شماره امروز: ۵۴۷

تخریب اطلاعات هدف اصلی باج‌افزار

| کدخبر: 102177 | |

محققان امنیتی می‌گویند بدافزار پتیا که در یک هفته اخیر فایل‌های رایانه‌های مختلفی را در ده‌ها کشور جهان گروگان گرفته، با سوءاستفاده از کدهای آژانس امنیت ملی امریکا طراحی شده است. نکته قابل تامل این است که این کدها در ماه فوریه گذشته و قبل از افشاشدن توسط گروه شادو بروکرز به سرقت رفته‌اند.

گروه دانش‌و‌فن|

 محققان امنیتی می‌گویند بدافزار پتیا که در یک هفته اخیر فایل‌های رایانه‌های مختلفی را در ده‌ها کشور جهان گروگان گرفته، با سوءاستفاده از کدهای آژانس امنیت ملی امریکا طراحی شده است.

نکته قابل تامل این است که این کدها در ماه فوریه گذشته و قبل از افشاشدن توسط گروه شادو بروکرز به سرقت رفته‌اند.

بررسی‌ها در این زمینه توسط اندی پتل مشاور امنیتی شرکت اف – سکیور صورت گرفته است. به گفته وی کدهای مورد استفاده در باج‌افزار پتیا بسیار متنوع هستند و در حالی که برخی از آنها پیچیده هستند، بقیه‌شان پیچیدگی خاصی ندارند.

به گفته وی کدهای تشکیل‌دهنده باج‌افزار پتیا را می‌توان به سه دسته تقسیم کرد که یک دسته که عامل انتشار باج‌افزار مذکور محسوب می‌شود بسیار پیچیده بود و مشخص است که به خوبی آزمایش شده تا کارآیی آن اثبات شود. پیش از این باج‌افزار واناکرای هم با سوءاستفاده از کدهای خرابکاری به سرقت رفته از آژانس امنیت ملی امریکا طراحی شده بود. اما این کدها به صورت علنی افشا شده بودند و عموم کاربران از ماه اوریل به آنها دسترسی داشته‌اند. کارشناسان امنیتی می‌گویند باج‌افزار پتیا در مقایسه با واناکرای بسیار پیچیده‌تر و حرفه‌یی‌تر بوده و به خوبی خود را در رایانه‌ها جاسازی کرده و فایل‌های مورد نظر خود را تخریب می‌کند. منابع خبری غربی مدعی هستند که پتیا در کره شمالی طراحی شده است، اما کره ای‌ها این موضوع را رد کرده‌اند.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌یی با اعلام اینکه گزارشی مبنی بر آلودگی کاربران داخل کشور به ویروس باج گیر سایبری پتیا (petya) دریافت نشده، درباره این بدافزار توضیح داد.

تاکنون بالغ بر ۳۲ قربانی توسط «پتیا» آسیب دیده و فایل‌هایشان رمرگذاری شده که قربانیان مبلغی معادل ۸۱۵۰ دلار به صورت بیت کوین (پول مجازی) برای بازپس‌گیری اطلاعاتشان پرداخت کرده‌اند. بیشترین آسیب‌پذیری مربوط به کشور اوکراین است به نحوی که گفته شده است که کمپانی بزرگ نفتی روسی به نام Roseneft، کمپانی‌های تولیدکننده برق اوکراینی، بانک‌هایی مانند NBU و کمپانی استخراج معدن Evraz هدف این حمله قرار گرفته‌اند.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌یی (ماهر) در اطلاعیه‌یی درخصوص این باج‌افزار جدید توضیح داد. این مرکز اعلام کرد: این باج‌افزار نیز همانند واناکرای (WannaCry)، توسط آسیب‌پذیری SMB سیستم عامل ویندوز، گسترش پیدا می‌کند. درحال حاضر این باج‌افزار شرکت‌های کامپیوتری، کمپانی‌های تولید‌کننده برق و نیز بسیاری از بانک‌ها را در کشورهای روسیه، اوکراین، اسپانیا، فرانسه، انگلیس و هند را آلوده کرده است.

نکته حایز اهمیت در خصوص این باج افزار، انتشار آن با سواستفاده از همان آسیب‌پذیری پروتکل SMB مورد استفاد باج‌افزار واناکرای (WannaCry) است. راهکارهای پیشگیری و مقابله با آن نیز مشابه راهکارهای ارائه شده برای پیشگیری از آلودگی به WannaCry شامل به‌روز رسانی سیستم‌های عامل ویندوز و غیرفعال‌سازی پروتکل SMB,V۱ و همچنین راهکارهای امنیتی عمومی نظیر تهیه و نگهداری نسخه‌های پشتیبان آفلاین از اطلاعات مهم است.

در واقع سیستم‌هایی که پیش از این اقدام به به روزرسانی سیستم‌های عامل برای مقابله با باج‌افزار WannaCry کرده‌اند نیاز به اقدام جدیدی ندارند.

آخرین بررسی‌های تحلیلی نشان داده است که این باج‌افزار اساسا تخریب‌گر اطلاعات بوده و حتی مهاجمان دسترسی به کلیدهای رمزنگاری و امکان بازگردانی اطلاعات رمز شده را ندارند؛ علاوه بر این، ایمیل ارتباطی با مهاجمان نیز توسط سرویس‌دهنده مربوطه مسدود شده است.

مرکز ماهر با اعلام اینکه تاکنون گزارشی مبنی بر آلودگی کاربران داخل کشور به این باج‌افزار دریافت نشده است، از کاربران خواست درصورت مواجهه با این حمله باج افزاری، از پرداخت هرگونه وجهی به مهاجمان خودداری کنند.

 عدم امکان بازگشت فایل‌های سرقت شده

برخلاف توصیه‌های انجام شده در راستای باج‌افزار wannaCry در ماه مه سال ۲۰۱۷ میلادی (کمتر از ۲ماه پیش) بازهم بسیاری از دستگاه‌هایی که از ویندوز استفاده می‌کردند این آسیب‌پذیری را جدی نگرفته و برای رفع آن اقدامی نکرده‌اند.

باج افزار «پتیا» از معدود باج‌افزارهایی است که علاوه بر کارایی مخرب خود روی سیستم قربانی، برای توسعه و تکثیر از بستر اینترنت و شبکه استفاده می‌کند و بنابراین همانند کرم‌های بسیار خطرآفرین شده است.

مرکز ماهر تاکید کرده است که افرادی که این حمله را سازماندهی می‌کنند از طریق یک ایمیل از کاربر درخواست پول می‌کنند که هم‌اکنون شرکت آلمانی ارائه‌دهنده سرویس Posteo این ایمیل را به دلیل جرایم اینترنتی، مسدود کرده است. این ایمیل در سیستم قربانی جهت ارسال پول درخواستی و همچنین دریافت کلید بازگردانی فایل‌ها استفاده می‌شد که هم‌اکنون مسدود است.

این مرکز از کاربران خواسته است که از پرداخت پول به این باج‌افزار خودداری کنند چراکه با پرداخت پول نمی‌توان فایل‌های سرقت شده را بازگرداند.

 

 

اخبار مرتبط

ارسال نظر

نظر کاربران