تنها راه پيشگيري از آلودگي دستگاه‌ها به باج‌افزار پتيا، به‌روزرساني تمامي دستگاه‌هاي شبکه است و با توجه به آسيب‌پذيري‌هايي که اين باج‌افزار ايجاد مي‌کند، پيشنهاد مي‌شود نرم‌افزار مايکروسافت آفيس، جهت جلوگيري از آلوده شدن به اين باج‌افزار به‌روزرساني شود.

وايمکس نيوز- باج‌افزار جديد پتيا (Goldeneye/Petya) در حال گسترش است و نحوه‌ گسترش و نيز عملکرد آن بسيار مشابه باج‌افزار واناکراي است. در حال حاضر اين باج‌افزار شرکت‌هاي کامپيوتري، کمپاني‌هاي توليدکننده برق و نيز بسياري از بانک‌ها را در کشورهاي روسيه، اوکراين، اسپانيا، فرانسه، انگليس و هند، آلوده کرده است.

پتيا مانند واناکراي، توسط آسيب‌پذيري SMB سيستم عامل ويندوز، گسترش پيدا مي‌کند. اين باج‌افزار همانند يکي از فايل‌هاي ويندوز در سيستم قرباني قرار مي‌گيرد که ظاهرا توسط يک برنامه ديگر اجرا و راه‌ اندازي مي‌شود. يک بار که اين فايل اجرا شود تقريبا کار تمام است و تنظيمات سيستم قرباني را طوري تغيير مي‌دهد که طبق برنامه‌ريزي خاصي سيستم دوباره راه‌ اندازي شود. همين که سيستم قرباني دوباره راه‌اندازي شود، اطلاعات آن رمزنگاري شده و يک پيغام با محتواي اخاذي ظاهر خواهد شد.

پتيا تفاوت‌هايي با ديگر باج‌افزارها دارد؛ مهم‌ترين و خطرناک‌ترين اين تفاوت‌ها آن است که باج‌افزار فايل‌هاي روي يک سيستم را به صورت جداگانه آلوده نمي‌کند، بلکه کامپيوتر قرباني را راه‌اندازي مجدد کرده و سپس MFT مربوط به ديسک سخت قرباني را رمزگذاري مي‌کند. اين رمزگذاري باعث مي‌شود MBR بي‌استفاده و ناکارآمد شود و در نتيجه دسترسي به تمامي اطلاعات مربوط به فايل‌ها (نام، حجم و آدرس) را محدود مي‌کند.

اگر پيام پتيا را دريافت کرديد، فايل‌هايتان ديگر قابل دسترس نيستند

آخرين بررسي‌هاي تحليلي نشان داده است که اين باج‌افزار اساساً تخريب‌گر اطلاعات بوده و حتي مهاجمين دسترسي به کليدهاي رمزنگاري و امکان بازگرداني اطلاعات رمز شده را ندارند. علاوه بر اين، ايميل ارتباطي با مهاجمين نيز توسط سرويس‌دهنده مربوطه مسدود شده است. لذا جدا از پرداخت هرگونه وجهي به مهاجمين خودداري کنيد. البته بنا به گزارش مرکز ماهر (مديريت امداد و هماهنگي عمليات رخدادهاي رايانه‌اي)، تاکنون گزارشي مبني بر آلودگي کاربران داخل کشور به اين باج افزار دريافت نشده است.

باج‌افزار پتيا در واقع کد خود را به جاي MBR جايگزين مي‌کند که در نهايت موجب مي‌شود هنگام روشن شدن سيستم کاربر با چنين پيامي مواجه شود: اگر در حال خواندن اين متن هستيد، فايل‌هاي شما رمزگذاري‌شده و ديگر قابل دسترس نيستند. احتمالا شما در حال حاضر به دنبال راهي هستيد که فايل‌هاي خود را بازيابي کنيد، اما وقت خود را تلف نکنيد هيچ‌کس بدون سرويس‌هاي رمزگشايي ما قادر به بازگرداندن فايل‌هاي شما نيست.

با توجه به اسکرين‌شات‌هاي تهيه شده از دستگاه‌هاي آلوده، اين باج‌افزار از شما درخواست مبلغي برابر 300 دلار برحسب بيت‌کوين مي‌کند. پس از اجرا شدن باج‌افزار، سيستم قرباني هيچ‌گونه کارايي ندارد و در واقع بين سيستم قرباني و افراد حمله‌کننده يا هر شخصي ديگري هيچ راه ارتباطي وجود نخواهد داشت.

