گروه دانشوفن|
محققان امنیتی میگویند بدافزار پتیا که در یک هفته اخیر فایلهای رایانههای مختلفی را در دهها کشور جهان گروگان گرفته، با سوءاستفاده از کدهای آژانس امنیت ملی امریکا طراحی شده است.
نکته قابل تامل این است که این کدها در ماه فوریه گذشته و قبل از افشاشدن توسط گروه شادو بروکرز به سرقت رفتهاند.
بررسیها در این زمینه توسط اندی پتل مشاور امنیتی شرکت اف – سکیور صورت گرفته است. به گفته وی کدهای مورد استفاده در باجافزار پتیا بسیار متنوع هستند و در حالی که برخی از آنها پیچیده هستند، بقیهشان پیچیدگی خاصی ندارند.
به گفته وی کدهای تشکیلدهنده باجافزار پتیا را میتوان به سه دسته تقسیم کرد که یک دسته که عامل انتشار باجافزار مذکور محسوب میشود بسیار پیچیده بود و مشخص است که به خوبی آزمایش شده تا کارآیی آن اثبات شود. پیش از این باجافزار واناکرای هم با سوءاستفاده از کدهای خرابکاری به سرقت رفته از آژانس امنیت ملی امریکا طراحی شده بود. اما این کدها به صورت علنی افشا شده بودند و عموم کاربران از ماه اوریل به آنها دسترسی داشتهاند. کارشناسان امنیتی میگویند باجافزار پتیا در مقایسه با واناکرای بسیار پیچیدهتر و حرفهییتر بوده و به خوبی خود را در رایانهها جاسازی کرده و فایلهای مورد نظر خود را تخریب میکند. منابع خبری غربی مدعی هستند که پتیا در کره شمالی طراحی شده است، اما کره ایها این موضوع را رد کردهاند.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهیی با اعلام اینکه گزارشی مبنی بر آلودگی کاربران داخل کشور به ویروس باج گیر سایبری پتیا (petya) دریافت نشده، درباره این بدافزار توضیح داد.
تاکنون بالغ بر ۳۲ قربانی توسط «پتیا» آسیب دیده و فایلهایشان رمرگذاری شده که قربانیان مبلغی معادل ۸۱۵۰ دلار به صورت بیت کوین (پول مجازی) برای بازپسگیری اطلاعاتشان پرداخت کردهاند. بیشترین آسیبپذیری مربوط به کشور اوکراین است به نحوی که گفته شده است که کمپانی بزرگ نفتی روسی به نام Roseneft، کمپانیهای تولیدکننده برق اوکراینی، بانکهایی مانند NBU و کمپانی استخراج معدن Evraz هدف این حمله قرار گرفتهاند.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهیی (ماهر) در اطلاعیهیی درخصوص این باجافزار جدید توضیح داد. این مرکز اعلام کرد: این باجافزار نیز همانند واناکرای (WannaCry)، توسط آسیبپذیری SMB سیستم عامل ویندوز، گسترش پیدا میکند. درحال حاضر این باجافزار شرکتهای کامپیوتری، کمپانیهای تولیدکننده برق و نیز بسیاری از بانکها را در کشورهای روسیه، اوکراین، اسپانیا، فرانسه، انگلیس و هند را آلوده کرده است.
نکته حایز اهمیت در خصوص این باج افزار، انتشار آن با سواستفاده از همان آسیبپذیری پروتکل SMB مورد استفاد باجافزار واناکرای (WannaCry) است. راهکارهای پیشگیری و مقابله با آن نیز مشابه راهکارهای ارائه شده برای پیشگیری از آلودگی به WannaCry شامل بهروز رسانی سیستمهای عامل ویندوز و غیرفعالسازی پروتکل SMB,V۱ و همچنین راهکارهای امنیتی عمومی نظیر تهیه و نگهداری نسخههای پشتیبان آفلاین از اطلاعات مهم است.
در واقع سیستمهایی که پیش از این اقدام به به روزرسانی سیستمهای عامل برای مقابله با باجافزار WannaCry کردهاند نیاز به اقدام جدیدی ندارند.
آخرین بررسیهای تحلیلی نشان داده است که این باجافزار اساسا تخریبگر اطلاعات بوده و حتی مهاجمان دسترسی به کلیدهای رمزنگاری و امکان بازگردانی اطلاعات رمز شده را ندارند؛ علاوه بر این، ایمیل ارتباطی با مهاجمان نیز توسط سرویسدهنده مربوطه مسدود شده است.
مرکز ماهر با اعلام اینکه تاکنون گزارشی مبنی بر آلودگی کاربران داخل کشور به این باجافزار دریافت نشده است، از کاربران خواست درصورت مواجهه با این حمله باج افزاری، از پرداخت هرگونه وجهی به مهاجمان خودداری کنند.
عدم امکان بازگشت فایلهای سرقت شده
برخلاف توصیههای انجام شده در راستای باجافزار wannaCry در ماه مه سال ۲۰۱۷ میلادی (کمتر از ۲ماه پیش) بازهم بسیاری از دستگاههایی که از ویندوز استفاده میکردند این آسیبپذیری را جدی نگرفته و برای رفع آن اقدامی نکردهاند.
باج افزار «پتیا» از معدود باجافزارهایی است که علاوه بر کارایی مخرب خود روی سیستم قربانی، برای توسعه و تکثیر از بستر اینترنت و شبکه استفاده میکند و بنابراین همانند کرمهای بسیار خطرآفرین شده است.
مرکز ماهر تاکید کرده است که افرادی که این حمله را سازماندهی میکنند از طریق یک ایمیل از کاربر درخواست پول میکنند که هماکنون شرکت آلمانی ارائهدهنده سرویس Posteo این ایمیل را به دلیل جرایم اینترنتی، مسدود کرده است. این ایمیل در سیستم قربانی جهت ارسال پول درخواستی و همچنین دریافت کلید بازگردانی فایلها استفاده میشد که هماکنون مسدود است.
این مرکز از کاربران خواسته است که از پرداخت پول به این باجافزار خودداری کنند چراکه با پرداخت پول نمیتوان فایلهای سرقت شده را بازگرداند.
