Petya؛ باج‌افزاری که هارددیسک را از بین می‌برد

Images
Images
Images
Images

Petya؛ باج‌افزاری که هارددیسک را از بین می‌برد

  • مقالات
  • 2,189 بازدید

 

 
 
بدون شک امسال، سال حضور باج‌افزارها است. در مقاله دانشنامه باج‌افزاری عنوان کردیم که در سال جدید باید شاهد حضور نسل جدیدی از بدافزارها، موسوم به باج‌افزارها باشیم. رشد بسیار سریع و فراگیر شدن مکانیزم‌های تهدید مبتنی بر باج‌افزارها به این دلیل خطرناک شده است که اولاً بسیاری از آن‌ها بر پایه خاکسترهای قدیمی پایه‌گذاری شده‌اند و دوم اینکه مجرمان سایبری، خواه حرفه‌ای یا آماتور، با پرداخت مبالغ قابل توجهی در دارک‌وب به سورس کدهای این باج‌افزارها دسترسی دارند.

 باج‌افزارها در مقایسه با دیگر شاخه‌های بدافزارها از مکانیزم‌ به‌مراتب مخرب‌تر و خطرناک‌تر استفاده می‌کنند. عاملی که باعث ترسناک شدن باج‌افزارها می‌شود، به مکانیزم خاموش آن‌ها بازمی‌گردد؛ این‌گونه که ناگهان به کاربر پیغامی نشان می‌دهند و به او اعلام می‌کنند برای دسترسی به فایل‌های کاربردی سیستم خود راهی جز پرداخت باج ندارد.

 

 

 

البته هیچ‌گونه ضمانتی وجود ندارد که کاربر بعد از پرداخت باج مربوطه بتواند از سیستم خود استفاده کند. مهم‌ترین عاملی که ردیابی و شناسایی مجرمان سایبری را با دشواری همراه می‌سازد، به مکانیزم پرداختی مربوط می‌شود. بیت‌کوین‌ها یا همان پول مجازی باعث شده‌اند تا مجرمان سایبری بدون هیچ‌گونه هراسی از شناسایی شدن به اعمال مجرمانه مبادرت ورزند. به‌تازگی باج‌افزار جدیدی موسوم به Petya پا به عرضه ظهور نهاده است؛ باج‌افزاری که به جای مکانیزم‌های مرسوم رمزنگاری فایل‌ها، مستقیماً هارددیسک را هدف خود قرار داده است. باج‌افزار Petya بیشتر باج‌افزاری تجاری است و سراغ افرادی می‌رود که در دنیای کسب‌وکار به فعالیت اشتغال دارند. شیوه کارکرد آن به این گونه است که هکر ابتدا ایمیلی با موضوع تقاضای شغل همراه با ضمیمه‌ای که در ظاهر حاوی روزمه هکر است، برای کارمند بخش منابع انسانی ارسال می‌کند. درون این ضمیمه یا متن اصلی ایمیل، لینکی وجود دارد که در ظاهر نشان می‌دهد روزمه هکر در دارپ‌باکس قرار دارد. زمانی که کارمند روی این لینک کلیک می‌کند یک فایل اجرایی روی سیستم او شروع به کار می‌کند.

 

 

 

در ادامه صفحه‌ای آبی‌رنگ به کاربر نشان داده می‌شود و تمام! در این حالت باج‌افزار Petya روی سیستم قربانی فعالیت خود را آغاز می‌کند. باج‌افزار در ادامه به رمزنگاری فایل‌های روی سیستم کاربر اقدام می‌کند، اما آسیبی به فایل‌های سیستمی وارد نمی‌کند. این باج‌افزار هر تعداد درایوی را که روی سیستم وجود داشته باشد، رمزنگاری می‌کند. در این حالت کاربر فقط توانایی مشاهده یک صفحه سفید با عبارت Master Boot Record را دارد. در این بخش اطلاعاتی درباره هاردیسک و مشخصات درایو به کاربر نشان داده می‌شود. همچنین کدی که برای اجرای سیستم عامل مورد نیاز است و به آن بوت‌لودر گفته می‌شود، به باج‌افزار Petya آلوده خواهد بود. زمانی که سیستم قربانی راه‌اندازی می‌شود، بخش‌هایی از این باج‌‌افزار اجرا می‌شود و در ظاهر به کاربر نشان می‌دهد که برنامه Check Disk در حال اجرا است. غافل از اینکه باج‌افزار در حال رمزنگاری داده‌ها است. زمانی که فایل‌های روی سیستم به‌طور کامل رمزنگاری شوند، پیغامی مبنی بر موفقیت‌آمیز بودن Check Disk به کاربر نشان داده می‌شود.

 

 

 

در این مرحله Petya موفق شده است جدول اصلی فایل‌ها را همراه با سطوح پایین هارددیسک رمزنگاری کند و این بدان معناست که با کمترین کار ممکن، تمام فایل‌ها و پوشه‌های روی سیستم رمزنگاری شده‌‌اند. در ادامه تصویری شبیه به اسکلت سر و مشتمل بر کدهای اسکی روی صفحه به نمایش درمی‌آید. بعد از آن، کاربر برای دسترسی به فایل‌های خود ‌باید مبلغ 0.9 بیت‌کوین برابر با 380 دلار پرداخت کند تا بتواند به فایل‌های خود دسترسی داشته باشد. آنچه Petya را از نمونه‌های مشابه متمایز می‌کند، فعال بودن آن در زمان آفلاین سیستم است؛ به‌طوری که عملاً کنترل سیستم قربانی در هر شرایطی در اختیار این باج‌افزار قرار دارد. در زمان نگارش این مقاله دارپ‌باکس، آرشیو متعلق به این باج‌افزار را از سرویس خود حذف کرده است، اما کارشناسان امنیتی هنوز موفق به شناسایی راهکاری برای بازگشایی کدها نشده‌اند. برای پیشگیری از آلوده شدن سیستمتان به این باج‌افزار، توصیه می‌کنیم از نرم‌افزارهای امنیتی استفاده کنید. این نرم‌افزارها مانع از آن می‌شوند که اسپم‌ها به میل‌باکس وارد شوند. 

 

پست های تصادفی

طوفان فکری با تیم مشاوران آکو

درخواست مشاوره
مشاوره با آکو