باج افزار پتیا (Petya) و نحوه مقابله با آن

[hoboot]

پس از واناکرای، این بار نوبت به حمله باج افزار پتیا (Petya) به سازمان‌ها رسیده است. در ادامه با چگونگی این حملات و نحوه مقابله با آن آشنا خواهید شد.
این روزها، باج افزارها به سرعت در حال گسترش هستند و هر از چند گاهی، اخباری مبنی بر حملات این‌گونه بدافزارها به سیستم‌های رایانه‌ای کاربران به گوش می‌رسد. پس از حملات گسترده باج افزار واناکرای (WannaCry) به سازمان‌ها و شرکت‌های مختلف در سراسر جهان، این بار نوبت به باج افزار پتیا رسیده است. Petya که در محافل امنیت سایبری با نام پتنا (Petna) نیز شناخته می‌شود، از اواخر ماه مارس سال گذشته، فعالیت خود را آغاز کرده بود اما نسخه تغییریافته آن از ژوئن امسال شروع به انتشار کرد و موجب آلوده شدن بسیاری از سازمان‌ها و شرکت‌ها شد. جالب اینجاست که این باج افزار نیز همانند واناکرای از آسیب پذیری SMB برای انجام حملات و گسترش خود استفاده می‌کند.

تا به امروز، باج افزار پتیا در بیش از 14 کشور دنیا از جمله ایران، آمریکا، مکزیک و برزیل نفوذ پیدا کرده و احتمالا در روزهای آینده، کشورهای بیشتری به آن آلوده خواهند شد. بخش نگران‌کننده و غافل‌گیرکننده ماجرا این است که آخرین نسخه این باج افزار از همان اکسپلویتی استفاده می‌کند که در جریان حملات واناکرای نیز باعث آلودگی بیش از 200 هزار سیستم رایانه‌ای در سراسر دنیا شد. با وجود آپدیت‌ها و وصله‌های امنیتی و توصیه‌هایی که برای مقابله با باج افزار واناکرای ارائه شد، هنوز هم بسیاری از کاربران و شرکت‌ها به این توصیه‌ها عمل نکرده‌اند و در خطر انواع حملات سایبری قرار دارند.
بر اساس گزارشی که در سایت پلیس فتای ایران منتشر شد، کشورهای اروپایی بیشتر از سایر قاره‌ها درگیر این باج افزار شده‌اند و اوکراین نیز بیشترین آلودگی را تا به امروز داشته است. مترو کیف، بانک ملی اوکراین و چند فرودگاه این کشور، 36 تراکنش بیت کوین مربوط به باج افزار را ثبت کرده‌اند که مجموع مبالغ آن نزدیک به 9 هزار دلار می‌شود.

باج افزار پتیا چگونه حملات خود را انجام می‌دهد؟
باج افزار پتیا طوری طراحی شده تا آلودگی گسترده‌ای را ایجاد کند. این باج افزار برای ایجاد آلودگی از آسیب پذیری اترنال بلو (EternalBlue) استفاده می‌کند و زمانی که از این آسیب‌پذیری با موفقیت استفاده شد، باج افزار خود را در سیستم هدف کپی کرده و اجرا می‌شود. سپس Petya شروع به رمزنگاری فایل‌ها و MBR کرده و یک زمان‌بند برای ریبوت کردن سیستم پس از یک ساعت به کار گرفته می‌شود.
چیزی که پتیا را از دیگر باج افزارها متمایز می‌کند این است که به جای ویندوز از سیستم عامل کوچک خود استفاده می‌کند و به همین دلیل می‌تواند ساختارهای حیاتی سیستم فایل کامپیوتر را در صورت راه‌اندازی مجدد آن روی دیسک بوت رمزنگاری کند. اگر سیستم به شکل موفقیت‌آمیزی آلوده شود، پتیا صفحه‌ای را به زبان انگلیسی به نمایش درمی‌آورد و از کاربر خواسته می‌شود تا 300 دلار پول را در قالب بیت کوین به کیف پولی که به آدرس posteo.net متصل است واریز کند.

در صورتی که فایل‌های سیستم توسط باج افزار پتیا رمزنگاری شود، دیگر هیچ روشی برای بازگرداندن آن وجود نخواهد داشت و در حال حاضر، پیش‌گیری تنها راه حل موجود برای مقابله با این باج افزار است؛ حتی در صورت پرداخت وجه مورد درخواست نیز تضمینی برای رمزگشایی فایل‌ها وجود ندارد.

چگونه از حملات باج افزار Petya در امان باشیم؟
در زمان حملات واناکرای، توصیه‌هایی به کاربران شد که این توصیه‌ها در مورد پتیا هم صدق می‌کند. اول از همه حتما آخرین به‌روزرسانی‌های امنیتی را بر روی سیستم‌های رایانه‌ای خود نصب کنید. در پی حمله باج افزاری WannaCry، مایکروسافت نیز وصله‌های امنیتی جدیدی را برای سیستم‌عامل‌هایی که دیگر از آن‌ها پشتیبانی نمی‌کرد، مانند ویندوز ایکس پی و ویندوز سرور 2003 عرضه کرد تا از امنیت سیستم‌های قدیمی هم مطمئن شود.

علاوه بر آن، پیش از باز کردن فایل‌های پیوست ایمیل، از بابت فرستنده آن اطمینان حاصل کنید. فراهم کردن فیلترینگ مناسب و قوی برای فیلتر کردن اسپم‌ها و جلوگیری از ایمیل‌های فیشینگ، اسکن کردن ایمیل‌های ورودی و خروجی و فیلتر کردن فایل‌های اجرایی برای کاربران و بک آپ گرفتن دوره‌ای از اطلاعات حساس از جمله راهکارهایی است که برای جلوگیری از آلوده شدن به باج افزار پتیا توصیه می‌شود.

همچنین بهترین شیوه برای مقابله با این باج افزار، داشتن یک پشتیبان مطمئن است. با توجه به این که رمزنگاری مورد استفاده در این باج افزار، فوق‌العاده ایمن است، تنها راه جهت دستیابی دوباره به داده‌ها پس از آلوده شدن به باج افزار، برگرداندن فایل‌ها از طریق پشتیبان خواهد بود. همان‌طور که گفته شد، مهم‌ترین عامل آلوده شدن به پتیا، اکسپلویت اترنال بلو بوده که این آسیب‌پذیری، چند ماه پیش با به‌روزرسانی امنیتی مایکروسافت برطرف شد؛ بنابراین از نصب این به‌روزرسانی‌های حیاتی غافل نشوید. ذخیره کردن بک آپ‌ها بر روی فضای ابری یا Cloud و همین‌طور فضای ذخیره‌سازی فیزیکی آفلاین نیز از اهمیت بسیاری برخوردار هستند؛ چرا که برخی از باج افزارها این توانایی را دارند که حتی بک آپ‌های فضای ابری را نیز قفل کنند.