نگرانی شدید شرکت های بزرگ از آلوده شدن به باج افزار جدید Petya

08 تیر 1396
نویسنده :  

از آنجای که کاربران اینترنتی و سازمان های دولتی گمان می کردند که باج افزار WannaCry به کار خود خاتمه داده است و دیگر به عنوان تهدید حساب نمی شود، اما بار دیگر شبکه جهانی اینترنت آلوده به باج افزار جدیدی همانند WannaCry شده است. این باج افزار که Petya نام دارد، اقدام به خاموش کردن سیستم ها و منابع تغذیه شرکت ها می کند. کشور هایی که تا کنون متضرر این حمله شده اند کشور های روسیه، اوکراین، اسپانیا، بریتانیا، هند و اروپا می باشند که همانند WannaCry از قربانیان این حمله در خواست می شود، مبلغ 300 دلار برای بازگردانی اطلاعات Decrypt شده از طریق bitcoin پرداخته کنند.


باج افزار Petya شباهت خیلی زیادی به باج افزار WannaCry دارد که توانست در عرض 72 ساعت 300.000 کامپیوتر را آلوده کند که این نشان دهنده سرعت انتشار بالای این باج افزار است.  بد افزار Petya نیز از سیسم آسیب پذیری موجود در پرتکل SMBv1 استفاده می کند و کاربران را تحت تاثیر قرار می دهد و همچنین همانند WannaCry از EternalBlue Exploit متعلق به NSA استفاده میکند. از جمله اختلافاتی که این باج افزار را نسبت به WannaCry قدرتمندتر می سازد این است که علاوه بر نفوذ از طریق آسیب پذیری موجود در SMBv1 از دو سرویس دیگر ویندوزی به نام های WMIC و PSEXEC نیزاستفاده کرده و در شبکه های داخلی گسترش پیدا می کند.

peyta exploit

Petya شکل کاملا متفاوتی با سایر باج افزار ها دارد. برخلاف باج افزار های معمولی Petya فایل های قربانی را به صورت تک تک رمزنگاری نمی کند بلکه ابتدا کامپیوتر قربانی را Reboot میکند و جدول اصلی فایل های هارد یا Master File Table (MFT) را رمزنگاری میکند و رکورد اصلی بوت یا Master Boot Record (MBR) را نیز غیر فعال می کند و دسترسی کامل به سیستم و اطلاعاتی مانند نام فایل، اندازه و محل ذخیره شده این فایل ها بر روی دیسک فیزیکی را محدود میکند. این باج افزار، MBR کامپیوتر قربانی را با کد مخرب خود جایگزین می کند. این اقدام باج افزار، اجازه بوت شدن کامل سیستم را به قربانی نمی دهد و هم زمان یک پیغام مبنی بر آلوده شدن به باج افزار Petya را برای قربانی نمایش می دهد.

" هیچ مبلغی را برای باج افزار پرداخت نکنید زیرا که فایل های شما توسط هکر بازگردانی نمی شوند "

کاربرانی که توسط باج افزار های قبلی مانند WannaCry مورد حمله قرار گرفته بوده اند توصیه می کنند که به هیچ عنوان مبلغی را جهت بازگردانی اطلاعات خود پرداخت  نکنید زیرا که هکر قادر نیست ایمیل شما را بیابد تا فایل های شما را بازگردانی کند. Pesteo ارائه دهنده ایمیل آدرس در آلمان، ایمیل آدرس spambots را که به وسیله مجرمان برای دریافت هزینه و ارسال کلید رمزگشایی برای قربانیان استفاده می شود به حالت تعلیق درآورده است . پیغامی که باج افزار برای قربانی نمایش میدهد بدین گونه می باشد

Peyta Lock Screen

درصورتی که این پیغام را مشاهده کردید این بدین معنی میباشد که فایل های شما دیگر قابل دسترس نمی باشند و تمام آنها رمزنگاری شده اند.  و از شما خواسته می شود با مراجعه به لینک معرفی شده در پیغام بالا کلید را خریداری، و در قسمت Key  وارد کنید.

بر اساس تحقیقات virus total scan از 61 آنتی ویروس جهان فقط 16 تا از آنها توانستند Petya را تشخیص دهند. در طی این حمله، غول نفتی Rosnet و تامین کنندگان برق اکراین Ukrenergo ، Kyivenergo و همچنین بانک ملی اکراین اعلام کرده اند که مورد حمله واقع شده اند و این باج افزار سیستم های آنها را آلوده کرده است.

