل اطمینان میدهند که به محض پرداخت باج درخواستی کلید بازگشایی فایلها در اختیار قربانی قرار خواهد گرفت. در غیر این صورت قربانیان به مرور زمان متوجه خواهند شد که پرداخت پول کمکی به بازیابی اطلاعات از دست رفته آنها نخواهد کرد. بررسی Petya نشان میدهد که سازندگان قادر به ارایه کلید بازگشایی فایلها در صورت پرداخت باج نخواهند بود. با گذشت زمان بیشتر کاربران بیشتری متوجه این موضوع شده و افراد کمتری به دنبال پرداخت باج درخواستی آن خواهند رفت.
از سوی دیگر این باجافزار برای منتشر شدن و آلوده کردن دستگاههای بیشتر تنها به بررسی DHCP شبکه داخلی پرداخته و سعی در آلوده کردن کامپیوترهای شناسایی شده در شبکه محلی میکند. سایر باجافزارها یا مانند WannaCry به آدرسهای IP تصادفی درخواست ارسال میکنند و یا مانند Cerber یا Locky از باتنتها و اسپم استفاده میکنند. اگر هدف انتشار باجافزار کسب درآمد بیشتر است هرچه دستگاههای بیشتری از طریق اینترنت آلوده شوند احتمال کسب درآمد بالاتر میرود.
فعالیت اصلی یک باجافزار رمزگذاری فایلهای قربانی است و بدیهی است که هرچه تعداد این فایلها بیشتر شود احتمال ترغیب قربانی به پرداخت باج بیشتر است. مقایسه تعداد فایل رمزگذاری شده توسط Petya با موارد مشابه نشان میدهد که این باجافزار تعداد کمی فایل را رمزنگاری میکند.
همچنین اکثر باجافزارها پس از رمزنگاری فایلهای کاربر فرمت آنها را عوض میکنند تا قربانی متوجه شود که این فایلها هنوز وجود دارند و تنها رمزنگاری شده و پس از پرداخت مبلغ درخواستی قابل دسترس خواهند بود اما Petya پس از رمزنگاری فایلها فرمت آنها را عوض نمیکند. این بدان معنا است که ممکن است قربانی در صورتی که به فایلها نیاز نداشته باشد تا ماهها پس از آلوده شدن فایلهایش متوجه این موضوع نشود. همچنین Petya تا یک ساعت پس از آلودهکردن دستگاه سیستمعامل را راهاندازی مجدد نمیکند و به آلوده کردن دستگاههای موجود در شبکه محلی ادامه میدهد.
پژوهشگران شرکت مکآفی اعتقاد دارند با توجه به موارد یاد شده تخریب اطلاعات کاربران برای Petya در اولویت بالاتری نسبت به دریافت باج قرار دارد. آنها همچنین در انتهای گزارش خود پیشبینی کردهاند که این باجافزار در آینده نزدیک قربانیان بیشتری بگیرد.
غزال غضنفری
No tags for this post.
