باج افزار پتیا چیست؟ با این روش ها از باج افزار Petya پیشگیری کنید!

ماه گذشته شاهد حملات گسترده باج افزار واناکرای (Wannacry) بودیم و این باج افزار تبدیل به تیتر یک اخبار تکنولوژی شد. حال باج افزار دیگری با نام پتیا (Petya) به سرعت در حال پخش شدن در سرتاسر اروپا و قاره های مختلف است.

مقصر کیست؟ خانواده‌ی باج‌افزار پتیا (Petya)

این باج افزار در محافل امنیت سایبری با نام پتنا (Petna) هم شناخته می‌شود اما در ادامه‌ی مطلب این باج‌افزار را با نام پتیا خطاب می‌کنیم.

بر اساس گزارشاتی که دیروز صبح (7 تیر) منتشر شد، باج افزار مذکور کشور اکراین را هدف قرار داده، به شکلی که بخش‌های مختلف دولتی، فرودگاه کی‌یف (Kiew)، سامانه‌ی مترو، مرکز تامین انرژی Ukrenergo، بانک مرکزی و حتی نیروگاه هسته‌ای از کار افتاده‌ی چرنوبیل (Chernobyl) را درگیر کرده است.

آثار آلودگی این باج‌افزار توسط شرکت‌های مختلفی در بخش‌های مختلف اروپا از جمله آژانس تبلیغاتی WPP بریتانیا، شرکت ساخت و ساز سنت-گوباین (Saint-Gobain) فرانسه، شرکت نفتی روسنفت (Rosneft) روسیه و غول حمل و نقل دانمارک یعنی AP Moller-Maersk تایید شده است.

تاکنون، نفوذ این باج‌افزار در بیش از ۱۴ کشور از جمله ایالات متحده، مکزیک، ایران و برزیل تایید شده و انتظار می‌رود که کشورهای بیشتری به آن آلوده شده باشند. غافلگیرکننده‌ترین بخش ماجرا این جاست که آخرین گونه از باج‌افزار پتیا از همان اکسپلویت (Exploit) NSA که در جریان Wannacry هم باعث آلوده شدن بیش از ۲۰۰ هزار کامپیوتر شده بود استفاده می‌کند.

علیرغم وصله‌ّهای امنیتی و توصیه‌هایی که در آن جریان ارائه شد، ظاهرا هنوز خیلی از شرکت‌ها به این توصیه‌ها اعتنا نکرده‌اند. آیا این حمله‌ی باج‌افزاری حتی از Wannacry هم بدتر خواهد بود؟ برای ایمن‌سازی کامپیوترها و شبکه‌ها چه می‌توان کرد؟

با باج افزار پتیا بیشتر آشنا شوید

آخرین گونه‌ی باج افزار پتیا از جهاتی بسیار شبیه به باج‌افزارهای قبلی خانواده‌ی پتیا است. پتیا اولین بار در اواخر ماه مارس سال ۲۰۱۶ مشاهده شد. نکته‌ای که پتیا را منحصر به فرد می‌سازد این است که این باج‌افزار به جای ویندوز از سیستم عامل کوچک خود استفاده می‌کند، بنابراین قادر است ساختارهای حیاتی سیستم فایل کامپیوتر را در صورت راه‌اندازی مجدد آن بر روی دیسک بوت رمزنگاری کند.

گونه‌ی بعدی پتیا هم از همین روش و تقریبا با همان کد سیستم عامل نسخه‌ی قبلی پتیا کار می‌کرد، اما روش مخصوص به خودش را برای پخش شدن، رمزنگاری فایل‌ها و آلوده کردن سیستم به کار می‌برد.

در صورتی که سیستم به شکل موفقیت‌آمیزی آلوده می‌شد، پتیا با نمایش صفحه‌ای که به زبان انگلیسی نوشته شده بود از کاربر می‌خواست ۳۰۰ دلار پول در قالب بیت‌کوین (Bitcoin) به کیف پولی که به آدرس posteo.net متصل بود واریز کند:

در هنگام نگارش این مقاله، از طریق ۲۸ تراکنش مالی ۳.۱ بیت‌کوین پرداخت شده که عایدی ۷۳۰۰ دلار آمریکا را برای صاحب این باج‌افزار به ارمغان آورده است. اگرچه این عدد نسبتا کم به نظر می‌رسد، هنوز برای نتیجه‌گیری زود است و با توجه به سرعت پخش باج‌افزار مذکور باید شاهد پرداخت‌های بیشتری از طرف قربانیان باشیم.

