به دنبال حمله‌ی گسترده‌ی Wannacry در ماه گذشته که توجه رسانه‌های مختلف را به خود جذب کرد، اکنون باج‌افزار دیگری به سرعت در حال پخش شدن در سراسر اروپا و سایر قاره‌هاست.
مقصر کیست؟ خانواده‌ی باج‌افزار پتیا (Petya)

که در محافل امنیت سایبری با نام پتنا (Petna) هم شناخته می‌شود. اما در ادامه‌ی مطلب این باج‌افزار با نام پتیا خطاب می‌کنیم.

بر اساس گزارشاتی که امروز صبح منتشر شد، باج‌افزار مذکور کشور اکراین را هدف قرار داده، به شکلی که بخش‌های مختلف دولتی، فرودگاه کی‌یف (Kiew)، سامانه‌ی مترو، مرکز تامین انرژی Ukrenergo، بانک مرکزی و حتی نیروگاه هسته‌ای از کار افتاده‌ی چرنوبیل (Chernobyl) را درگیر کرده است.

آثار آلودگی این باج‌افزار توسط شرکت‌های مختلفی در بخش‌های مختلف اروپا از جمله آژانس تبلیغاتی WPP بریتانیا، شرکت ساخت و ساز سنت-گوباین (Saint-Gobain) فرانسه، شرکت نفتی روسنفت (Rosneft) روسیه و غول حمل و نقل دانمارک یعنی AP Moller-Maersk تایید شده است. تاکنون، نفوذ این باج‌افزار در بیش از ۱۴ کشور از جمله ایالات متحده، مکزیک، ایران و برزیل تایید شده و انتظار می‌رود که کشورهای بیشتری به آن آلوده شده باشند. غافلگیرکننده‌ترین بخش ماجرا این جاست که آخرین گونه از باج‌افزار پتیا از همان اکسپلویت (Exploit) NSA که در جریان Wannacry هم باعث آلوده شدن بیش از ۲۰۰ هزار کامپیوتر شده بود استفاده می‌کند. علیرغم وصله‌ّهای امنیتی و توصیه‌هایی که در آن جریان ارائه شد، ظاهراً هنوز خیلی از شرکت‌ها به این توصیه‌ها اعتنا نکرده‌اند. آیا این حمله‌ی باج‌افزاری حتی از Wannacry هم بدتر خواهد بود؟ برای ایمن‌سازی کامپیوترها و شبکه‌ها چه می‌توان کرد؟

با باج‌افزار پتیا بیشتر آشنا شوید

آخرین گونه‌ی پتیا از جهاتی بسیار شبیه به باج‌افزارهای قبلی خانواده‌ی پتیا است. پتیا اولین بار در اواخر ماه مارس سال ۲۰۱۶ مشاهده شد. نکته‌ای که پتیا را منحصر به فرد می‌سازد این است که این باج‌افزار به جای ویندوز از سیستم عامل کوچک خود استفاده می‌کند، بنابراین قادر است ساختارهای حیاتی سیستم فایل کامپیوتر را در صورت راه‌اندازی مجدد آن بر روی دیسک بوت رمزنگاری کند. گونه‌ی بعدی پتیا هم از همین روش و تقریباً با همان کد سیستم عامل نسخه‌ی قبلی پتیا کار می‌کرد، اما روش مخصوص به خودش را برای پخش شدن، رمزنگاری فایل‌ها و آلوده کردن سیستم به کار می‌برد.

در صورتی که سیستم به شکل موفقیت‌آمیزی آلوده می‌شد، پتیا با نمایش صفحه‌ای که به زبان انگلیسی نوشته شده بود از کاربر می‌خواست ۳۰۰ دلار پول در قالب بیت‌کوین (Bitcoin) به کیف پولی که به آدرس posteo.net متصل بود واریز کند:

در هنگام نگارش این مقاله، از طریق ۲۸ تراکنش مالی ۳.۱ بیت‌کوین پرداخت شده که عایدی ۷۳۰۰ دلار آمریکا را برای صاحب این باج‌افزار به ارمغان آورده است. اگرچه این عدد نسبتاً کم به نظر می‌رسد، هنوز برای نتیجه‌گیری زود است و با توجه به سرعت پخش باج‌افزار مذکور باید شاهد پرداخت‌های بیشتری از طرف قربانیان باشیم.

چگونه به باج‌افزار پتیا آلوده می‌شوید؟

موج آغازین آلودگی پتیا به هک نرم‌افزار حسابداری محبوب اکراینی یعنی MeDoc بر می‌گردد. مهاجمانی ناشناس با دستیابی به سرورهای به‌روز رسانی این نرم‌افزار توانستند باج‌افزار پتیا را به عنوان یک به‌روز رسانی نرم‌افزاری وارد کامپیوتر سرویس گیرنده‌های این شرکت کنند. از این روش پیش از این در سایر خانواده‌های باج‌افزارها مثل XData هم برای شروع موج حملات نرم‌افزاری استفاده شده بود.

