شرکت توسعه افزار مانی
به نظر می رسد که سال 2016 را باید سال باج افزارها نامگذاری شود. زیرا مجموعه برنامه ها و نسخه های جدیدی از این دست مانند قارچ رشد و نمو کرده اند.
باج افزارها با سرعت به سمت تکامل پیش می روند. نسخه های جدید باج افزارها با استفاده از کلیدهای قدرتمند رمز گذاری نامتقارن و طولانی همراه هستند که باعث می شوند فایلها بدون کلید هرگز باز نشوند. مجرمین سایبری به علت استفاده از TOR و پرداخت پولهای مجازی کاملا ناشناس باقی مانده اند. اما در حال حاضر بدافزار Petya به جای رمزگذاری فایلها از رمزگذاری بر طیف وسیع هارد دیسک استفاده می کند.
Petya چگونه وارد رایانه می شود
این باج افزار عمدتا کاربرانی که با کسب و کار در ارتباط هستند را مورد هدف قرار می دهد، به این شکل که در یک ایمیل اسپم برنامه های کاربردی ارسال می کند. سناریوی این آلودگی به روش زیر است:
یک کارمند منابع انسانی ایمیلی از فردی که تقاضای کار دارد دریافت می کند. ایمیل حاوی یک لینک Dropbox می باشد که ظاهرا دارای رزومه فرد است اما در حقیقت این یک فایل EXE یا اجرائی می باشد.
آنها بر روی فایل کلیک می کنند اما هرگز با رزومه روبرو نخواهند شد و در عوض با یک صفحه آبی مواجه می شوند. این بدان معناست که بدافزار Petya راه خود را به رایانه کاربر پیدا کرده است و کار خود را آغاز خواهد کرد.
هارد دیسک شما دیگر متعلق به ما است
این باج افزار به صورت مشترک معمولا بر روی فایلهای خاصی از قبیل تصاویر، اسناد آفیس و غیره رمز گذاری می کند اما به سیستم عامل هیچ آسیبی وارد نمی کند تا قربانی بتواند باج را از این طریق پرداخت کند. عملکرد Petya هم بسیار بی رحمانه است و کاربر نمی تواند دسترسی آن به هارد دیسک را مسدود و یا حتی محدود کند.
در این مورد اصلا اهمیتی ندارد که هارد دیسک شما چگونه سازمان یافته باشد یا دارای تعداد یک درایو یا بیشتر باشد، در اینجا شما با فضائی نامرئی همراه خواهید بود که با نام Master Boot Record(MBR) شناخته می شود. این بخش شامل اطلاعاتی در مورد تعداد درایوها و شکل آنها می باشد که دارای یک کد خاص برای راه اندازی سیستم عامل می باشد که Boot loader نامیده می شود.
boot loader همیشه قبل از سیستم عامل اجرا می شود و این دقیقا همان بخشی است که Petya آلوده می کند. این باج افزار boot loader را تغییر می دهد و باعث می شود که با هر بار اجرا شدن boot loader بخشی از کدهای مخرب Petya بر روی رایانه نصب شوند.
در این شرایط برای کاربر به نظر می رسد Check Disk در حال اجرا می باشد که پس از نمایش پیام OK سیستم عامل سقوط خواهد کرد. اما کاری که Petyaانجام می دهد رمزگذاری بر روی جدول اصلی فایلها می باشد که این هم بخش پنهان دیگری از هارد دیسک شما است. این جدول شامل تمام اطلاعات چگونگی فایلها و پوشه ها است.
فکر کنید هارد دیسک شما مانند یک کتابخانه وسیع شامل میلیون ها و یا حتی میلیاردها کتاب باشد و جدول فایلهای اصلی مانند یک شاخص در کتابخانه می باشد. حال واقع گرایانه تر به این موضوع نگاه می کنیم: بر روی هارد دیسک همه چیز به صورت انبوه و تصادفی در بخشهای مختلف ذخیره می شود.
کاری که باج افزار Petya انجام می دهد این است که شاخص این کتابخانه را به سرقت می برد.
زمانیکه باج افزار برای یک بار این کار را انجام داد چهره Petya به شکل یک جمجمه ساخته شده از کدهای ASCII بر روی صفحه نمایش دیده می شود. سپس روال معمول خود را آغاز خواهد کرد: این بدافزار کاربران را ملزم می کند که از (0.9 پول مجازی معادل حدودی 380$) برای رمزگشائی هارد دیسک و دریافت فایلها پرداخت کند.
تنها تفاوت بین Petya و دیگر باج افزارها در این است که Petya به صورت آفلاین هم فعال است که همین امر باعث می شود براحتی سیستم عامل را تحت کنترل در آورد و کاربر مجبور می شود در برخی موارد برای پرداخت باج و دریافت اطلاعات خود از رایانه دیگری اقدام کند.
مقابله با باج افزار Petya
متاسفانه تاکنون محققان امنیتی راهی برای رمزگشائی اطلاعات باج افزار Petya پیدا نکرده اند. با این حال می توان کارهایی انجام داد که از اطلاعات خود در برابر انتشار Petya جلوگیری کنید. خبر خوبی هم که در مورد این باج افزار وجود دارد این است که Dropbox آرشیو مخرب باج افزار Petya را از ابر ذخیره ساز خود حذف کرده است. بنابراین مجرمان سایبری باید برای توزیع این بدافزار راههای دیگری پیدا کنند و خبر بد هم این است که پیدا کردن راه جدید زمانی طولانی نخواهد داشت.
حال به ایجاد روشهای امنیتی باز می گردیم. در این شرایط کاربر چه کاری می تواند انجام دهد؟