پتيا تاکنون رايانه‌هاي بسياري را در کشورهاي مختلف آلوده کرده است. اين باج‌افزار کمپاني بزرگ نفتي روسي به نام Rosneft و نيز برخي از کمپاني‌هاي توليدکننده برق اوکرايني را آلوده کرده است. تعدادي از بانک‌ها نيز آلودگي دستگاه‌هاي خود توسط باج‌افزار پتيا را در صفحه توييتر خود اعلام کرده‌اند. در اين ميان بزرگ‌ترين آسيب توسط اوکراين گزارش شده است. هم اکنون دستگاه‌هاي متروي محلي و همچنين فرودگاه اوکراين توسط اين باج‌افزار آسيب ديده‌اند. سه اپراتور ارتباطي اوکراين نيز در حملات اخير دچار آسيب شده‌اند.

نرم‌افزار آفيس را به‌روزرساني کنيد

در حال حاضر تنها راه پيشگيري از آلودگي دستگاه‌ها به اين باج‌افزار، اين است که تمامي دستگاه‌هاي روي شبکه خود را به‌روزرساني کنيد. اطلاعاتي غيررسمي از کارشناسان امنيتي اوکرايني وجود دارد که نشان مي‌دهد آسيب‌پذيريCVE 2017-0199  توسط اين باج‌افزار مورد استفاده قرار مي‌گيرد. از اين رو پيشنهاد مي‌شود نرم‌افزار مايکروسافت آفيس، جهت جلوگيري از آلوده شدن به اين باج‌افزار به‌روزرساني شود.

متاسفانه تاکنون راهکاري براي بازگرداني فايل‌هاي رمزشده کشف نشده است، اما با توجه به اين که اين باج‌افزار فايل‌ها را در زمان بارگذاري مجدد سيستم عامل شروع به رمزنگاري مي‌کند، در صورت عدم راه‌اندازي مجدد سيستم عامل پس از آلوده شدن، با قرار دادن ديسک لايو مي‌توان به فايل‌ها دسترسي داشت.

همچنين در صورتي که سيستم عامل پس از آلوده شدن مجددا راه‌اندازي شد، اگر قبل از به اتمام رسيدن رمزنگاري رايانه خاموش شود، احتمالا امکان بازگرداني فايل‌هاي باقي مانده با استفاده از ديسک لايو وجود داشته باشد. اين باج‌افزار در صورت آلوده کردن رايانه در زمان بارگذاري مجدد، رايانه را مجبور به توقف 30 الي 40 دقيقه‌اي با استفاده از تابع sleep مي‌کند که اين امر مي‌تواند نشان‌دهنده آلوده شدن رايانه کاربر باشد.

برخلاف توصيه‌هاي انجام شده در راستاي باج‌افزار واناکراي در ماه مه سال 2017 ميليادي (کمتر از دو ماه پيش)، باز هم بسياري از دستگاه‌هايي که از ويندوز استفاده مي‌کردند اين آسيب‌پذيري را جدي نگرفته و براي رفع آن اقدامي نکرده‌اند.

اين باج‌افزار از معدود باج‌افزارهايي است که علاوه بر کارايي مخرب خود روي سيستم قرباني، براي توسعه و تکثير از بستر اينترنت و شبکه استفاده مي‌کند و بنابراين همانند کرم‌هاي بسيار خطرآفرين شده است و در نهايت بايد از پرداخت پول به اين باج‌افزار خودداري شود. با پرداخت پول نمي‌توانيد فايل‌هاي خود را برگردانيد.

افرادي که اين حمله را سازماندهي مي‌کنند از طريق يک ايميل از شما درخواست پول مي‌کنند که شرکت آلماني ارائه‌دهنده سرويس Posteo، در تاريخ 27 جولاي 2017 ميلادي اين ايميل را به دليل جرائم اينترنتي مسدود کرده است. اين ايميل در سيستم قرباني جهت ارسال پول درخواستي و همچنين دريافت کليد بازگرداني فايل‌ها استفاده مي‌شد که هم اکنون مسدود است.

منبع: ايسنا