پس از آن که تعدادی سیستم آلوده شدند، پتیا با استفاده از همان اکسپلویت NSA که توسط گروه Shadow Brokers لو رفته و توسط WannaCry استفاده شده بود، توانست به سرعت خود را در سراسر جهان پخش کند. این اکسپلویت که به ETERNALBLUE معروف است، از یک آسیب‌پذیری در پروتکل SMBv1 مایکروسافت استفاده می‌کند و به مهاجم اجازه می‌دهد تا کنترل سیستم‌هایی با مشخصات زیر را در دست بگیرد:

سیستم‌هایی که پروتکل SMBv1 در آن‌ها فعال است
سیستم‌هایی که از طریق اینترنت قابل دسترسی هستند
و سیستم‌هایی که از وصله‌ی امنیتی MS17-010 مربوط به ماه مارس ۲۰۱۷ استفاده نمی‌کنند
اگر اکسپلویت ETERNALBLUE موفقیت‌آمیز باشد، برنامه‌ی مذکور یک در پشتی موسوم به DOUBLEPULSAR نصب می‌کند. بدافزار از DOUBLEPULSAR برای ارسال خود به سیستم اکسپلویت شده و اجرا شدن استفاده می‌کند.

به علاوه، پتیا از ویژگی‌های مدیریتی گوناگونی که در ویندوز تعبیه شده هم برای پخش شدن در یک شبکه‌ی در معرض خطر استفاده می‌کند. این یعنی اگر همه‌ی کامپیوترها هم وصله شده باشند، فقط یک دستگاه وصله نشده برای آلوده کردن کل شبکه کافی است. پتیا از ترکیب ابزار مدیریتی ویندوز (Windows Management Instrumentation) و ابزار محبوب PsExec به همراه سهم مدیریتی شبکه برای تسهیل پخش جانبی باج‌افزار خود درون یک شبکه‌ی محلی استفاده می‌کند.

باج‌افزار پتیا چگونه فایل‌های شما را رمزنگاری می‌کند؟

پتیا از دو ماژول باج‌افزار تشکیل شده است. ماژول اول خیلی شبیه به خانواده‌ی باج‌افزارهای کلاسیک است. این ماژول یک مگابایت از اول فایل‌هایی با پسوندهای زیر را رمزنگاری می‌کند:

.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

این ماژول برای رمزنگاری کردن فایل‌ها از الگوریتم AES با یک کلید ۱۲۸ بیتی استفاده می‌کند. سپس همین کلید به وسیله‌ی یک کلید عمومی RSA که درون باج‌افزار اجرایی برنامه کارگذاری شده رمزنگاری می‌شود. برای کسب اطلاعات بیشتر در مورد نحوه‌ی به کارگیری RSA و AES در رمزنگاری امن فایل‌ها می‌توانید به مقاله‌ی ما درباره‌ی رمزنگاری مراجعه کنید.

ماژول دوم مستقیماً از داخل خانواده‌ی باج‌افزار پتیا استخراج شده است. این ماژول از یک سیستم عامل کوچک سفارشی که در رکورد راه‌انداز اصلی (MBR) نصب شده تشکیل می‌شود. هدف از این روش بوت شدن از طریق MBR و دستیابی باج‌افزار به دسترسی‌های مورد نیاز آن است. زمانی که سیستم عامل پتیا (Petya OS) راه‌اندازی می‌شود، این نرم‌افزار جدول فایل اصلی (Master File Table) را از روی درایو راه‌انداز پیدا کرده و آن را با استفاده از Salsa20 رمزنگاری می‌کند.

جدول فایل اصلی یک ساختار داده‌ای داخلی از سیستم فایل NTFS ویندوز است. محل نگهداری دقیق هر فایل بر روی دیسک در این جدول وجود دارد. علاوه بر این، سیستم عامل باج‌افزار پتیا اولین سکتورهای هر فایل را هم رمزنگاری می‌کند تا از عملکرد صحیح ابزارهای بازیابی (Recovery) جلوگیری کند. ویندوز بدون جدول فایل اصلی نمی‌تواند محل داده‌ها را بر روی دیسک تشخیص دهد، در نتیجه کاربر به طور کامل از سیستم بیرون انداخته می‌شود.

چگونه می‌توانیم از خودمان در برابر باج‌افزار پتیا محافظت کنیم؟

توصیه‌ای که در زمان حمله‌ی WannaCry داشتیم در مورد پتیا هم صادق است: به عنوان یک راهکار سریع، حتماً آخرین به‌روز رسانی‌های امنیتی را بر روی کامپیوترها و سرورهای ویندوزی خود نصب کنید. در پی حمله‌ی باج‌افزاری قبلی، مایکروسافت با انتشار وصله‌های امنیتی جدید برای سیستم عامل‌هایی که پشتیبانی آن‌ها را لغو کرده بود، مثل ویندوز XP و ویندوز سرور ۲۰۰۳، دست به عمل عجیبی زد تا از امنیت سیستم‌های قدیمی هم اطمینان حاصل کند.

بهترین روش مقابله با این برنامه‌ها داشتن یک پشتیبان مطمئن است، به خصوص با نظر به این که رمزنگاری مورد استفاده در باج‌افزار پتیا فوق العاده ایمن می‌باشد. تنها راه برای دستیابی مجدد به داده‌ّها بعد از آلوده شدن به این باج‌افزار کمک به صاحبان آن یا برگرداندن فایل‌ها از طریق پشتیبان است. برای حفاظت از یک سیستم، نصب به‌روز رسانی‌های حیاتی هم قدم بسیار مهمی به شمار می‌آید، چرا که مهمترین عامل آلوده شدن به پتیا تا الان اکسپلویت ETERNALBLUE SMBv1 بوده که مشکل آن چند ماه قبل توسط مایکروسافت برطرف شده است.