چگونه به باج افزار پتیا آلوده می‌شوید؟

موج آغازین آلودگی پتیا به هک نرم‌افزار حسابداری محبوب اکراینی یعنی MeDoc بر می‌گردد. مهاجمانی ناشناس با دستیابی به سرورهای به‌روز رسانی این نرم‌افزار توانستند باج افزار پتیا را به عنوان یک به‌روز رسانی نرم‌افزاری وارد کامپیوتر سرویس گیرنده‌های این شرکت کنند. از این روش پیش از این در سایر خانواده‌های باج‌افزارها مثلXData  هم برای شروع موج حملات نرم‌افزاری استفاده شده بود.

پس از آن که تعدادی سیستم آلوده شدند، پتیا با استفاده از همان اکسپلویت NSA که توسط گروه Shadow Brokers  لو رفته و توسط WannaCry استفاده شده بود، توانست به سرعت خود را در سراسر جهان پخش کند. این اکسپلویت که به ETERNALBLUE معروف است، از یک آسیب‌پذیری در پروتکل SMBv1 مایکروسافت استفاده می‌کند و به مهاجم اجازه می‌دهد تا کنترل سیستم‌هایی با مشخصات زیر را در دست بگیرد:

• سیستم‌هایی که پروتکل SMBv1 در آن‌ها فعال است
• سیستم‌هایی که از طریق اینترنت قابل دسترسی هستند
• و سیستم‌هایی که از وصله‌ی امنیتی MS17-010 مربوط به ماه مارس ۲۰۱۷ استفاده نمی‌کنند

اگر اکسپلویت ETERNALBLUE موفقیت‌آمیز باشد، برنامه‌ی مذکور یک در پشتی موسوم به DOUBLEPULSAR نصب می‌کند. بدافزار از DOUBLEPULSAR برای ارسال خود به سیستم اکسپلویت شده و اجرا شدن استفاده می‌کند.

به علاوه، پتیا از ویژگی‌های مدیریتی گوناگونی که در ویندوز تعبیه شده هم برای پخش شدن در یک شبکه‌ی در معرض خطر استفاده می‌کند. این یعنی اگر همه‌ی کامپیوترها هم وصله شده باشند، فقط یک دستگاه وصله نشده برای آلوده کردن کل شبکه کافی است. پتیا از ترکیب ابزار مدیریتی ویندوز (Windows Management Instrumentation)  و ابزار محبوب PsExec به همراه سهم مدیریتی شبکه برای تسهیل پخش جانبی باج‌افزار خود درون یک شبکه‌ی محلی استفاده می‌کند.

باج‌افزار پتیا چگونه فایل‌های شما را رمزنگاری می‌کند؟

پتیا از دو ماژول باج‌افزار تشکیل شده است. ماژول اول خیلی شبیه به خانواده‌ی باج‌افزارهای کلاسیک است. این ماژول یک مگابایت از اول فایل‌هایی با پسوندهای زیر را رمزنگاری می‌کند:

.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

این ماژول برای رمزنگاری کردن فایل‌ها از الگوریتم AES با یک کلید ۱۲۸ بیتی استفاده می‌کند. سپس همین کلید به وسیله‌ی یک کلید عمومی RSA که درون باج‌افزار اجرایی برنامه کارگذاری شده رمزنگاری می‌شود. برای کسب اطلاعات بیشتر در مورد نحوه‌ی به کارگیری RSA و AES در رمزنگاری امن فایل‌ها می‌توانید به مقاله‌ی ما درباره‌ی رمزنگاری مراجعه کنید.

ماژول دوم مستقیما از داخل خانواده‌ی باج‌افزار پتیا استخراج شده است. این ماژول از یک سیستم عامل کوچک سفارشی که در رکورد راه‌انداز اصلی (MBR) نصب شده تشکیل می‌شود. هدف از این روش بوت شدن از طریق MBR و دستیابی باج‌افزار به دسترسی‌های مورد نیاز آن است. زمانی که سیستم عامل پتیا (Petya OS) راه‌اندازی می‌شود، این نرم‌افزار جدول فایل اصلی (Master File Table) را از روی درایو راه‌انداز پیدا کرده و آن را با استفاده از Salsa20 رمزنگاری می‌کند.

