۹۶/۴/۹، ۰۴:۳۰ صبح
پس از واناکرای، این بار نوبت به حمله باج افزار پتیا (Petya) به سازمانها رسیده است. در ادامه با چگونگی این حملات و نحوه مقابله با آن آشنا خواهید شد.
این روزها، باج افزارها به سرعت در حال گسترش هستند و هر از چند گاهی، اخباری مبنی بر حملات اینگونه بدافزارها به سیستمهای رایانهای کاربران به گوش میرسد. پس از حملات گسترده باج افزار واناکرای (WannaCry) به سازمانها و شرکتهای مختلف در سراسر جهان، این بار نوبت به باج افزار پتیا رسیده است. Petya که در محافل امنیت سایبری با نام پتنا (Petna) نیز شناخته میشود، از اواخر ماه مارس سال گذشته، فعالیت خود را آغاز کرده بود اما نسخه تغییریافته آن از ژوئن امسال شروع به انتشار کرد و موجب آلوده شدن بسیاری از سازمانها و شرکتها شد. جالب اینجاست که این باج افزار نیز همانند واناکرای از آسیب پذیری SMB برای انجام حملات و گسترش خود استفاده میکند.
تا به امروز، باج افزار پتیا در بیش از 14 کشور دنیا از جمله ایران، آمریکا، مکزیک و برزیل نفوذ پیدا کرده و احتمالا در روزهای آینده، کشورهای بیشتری به آن آلوده خواهند شد. بخش نگرانکننده و غافلگیرکننده ماجرا این است که آخرین نسخه این باج افزار از همان اکسپلویتی استفاده میکند که در جریان حملات واناکرای نیز باعث آلودگی بیش از 200 هزار سیستم رایانهای در سراسر دنیا شد. با وجود آپدیتها و وصلههای امنیتی و توصیههایی که برای مقابله با باج افزار واناکرای ارائه شد، هنوز هم بسیاری از کاربران و شرکتها به این توصیهها عمل نکردهاند و در خطر انواع حملات سایبری قرار دارند.
بر اساس گزارشی که در سایت پلیس فتای ایران منتشر شد، کشورهای اروپایی بیشتر از سایر قارهها درگیر این باج افزار شدهاند و اوکراین نیز بیشترین آلودگی را تا به امروز داشته است. مترو کیف، بانک ملی اوکراین و چند فرودگاه این کشور، 36 تراکنش بیت کوین مربوط به باج افزار را ثبت کردهاند که مجموع مبالغ آن نزدیک به 9 هزار دلار میشود.
باج افزار پتیا چگونه حملات خود را انجام میدهد؟
باج افزار پتیا طوری طراحی شده تا آلودگی گستردهای را ایجاد کند. این باج افزار برای ایجاد آلودگی از آسیب پذیری اترنال بلو (EternalBlue) استفاده میکند و زمانی که از این آسیبپذیری با موفقیت استفاده شد، باج افزار خود را در سیستم هدف کپی کرده و اجرا میشود. سپس Petya شروع به رمزنگاری فایلها و MBR کرده و یک زمانبند برای ریبوت کردن سیستم پس از یک ساعت به کار گرفته میشود.
چیزی که پتیا را از دیگر باج افزارها متمایز میکند این است که به جای ویندوز از سیستم عامل کوچک خود استفاده میکند و به همین دلیل میتواند ساختارهای حیاتی سیستم فایل کامپیوتر را در صورت راهاندازی مجدد آن روی دیسک بوت رمزنگاری کند. اگر سیستم به شکل موفقیتآمیزی آلوده شود، پتیا صفحهای را به زبان انگلیسی به نمایش درمیآورد و از کاربر خواسته میشود تا 300 دلار پول را در قالب بیت کوین به کیف پولی که به آدرس posteo.net متصل است واریز کند.
در صورتی که فایلهای سیستم توسط باج افزار پتیا رمزنگاری شود، دیگر هیچ روشی برای بازگرداندن آن وجود نخواهد داشت و در حال حاضر، پیشگیری تنها راه حل موجود برای مقابله با این باج افزار است؛ حتی در صورت پرداخت وجه مورد درخواست نیز تضمینی برای رمزگشایی فایلها وجود ندارد.
چگونه از حملات باج افزار Petya در امان باشیم؟
در زمان حملات واناکرای، توصیههایی به کاربران شد که این توصیهها در مورد پتیا هم صدق میکند. اول از همه حتما آخرین بهروزرسانیهای امنیتی را بر روی سیستمهای رایانهای خود نصب کنید. در پی حمله باج افزاری WannaCry، مایکروسافت نیز وصلههای امنیتی جدیدی را برای سیستمعاملهایی که دیگر از آنها پشتیبانی نمیکرد، مانند ویندوز ایکس پی و ویندوز سرور 2003 عرضه کرد تا از امنیت سیستمهای قدیمی هم مطمئن شود.
علاوه بر آن، پیش از باز کردن فایلهای پیوست ایمیل، از بابت فرستنده آن اطمینان حاصل کنید. فراهم کردن فیلترینگ مناسب و قوی برای فیلتر کردن اسپمها و جلوگیری از ایمیلهای فیشینگ، اسکن کردن ایمیلهای ورودی و خروجی و فیلتر کردن فایلهای اجرایی برای کاربران و بک آپ گرفتن دورهای از اطلاعات حساس از جمله راهکارهایی است که برای جلوگیری از آلوده شدن به باج افزار پتیا توصیه میشود.
همچنین بهترین شیوه برای مقابله با این باج افزار، داشتن یک پشتیبان مطمئن است. با توجه به این که رمزنگاری مورد استفاده در این باج افزار، فوقالعاده ایمن است، تنها راه جهت دستیابی دوباره به دادهها پس از آلوده شدن به باج افزار، برگرداندن فایلها از طریق پشتیبان خواهد بود. همانطور که گفته شد، مهمترین عامل آلوده شدن به پتیا، اکسپلویت اترنال بلو بوده که این آسیبپذیری، چند ماه پیش با بهروزرسانی امنیتی مایکروسافت برطرف شد؛ بنابراین از نصب این بهروزرسانیهای حیاتی غافل نشوید. ذخیره کردن بک آپها بر روی فضای ابری یا Cloud و همینطور فضای ذخیرهسازی فیزیکی آفلاین نیز از اهمیت بسیاری برخوردار هستند؛ چرا که برخی از باج افزارها این توانایی را دارند که حتی بک آپهای فضای ابری را نیز قفل کنند.