باج افزار Petya شباهت خیلی زیادی به باج افزار WannaCry دارد که توانست در عرض 72 ساعت 300.000 کامپیوتر را آلوده کند که این نشان دهنده سرعت انتشار بالای این باج افزار است. بد افزار Petya نیز از سیسم آسیب پذیری موجود در پرتکل SMBv1 استفاده می کند و کاربران را تحت تاثیر قرار می دهد و همچنین همانند WannaCry از EternalBlue Exploit متعلق به NSA استفاده میکند. از جمله اختلافاتی که این باج افزار را نسبت به WannaCry قدرتمندتر می سازد این است که علاوه بر نفوذ از طریق آسیب پذیری موجود در SMBv1 از دو سرویس دیگر ویندوزی به نام های WMIC و PSEXEC نیزاستفاده کرده و در شبکه های داخلی گسترش پیدا می کند.
Petya شکل کاملا متفاوتی با سایر باج افزار ها دارد. برخلاف باج افزار های معمولی Petya فایل های قربانی را به صورت تک تک رمزنگاری نمی کند بلکه ابتدا کامپیوتر قربانی را Reboot میکند و جدول اصلی فایل های هارد یا Master File Table (MFT) را رمزنگاری میکند و رکورد اصلی بوت یا Master Boot Record (MBR) را نیز غیر فعال می کند و دسترسی کامل به سیستم و اطلاعاتی مانند نام فایل، اندازه و محل ذخیره شده این فایل ها بر روی دیسک فیزیکی را محدود میکند. این باج افزار، MBR کامپیوتر قربانی را با کد مخرب خود جایگزین می کند. این اقدام باج افزار، اجازه بوت شدن کامل سیستم را به قربانی نمی دهد و هم زمان یک پیغام مبنی بر آلوده شدن به باج افزار Petya را برای قربانی نمایش می دهد.
" هیچ مبلغی را برای باج افزار پرداخت نکنید زیرا که فایل های شما توسط هکر بازگردانی نمی شوند "
کاربرانی که توسط باج افزار های قبلی مانند WannaCry مورد حمله قرار گرفته بوده اند توصیه می کنند که به هیچ عنوان مبلغی را جهت بازگردانی اطلاعات خود پرداخت نکنید زیرا که هکر قادر نیست ایمیل شما را بیابد تا فایل های شما را بازگردانی کند. Pesteo ارائه دهنده ایمیل آدرس در آلمان، ایمیل آدرس spambots را که به وسیله مجرمان برای دریافت هزینه و ارسال کلید رمزگشایی برای قربانیان استفاده می شود به حالت تعلیق درآورده است . پیغامی که باج افزار برای قربانی نمایش میدهد بدین گونه می باشد
درصورتی که این پیغام را مشاهده کردید این بدین معنی میباشد که فایل های شما دیگر قابل دسترس نمی باشند و تمام آنها رمزنگاری شده اند. و از شما خواسته می شود با مراجعه به لینک معرفی شده در پیغام بالا کلید را خریداری، و در قسمت Key وارد کنید.
بر اساس تحقیقات virus total scan از 61 آنتی ویروس جهان فقط 16 تا از آنها توانستند Petya را تشخیص دهند. در طی این حمله، غول نفتی Rosnet و تامین کنندگان برق اکراین Ukrenergo ، Kyivenergo و همچنین بانک ملی اکراین اعلام کرده اند که مورد حمله واقع شده اند و این باج افزار سیستم های آنها را آلوده کرده است.
نحوه انتشار Petya :
به گزارش Symantec باج افزار Petya همانند WannaCry از آسیب پذیری موجود در SMB استفاده می کند و کامپیوتر هایی که تا کنون وصله امنیتی مربوط به این آسیب پذیری را نصب نکرده اند در معرض خطر هجوم این حمله قرار دارند. باج افزار Peyta به صورت خیلی حرفه ای و در اکثر موارد به شکل موفقیت آمیزی گسترش می یابد زیرا که از دو نوع حمله استفاده می کند که شامل Client – Side با CVE – 2017-0199 و تهدیدات تحت شبکه MS17-010 می باشند. EtherBlue که از آسیب پذیری SMB ویندوز استفاده می کند توسط گروه هکری به نام Shadow Brockers در طراحی این حمله استفاده شده است . این تیم ادعا کرده است که علاوه بر EtherBlue کد های مخرب دیگری که علیه ویندوز طراحی شده اند در ماه 2017 April از NSA به سرقت برده اند.