جدول فایل اصلی یک ساختار داده‌ای داخلی از سیستم فایل NTFS ویندوز است. محل نگهداری دقیق هر فایل بر روی دیسک در این جدول وجود دارد. علاوه بر این، سیستم عامل باج‌افزار پتیا اولین سکتورهای هر فایل را هم رمزنگاری می‌کند تا از عملکرد صحیح ابزارهای بازیابی (Recovery) جلوگیری کند. ویندوز بدون جدول فایل اصلی نمی‌تواند محل داده‌ها را بر روی دیسک تشخیص دهد، در نتیجه کاربر به طور کامل از سیستم بیرون انداخته می‌شود.

چگونه می‌توانیم از خودمان در برابر باج‌افزار پتیا محافظت کنیم؟

توصیه‌ای که در زمان حمله‌ی WannaCry داشتیم در مورد پتیا هم صادق است: به عنوان یک راهکار سریع، حتماً آخرین به‌روز رسانی‌های امنیتی را بر روی کامپیوترها و سرورهای ویندوزی خود نصب کنید. در پی حمله‌ی باج‌افزاری قبلی، مایکروسافت با انتشار وصله‌های امنیتی جدید برای سیستم عامل‌هایی که پشتیبانی آن‌ها را لغو کرده بود، مثل ویندوز XP و ویندوز سرور ۲۰۰۳، دست به عمل عجیبی زد تا از امنیت سیستم‌های قدیمی هم اطمینان حاصل کند.

همانطور که می دانید، بهترین روش مقابله با این برنامه‌ها داشتن یک پشتیبان مطمئن است، به خصوص با نظر به این که رمزنگاری مورد استفاده در باج‌افزار پتیا فوق العاده ایمن می‌باشد.

تنها راه برای دستیابی مجدد به داده‌ها بعد از آلوده شدن به این باج‌افزار کمک به صاحبان آن یا برگرداندن فایل‌ها از طریق پشتیبان است. برای حفاظت از یک سیستم، نصب به‌روز رسانی‌های حیاتی هم قدم بسیار مهمی به شمار می‌آید، چرا که مهمترین عامل آلوده شدن به پتیا تا الان اکسپلویت ETERNALBLUE SMBv1 بوده که مشکل آن چند ماه قبل توسط مایکروسافت برطرف شده است.

ما باج‌افزار را به عنوان یکی از بزرگترین تهدیدات چند سال اخیر می‌شناسیم و در تلاشیم تا با شناسایی روش‌های جدید در آینده بیش از پیش کاربران را تحت حفاظت قرار دهیم.

روش‌های پیشنهادی به منظور پیشگیری از ابتلا به باج‌افزار:

• سیستم ویندوز بایستی توسط آخرین وصله‌های امنیتی به روز رسانی شود.
• قبل از بازکردن فایل‌های پیوست ایمیل، باید از فرستنده آن مطمئن شد.
• پروتکل SMB غیر فعال شود و patch MS17-010 از سایت مایکروسافت دریافت و نصب گردد.
• پورت های 445 و 139 بر روی فایروال بسته شود.
• غیر فعال کردن اسکریپت‌های ماکرو از فایل‌های آفیسی که از ایمیل دریافت می‌شود (به جای باز کردن فایل‌های آفیس با استفاده از نسخه کامل آفیس، از office viewer استفاده شود).
• فراهم کردن فیلترینگ مناسب و قوی برای فیلترکردن اسپم و جلوگیری از ایمیل‌های فیشینگ.
• اسکن تمامی ایمیل‌های ورودی و جروجی برای شناسایی تهدیدات و فیلتر کردن فایل‌های اجرایی برای کاربران.
• Patch کردن سیستم عامل ها، نرم‌افزار، firm ware، و تجهیزات.

ملاحظات:

• بک‌آپ‌گیری دوره‌ای از اطلاعات حساس
• اطمینان از اینکه بک‌آپ‌ها به صورت مستقیم به کامپیوتر و شبکه‌ای که از آن بک‌آپ گرفته می‌شود وصل نیست.
• ذخیره کردن بک‌آپ‌ها بر رویcloud  و همچنین فضای ذخیره‌سازی فیزیکی آفلاین؛ بعضی از باج‌افزارها این قابلیت را دارند که بک‌آپ‌های تحت کلود را نیز لاک کنند. (بک‌آپ‌ها بهترین روش برای بازگرداندن داده‌های رمز شده توسط باج‌افزار هستند. البته با توجه به اینکه سرورهای cloud در خارج از کشور ما هستند لذا ذخیره بک‌آپ‌ها به این روش در کشور ما نیاز به رعایت ملاحظات امنیتی دارد و می‌تواند مورد استفاده قرار گیرد).

منبع: cyberpolice 1, 2 و emsisoft