(فوری) شیوع ویرانگر باج افزار Petya در سراسر جهان (فوری)

(فوری) شیوع ویرانگر باج افزار Petya در سراسر جهان (فوری)

شیوع اخیر باج افزار ویرانگر Petya سازمان های بسیاری را در سراسر دنیا آلوده کرده است.

 

(((((((   فوری    )))))))


نشانه هایی از وقوع زودرس باج افزار ویران کننده ی دیگر همچون Wannacry به گوش میرسد. باج افزار Petya اکنون اقدام به آلوده کردن سازمان های بزرگ دولتی در سراسر جهان همچون انگلستان، اوکراین، هند و بخشی از کشور های اروپایی و دیگر مناطق آسیایی میکند. این باج افزار با استفاده از اسم و مشخصات آدرس wowsmith123456@posteo.net اقدام به انتشار خود میکند و درخواست 300 دلار باج را در غالب بیت کوین از قربانیان را دارد.


در حال حاضر این باج افزار هنوز به گستردگی Wannacry نرسیده است اما سرعت شیوع آن به طرز قابل توجهی در حال افزایش است و تعداد قربانیان در این مدت زمان کوتاه بسیار قابل توجه میباشد.

مسبب اصلی این وقایع گونه ی توسعه یافته ی باج افزار Petya میباشد. باج افزاری که اقدام به رمزنگاری MFT میکند که ریشه ی اصلی آن پارتیشن های NTFS میباشد و بخش های MBR یا همان رکورد های راه اندازی اصلی سیستم میباشد را هدف قرار میدهد که ( به عبارتی اولین سکتور از دیسک سخت رایانه است که اطلاعات پارتیشن ها روی آن قرار دارد و فرایند راه اندازی رایانه از روی آن آغاز میشود). همراه با یک Bootloader دلخواه و تعیین شده  به قربانی میزان مبلغ پرداختی باج را نشان میدهد و از بوت شدن و راه اندازی سیستم شخص جلوگیری میکند.

به همین دلیل باج افزار Petya به احتمال زیاد خطرناکترین باج افزار تا به امروز میباشد چرا که از ریبوت شدن سیستم جلوگیری میکند و پروسه ی شروع را مختل میکند.

 

(((((((   فوری    )))))))

 

نسخه ی جدید Petya الهام گرفته از WannaCry

بر اساس منابعی متعدد، به نظر میرسد که فرد مسئول در انتشار باج افزار Petya از باج افزار تخریب گر و ویران کننده ی WannaCry در ماه گذشته که صدمات و خسارات زیادی به سازمان های جهانی را وارد کرد الهام گرفته است. و یک تونل مشابه برگرفته از باج افزار قبلی که از طریق SMB وارد شبکه میشود، الگو گرفته است. این موضوع توسط سازمان های امنیتی چون Avira , Emsisoft , Bitdefender, Symantec و دیگر محققان از شرکت های امنیتی بزرگ تایید شده است.

برخلاف WannaCry، باج افزار Petya از طریق ایمیل های اسپم و در قابل فایل های ورد و آفیس انتشار میابد. این اسناد از مدل CVE-2017-0199 نرم افزار آفیس استفاده میکند که منجر به دانلود و اجرای فایل Petya میشود که سپس باعث پردازش کرم SMB میشود و به دیگر سیستم ها از طریق شبکه داخلی منتقل میشود.

گزارشات متعدد از این اتفاقات از سراسر جهان

اوکراین

در حال حاضر، گزارشات زیادی از سراسر جهان در رابطه با شیوع این باج افزار به گوش میرسد. اوکراین به نظر آلوده ترین کشور میرسد جایی که مقامات دولتی اذعان دارند که حملات سایبری منجر به آلودگی بزرگترین بانک های مرکزی، فرودگاه ها، شرکت های صنایع همگانی شده است. "روزنکو پاولو" یکی از مقامات بلندمرتبه ی وزارتی در کشور اوکراین عکسی را در توییتر منتشر کرد که تصویر یک کامپیوتر قفل شده توسط گونه ی جدید Petya است را نشان میدهد.

هلند

شیوع این باج افزار در کشوری چون هلند نیز خسارات هنگفتی به بار آورده است. شرکت "مرسک لاین" بزرگترین شرکت حمل و نقل در جهان نیز یکی دیگر از قربانیان این باج افزار مخرب است که مسئولان آن برای جلوگیری از خسارت بیشتر مجبور به بستن و به اصطلاح تعطیلی شعبه های خود و خاموش کردن سرور های خود شدند. این کمپانی نامدار در وب سایت خود این خبر مهم را در صفحه اصلی خود منتشر کرده است.