از آنجای که مایکروسافت وصله امنیتی را برای تمام نسخه های ویندوزی خود منتشر کرده است اما متاسفانه برخی از کاربران و حتی ارگان های دولتی برای ایمن سازی سیستم های خود در مقابل این تهدید اقدام نکرده اند زیرا طبق گزارشات رسیده در طی روز های اخیر شرکت نام آشنای Honda Mototors و سیستم چراغ های راهنمایی و رانندگی استرالیا تحت تاثیر حمله WannaCry قرار گرفته اند.
به گفته کشور اکراین باج افزار Petya سیستم کنترل مترو و سیستم های فرودگاه Kiev’s Boryspil و همچنین سه اپراتور مخابراتی این کشور به نام های Kyivstar, LifeCell و Ukrtelecom آلوده به این باج افزار شده اند و عملکرد آنها مختل شده است .
چگونه خود را در مقابل این حمله محافظت کنیم
ابتدا وصله امنیتی MS17-010 را دانلود و نصب کنید. در مرحله بعد می توانید SMBv1 را بر روی سیستم های خود غیر فعال کنید . تمام این روش ها در مقاله قبلی بنده به نام حمله سایبری WannaCry به نحوه کاملی توضیح و به شکل عملی تشریح شده است می توانید با مراجعه به مقاله اقدام به ایمن سازی سیستم های خود کنید. برای ایمن ماندن در مقابل حمله Petya علاوه بر موارد ذکر شده پیشنهاد می شود که Windows Mnagemant Instrumentation Command-line (WMIC) را نیز غیر فعال کنید.
WMI به عنوان یک سرویس با عنوان "ابزار مدیریت ویندوز" و نام سرویس "winmgmt" اجرا می شود. WMI به طور خودکار در سیستم، تحت حساب LocalSystem اجرا می شود. اگر WMI در حال اجرا نباشد، به طور خودکار زمانی شروع می شود که اولین برنامه مدیریت یا اسکریپت درخواست اتصال به یک فضای نام WMI را داشته باشد.
برای استارت این سرویس کافی است در محیط CMD دستور زیر را وارد کنید:
net start winmgmt [/<switch>]
برای غیر فعال کردن این سرویس کافی است
net stop winmgmt
در این مرحله برخی از سرویس هایی که وابسته به سرویس WMI میباشند برای شما نمایش میدهد که در صورت غیر فعال کردن WMI این سرویس ها نیز غیر فعال می شوند که با نوشتن حرف y این سرویس ها غیر فعال می شوند.
جلوگیری از تاثیرات مخرب Petya و کلید قطع اضطراری طراحی شده برای این باج افزار
کارشناسان امنیت پس از بررسی باج افزار Petya دریافتند که این بد افزار برای Encrypt کردن اطلاعات قربانی لازم است سیستم آن را Reboot کند تا پس از بالا آمدن سیستم به رمز کردن اطلاعات بپردازد. کاری که قربانی باید انجام دهد این است که از روشن شدن سیستم جلوگیری کند و در صورتی که سیستم بالا آمده باشد فورا سیستم را خاموش کند زیرا در زمان بالا بودن سیستم، باج افزار در حال پردازش اطلاعات و کد کردن آنها می باشد. حال سیستم خود را از طریق LiveCD بالا بیاورید
دو شرکت PT Security و UK-Based Cyber Security که در زمینه امنیت فعالیت دارند، توانستند یک کلید اضطراری (kill switch) برای این باج افزار طراحی کنند این شرکت ها پیشنهاد می دهند که فایل c:\windows\perfc ایجاد کنند تا دچار آسیب پذیری نشوند.
بهترین راه حل برای در امان ماندن در مقابل این حملات این است که از باز کردن ایمیل های ناشناس خودداری کنند و به هیچ وجه روی لینک های موجود در متن این ایمیل ها کلیک نکنند تا زمانی که از فرستنده این ایمیل مطمئن شوند.
پیشنهاد های پلیس فتا برای جلوگیری کردن از آلوده شدن به این باج افزار در تصویر زیر نمایش داده شده است