نحوه انتشار Petya :

به گزارش Symantec باج افزار  Petya همانند WannaCry از آسیب پذیری موجود در SMB استفاده می کند و کامپیوتر هایی که تا کنون وصله امنیتی مربوط به این آسیب پذیری را نصب نکرده اند در معرض خطر هجوم این حمله قرار دارند. باج افزار Peyta به صورت خیلی حرفه ای و در اکثر موارد به شکل موفقیت آمیزی گسترش می یابد زیرا که از دو نوع حمله استفاده می کند که شامل Client – Side با CVE – 2017-0199 و تهدیدات تحت شبکه MS17-010 می باشند. EtherBlue که از آسیب پذیری SMB ویندوز استفاده می کند توسط گروه هکری به نام Shadow Brockers در طراحی این حمله استفاده شده است . این تیم ادعا کرده است که علاوه بر EtherBlue کد های مخرب دیگری که علیه ویندوز طراحی شده اند در ماه 2017 April از NSA به سرقت برده اند.

shadow brockers

از آنجای که مایکروسافت وصله امنیتی را برای تمام نسخه های ویندوزی خود منتشر کرده است اما متاسفانه برخی از کاربران و حتی ارگان های دولتی برای ایمن سازی سیستم های خود در مقابل این تهدید اقدام نکرده اند زیرا طبق گزارشات رسیده در طی روز های اخیر شرکت نام آشنای Honda Mototors و سیستم چراغ های راهنمایی و رانندگی استرالیا تحت تاثیر حمله WannaCry قرار گرفته اند.

به گفته کشور اکراین باج افزار Petya سیستم کنترل مترو و سیستم های فرودگاه Kiev’s Boryspil و همچنین سه اپراتور مخابراتی این کشور به نام های Kyivstar, LifeCell و Ukrtelecom آلوده به این باج افزار شده اند و عملکرد آنها مختل شده است .

Kiev’s Boryspil airport infected by Peyta ransomware

چگونه خود را در مقابل این حمله محافظت کنیم

ابتدا وصله امنیتی MS17-010 را دانلود و نصب کنید. در مرحله بعد می توانید SMBv1 را بر روی سیستم های خود غیر فعال کنید . تمام این روش ها در مقاله قبلی بنده به نام حمله سایبری WannaCry به نحوه کاملی توضیح و به شکل عملی تشریح شده است می توانید با مراجعه به مقاله  اقدام به ایمن سازی سیستم های خود کنید. برای ایمن ماندن در مقابل حمله Petya علاوه بر موارد ذکر شده پیشنهاد می شود که Windows Mnagemant Instrumentation Command-line (WMIC) را نیز غیر فعال کنید.

 WMI به عنوان یک سرویس با عنوان "ابزار مدیریت ویندوز" و نام سرویس "winmgmt" اجرا می شود. WMI  به طور خودکار در سیستم، تحت حساب LocalSystem اجرا می شود.  اگر WMI  در حال اجرا نباشد، به طور خودکار زمانی شروع می شود که اولین برنامه مدیریت یا اسکریپت درخواست اتصال به یک فضای نام WMI را داشته باشد.

برای استارت این سرویس کافی است در محیط CMD دستور زیر را وارد کنید:

net start winmgmt [/<switch>]

برای غیر فعال کردن این سرویس کافی است

net stop winmgmt

commend line stop WMI service

در این مرحله برخی از سرویس هایی که وابسته به سرویس WMI میباشند برای شما نمایش میدهد که در صورت غیر فعال کردن WMI این سرویس ها نیز غیر فعال می شوند که با نوشتن حرف y این سرویس ها غیر فعال می شوند.

commend stop wmi service

جلوگیری از تاثیرات مخرب Petya و  کلید قطع اضطراری طراحی شده برای این باج افزار

کارشناسان امنیت پس از بررسی باج افزار Petya دریافتند که این بد افزار برای Encrypt کردن اطلاعات قربانی لازم است سیستم آن را Reboot کند تا پس از بالا آمدن سیستم به رمز کردن اطلاعات بپردازد. کاری که قربانی باید انجام دهد این است که از روشن شدن سیستم جلوگیری کند و در صورتی که سیستم بالا آمده باشد فورا سیستم را خاموش کند زیرا در زمان بالا بودن سیستم، باج افزار در حال پردازش اطلاعات و کد کردن آنها می باشد. حال سیستم خود را از طریق LiveCD بالا بیاورید

دو شرکت PT Security و UK-Based Cyber Security  که در زمینه امنیت فعالیت دارند، توانستند یک کلید اضطراری (kill switch) برای این باج افزار طراحی کنند این شرکت ها پیشنهاد می دهند که فایل c:\windows\perfc ایجاد کنند تا دچار آسیب پذیری نشوند.

بهترین راه حل برای در امان ماندن در مقابل این حملات این است که از باز کردن ایمیل های ناشناس خودداری کنند و به هیچ وجه روی لینک های موجود در متن این ایمیل ها کلیک نکنند تا زمانی که از فرستنده این ایمیل مطمئن شوند.


پیشنهاد های پلیس فتا برای جلوگیری کردن از آلوده شدن به این باج افزار در تصویر زیر نمایش داده شده است

راه های آلوده شدن به باج افزار

 

 

مهندسین شبکه افزار سایان

  • اهواز - خیابان وهابی خ 19 شرقی پلاک 20
  • 061-33386011-13
  • 061-33374556
  • spambots

پیشنهادات خود را با ما در میان بگذارید

  ایمیل ارسال نشد   ایمیل با موفقیت ارسال شد