مواظب اطلاعات هارددیسک خود باشید

به نظر می رسد که سال 2016 را باید سال باج افزارها نامگذاری شود. زیرا مجموعه برنامه ها و نسخه های جدیدی از این دست مانند قارچ رشد و نمو کرده اند.

      باج افزارها با سرعت به سمت تکامل پیش می روند. نسخه های جدید باج افزارها با استفاده از کلیدهای قدرتمند رمز گذاری نامتقارن و طولانی همراه هستند که باعث می شوند فایلها بدون کلید هرگز باز نشوند. مجرمین سایبری به علت استفاده از TOR و پرداخت پولهای مجازی کاملا ناشناس باقی مانده اند. اما در حال حاضر بدافزار Petya به جای رمزگذاری فایلها از رمزگذاری بر طیف وسیع هارد دیسک استفاده می کند.

Petya چگونه وارد رایانه می شود

      این باج افزار عمدتا کاربرانی که با کسب و کار در ارتباط هستند را مورد هدف قرار می دهد، به این شکل که در یک ایمیل اسپم برنامه های کاربردی ارسال می کند. سناریوی این آلودگی به روش زیر است:

      یک کارمند منابع انسانی ایمیلی از فردی که تقاضای کار دارد دریافت می کند. ایمیل حاوی یک لینک Dropbox می باشد که ظاهرا دارای رزومه فرد است اما در حقیقت این یک فایل EXE یا اجرائی می باشد.

      آنها بر روی فایل کلیک می کنند اما هرگز با رزومه روبرو نخواهند شد و در عوض با یک صفحه آبی مواجه می شوند. این بدان معناست که بدافزار Petya راه خود را به رایانه کاربر پیدا کرده است و کار خود را آغاز خواهد کرد.

 

هارد دیسک شما دیگر متعلق به ما است

      این باج افزار به صورت مشترک معمولا بر روی فایلهای خاصی از قبیل تصاویر، اسناد آفیس و غیره رمز گذاری می کند اما به سیستم عامل هیچ آسیبی وارد نمی کند تا قربانی بتواند باج را از این طریق پرداخت کند. عملکرد Petya هم بسیار بی رحمانه است و کاربر نمی تواند دسترسی آن به هارد دیسک را مسدود و یا حتی محدود کند.

      در این مورد اصلا اهمیتی ندارد که هارد دیسک شما چگونه سازمان یافته باشد یا دارای تعداد یک درایو یا بیشتر باشد، در اینجا شما با فضائی نامرئی همراه خواهید بود که با نام Master Boot Record(MBR) شناخته می شود. این بخش شامل اطلاعاتی در مورد تعداد درایوها و شکل آنها می باشد که دارای یک کد خاص برای راه اندازی سیستم عامل می باشد که Boot loader نامیده می شود.

      boot loader همیشه قبل از سیستم عامل اجرا می شود و این دقیقا همان بخشی است که Petya آلوده می کند. این باج افزار boot loader را تغییر می دهد و باعث می شود که با هر بار اجرا شدن boot loader بخشی از کدهای مخرب Petya بر روی رایانه نصب شوند.

     در این شرایط برای کاربر به نظر می رسد Check Disk در حال اجرا می باشد که پس از نمایش پیام OK سیستم عامل سقوط خواهد کرد. اما کاری که Petyaانجام می دهد رمزگذاری بر روی جدول اصلی فایلها می باشد که این هم بخش پنهان دیگری از هارد دیسک شما است. این جدول شامل تمام اطلاعات چگونگی فایلها و پوشه ها است.

      فکر کنید هارد دیسک شما مانند یک کتابخانه وسیع شامل میلیون ها و یا حتی میلیاردها کتاب باشد و جدول فایلهای اصلی مانند یک شاخص در کتابخانه می باشد. حال واقع گرایانه تر به این موضوع نگاه می کنیم: بر روی هارد دیسک همه چیز به صورت انبوه و تصادفی در بخشهای مختلف ذخیره می شود.

     کاری که باج افزار Petya انجام می دهد این است که شاخص این کتابخانه را به سرقت می برد.

     زمانیکه باج افزار برای یک بار این کار را انجام داد چهره Petya به شکل یک جمجمه ساخته شده از کدهای ASCII بر روی صفحه نمایش دیده می شود. سپس روال معمول خود را آغاز خواهد کرد: این بدافزار کاربران را ملزم می کند که از (0.9 پول مجازی معادل حدودی 380$) برای رمزگشائی هارد دیسک و دریافت فایلها پرداخت کند.

     تنها تفاوت بین Petya و دیگر باج افزارها در این است که Petya به صورت آفلاین هم فعال است که همین امر باعث می شود براحتی سیستم عامل را تحت کنترل در آورد و کاربر مجبور می شود در برخی موارد برای پرداخت باج و دریافت اطلاعات خود از رایانه دیگری اقدام کند.

مقابله با باج افزار Petya

     متاسفانه تاکنون محققان امنیتی راهی برای رمزگشائی اطلاعات باج افزار Petya پیدا نکرده اند. با این حال می توان کارهایی انجام داد که از اطلاعات خود در برابر انتشار Petya جلوگیری کنید. خبر خوبی هم که در مورد این باج افزار وجود دارد این است که Dropbox آرشیو مخرب باج افزار Petya را از ابر ذخیره ساز خود حذف کرده است. بنابراین مجرمان سایبری باید برای توزیع این بدافزار راههای دیگری پیدا کنند و خبر بد هم این است که پیدا کردن راه جدید زمانی طولانی نخواهد داشت.

حال به ایجاد روشهای امنیتی باز می گردیم. در این شرایط کاربر چه کاری می تواند انجام دهد؟

  1. هنگامیکه کاربر صفحه آبی را مشاهده می کند ممکن است تمام اطلاعاتش تخریب نشده باشد، چون احتمال دارد Petya رمزگذاری جدول اصلی فایلها را آغاز نکرده باشد. پس اگر صفحه آبی رنگ را مشاهده کردید، سیستم را مجدد راه اندازی کرده و چک دیسک را آغاز کنید و بلافاصله سیستم را خاموش کنید. در این مرحله می توانید هارد دیسک خود را باز کرده و به رایانه دیگری متصل کنید (اما هرگز از آن به عنوان boot استفاده نکنید!) پس از این فایلهای خود را بازیابی کنید.
  2. Petya فقط MFT را رمزگذاری می کند و فایلها را بدون دستکاری رها می کند. فایلها هم توسط یک متخصص قابل بازیابی هستند. این روش می تواند وقت گیر و پیچیده باشد و در انتها هم باید بابت آن پول خوبی پرداخت کنید اما کاری شدنی است. اما سعی نکنید این کار را به تنهایی در منزل انجام دهید چون یک اشتباه کوچک می تواند فایلهای شما را برای همیشه از بین ببرد.
  3. بهترین راه برای محافظت از خود استفاده از یک طرح امنیتی مناسب می باشد. نسخه Internet Security اجازه نمی دهد که ایمیلهای اسپم وارد رایانه شما شوند و تحت این شرایط طبیعتا لینکهای Petya هم نمی توانند برایتان خطرساز شوند. حتی اگر Petya به شکلی پنهانی هم وارد رایانه شود، Internet Security تروجان Ransom.Win32.Petr را براحتی مسدود می کند و این کاری است که تمام برنامه های ضد ویروس ما انجام می دهند.