اسپانیا

مشابه همین اتفاقات در اسپانیا موجود است که اذعان بر حملات ویرانگر این باج افزار به کمپانی های بزرگ مواد غذایی چون موندلیز (Mondelez) آمریکایی داشته است. این کمپانی ارزشی بالغ بر میلیاردها دلار در سهام خود دارد. همچنین از دیگر قربانیان بزرگ میتوان به شرکت دی ال ای پایپر (DLA PIPER) اشاره کرد که یک شرکت حقوقی چند ملیتی میباشد و که بیش از 70 دفتر و شرکت زیر مجموعه در 30 کشور جهان را داراست.

انگلستان


در انگلستان، شرکت دبلیو پی پی (WPP)  که یک شرکت تبلیغاتی است و به عنوان بزرگترین بنگاه تبلیغاتی و روابط عمومی در جهان شناخته میشود نیز در کنار دیگر شرکت ها آلوده شده اند.
ایالات متحده آمریکا نیز از این حملات در امان نمانده است و شرکت ها و سازمان های دولتی بسیاری نیز در آن آلوده شده اند.


روسیه
در روسیه نیز شرکت روس نِفت که یکی از بزرگترین شرکت های گاز و نفت میباشد نیز پس از چندی به قربانی شدن در این حملات در توییتر اعتراف کرد اما زیاد به شفاف سازی در رابطه با جزییات نپرداخته است. در کل به نظر میرسد که کشورهایی چون روسیه و اوکراین بیشترین صدمات و خسارات را پوشش میدهند.

(((((((   فوری    )))))))

 

 

باج افزار Petya کلید خاموش ندارد

بر اساس گزارشات متعدد از سراسر جهان اذعان دارند که این گونه مخرب در کمتر از چند دقیقه یک شبکه و سیستم های تحت دامین را قفل و آلوده کرده است.

تا کنون، باج گیران در این چند ساعت موفق به دریافت 2000 هزار دلار شده اند که با مقایسه باج افزار WannaCry، این باج افزار دریافتی بیشتری نسبت به قبلی در ساعات اولیه شیوع داشته است.

نسخه ی قبلی Petya قابل رمزگشایی بود اما در حال حاضر نمیتوان تضمین کرد که این نسخه نیز قابل نفوذ باشد. در حالی که باج افزار WannaCry تا حدودی متوقف شده است اما باج افزار Petya رخنه های فنی باج افزار قبلی را ندارد و اشتباهات آن را تکرار نمیکند.

پیشگیری از آلودگی

در حال حاضر به محض آلوده شدن به این مخرب کاری نمیتوان انجام دادن اما میتوان با رعایت چند نکته ی امنیتی پیشگیری از آلوده شدن به این باج افزار را افزایش داد تا میزان آلودگی به حداقل برسد:

1. کنترل ارسال و دریافت پورت SMB در مجموعه: از طریق کنترل این پورت که اختصار Server Message Block میباشد میتوانید میزان احتمال آلوده شدن به این باج افزار را تا حد زیادی کاهش دهید.

2. قرار دادن ماژول هوش مصنوعی آنتی ویروس بیت دیفندر (ATC) بر روی حالت سخت گیرانه: تمامی سیاست های اعمال شده بر روی سیستم هایتان را ویرایش کنید و ماژول ATC را به حالت Aggressive (سخت گیرانه) تغییر دهید، همچنین قابلیت Ransomware Vaccine را نیز فعال کنید.

3. کنترل ایمیل های ورودی و خروجی و اعمال نظارت سنگین بر روی میل سرور مجموعه: ( برای کنترل محتوای ایمیل سازمان خود میتوانید از نسخه ی Advanced Business Security بیت دیفندر استفاده کنید که انحصارا امنیت اکسچنج مجموعه شما را تضمین میکند)

4. مراقب ایمیل های اسپم باشید: در حال حاضر تنها راه شیوع این باج افزار از طریق ایمیل های Spam میباشد. ایمیل های ناشناس با محتوای ناشناس را باز نکنید و از دریافت فایل های ضمیمه شده ی مشکوک بپرهیزید.