دسته‌بندی نشده

شیوع باج افزار Petya که شبیه Wannacry می باشد

مخاطبان گرامی، مراقب باشید! این یک باج افزار است؛ یک WannaCry دیگر؛ یک حمله ی فراگیر دیگر!

باج افزارِ WannaCry هنوز زنده است. یک حمله ی باج افزاری گسترده ی دیگر در حال ایجاد هرج و مرج جهانی است که کامپیوتر ها را در شرکت ها، نیروگاه ها و بانک ها در روسیه، اوکراین، اسپانیا، فرانسه، بریتانیا، هند و اروپا خاموش میکند و از آنان ٣٠٠$ بیت کوین تقاضا می‌کند.

بر اساس منابع مختلف، گونه ی جدیدی از باج افزار Petya که تحت عنوانِ Petwrap نیز شناخته می‌شود، به سرعت در حال گسترش است. این باج افزار به کمک همان آسیب پذیریِ Windows SMBv1 vulnerability در حال شیوع استWannaCry. نیز در ماه گذشته از همین مورد سواستفاده کرده بود تا در عرض ٧٢ ساعت، ٣٠٠٠٠٠ سیستم و سرور را در سراسر جهان آلوده کند.

علاوه بر این بسیاری از قربانیان متوجه شده اند که Petya سیستم های وصله شده شان را نیز آلوده کرده است.

‏Mikko Hypponen، سرپرست محققان اف سکیور تایید می‌کند که:” Petya از اکسپلویتِ Eternalblue ( متعلق به آژانس امنیت ملی ایالات متحده) بهره می‌برد. البته همچنان از طریقِ WMIC and PSEXEC در شبکه های داخلی پخش می‌شود و به همین خاطر است که سیستم های وصله شده نیز آسیب می‌بینند.”

‏Petya یک باج افزار سخت و بدجنس است و شبیه دیگر باج افزار ها کار نمی‌کند. برخلاف باج افزارهای مرسوم، Petya  فایل های سیستم هدف را یکی یکی رمزگذاری نمی‌کند.

در عوض Petya، کامپیوتر های قربانی را ریبوت کرده و MFT های هارد درایو را رمزگذاری می‌کند و MBR را تحویل میدهد. همچنین از طریق توقیف و تصرف اطلاعات (در رابطه به نام فایل‌ها، سایزها و مکان بر روی دیسک) دسترسی به کل سیستم را محدود می‌کند.

این باج افزار، کد های بدخواه خودش را جایگزینِ MBR میکند و به این صورت یادداشت باج افزار را بر روی کامپیوترهای غیر قابل بوت نمایش می‌دهد.

–باج را نپردازید؛ فایل هایتان را پس نخواهید گرفت–

به کاربران قربانی توصیه شده است که باج را نپردازند؛ چرا که هکر ها دیگر نمیتوانند ایمیل شما را دریافت کنند.

‏Posteo، یک مهیا کننده ی ایمیل آلمانی، ادرسِ wowsmith123456@posteo.net را مسدود کرده است. این ادرس ایمیل به منظور ارتباط هکرها و قربانیان ایجاد شده است تا پس از دریافت باج، کلیدهای رمزگشایی را برای قربانیان ارسال کنند.

تا کنون ٢٣ قربانی باج را به بیت کوین و به ادرس Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX  پرداخت کرده اند که جمعا میشود ۶٧٧۵$.

‏–Petya، یک حمله ی جهانی دیگر–

اسکرین شات هایی که حملات اخیر در توئیتر منتشر شده است، نشان میدهد که باج افزار در متن نمایش داده شده ی خود تقاضای ٣٠٠$ بیت کوین دارد. متن میگوید:

” اگر این متن را میخوانید یعنی فایل هایتان دیگر در دسترس نیست؛ چرا که رمزگذاری شده اند. شاید در حال جستجوی راهی برای برگرداندن فایل ها باشید اما وقت خود را تلف نکنید. هیچکس نمیتواند بدون سرویس رمزگشایی ما، فایل هایتان را بازگرداند.”

طبق یک اسکن کلی، تنها ١۶ مورد از ۶١ آنتی ویروس موجود میتوانند با موفقیت این باج افزار را شناسایی کنند.

‏Petya  به بانک ها، مخابرات، شرکت های تجاری و برق و نیرو آسیب زده است. همچنین اخیرا شرکت روس نفت روسیه و شرکت تولید برق اکراین “Kyivenergo” و “Ukrenergo,” را در چند ساعت گذشته آلوده کرده است.

سرویس رسانه ایِ Kyivenergo می‌گوید: ” ما مورد حمله قرار گرفتیم.٢ ساعت پیش، تمام کامپیوترهای ما خاموش شد. ما منتظر مجوز از سرویس امنیتی اوکراین هستیم تا آن ها را برگردانیم.”

گزارش هایی از چندین بانک از جمله بانک ملی اوکراین و Oschadbank وجود دارد که مانند دیگر شرکت ها تایید می‌کند آنان نیز مورد حمله ی Petya قرار گرفته اند.

شرکتِ Maersk نیز در توئیترش تایید کرده است که حمله اخیر این باج افزار، سیستم ها را در چند مکان و واحد تجاری مختلف خاموش کرده است.

این شرکت میگوید:” تایید میکنیم که سیستم های آی تی در پایگاه‌ها و واحدهای تجاری مختلف از کار افتاده اند. امنیت کارکنانمان، اپراتورها و مشتریان تجاری مان در صدر اولویت‌های ما قرار دارد. هرزمان که اطلاعات بیشتری دریافت کنیم، توئیتر را آپدیت میکنیم.”

‏Petya همچنین به چندین کارگاه شرکت معدن اوکراینی به نام Evraz آسیب رسانده است.

شدیدترین خسارات توسط شرکت های اوکراینی گزارش شده است که شامل متروی محلی اوکراین و فرودگاه شهر کیف میشود.

سه اپراتور مخابرات اوکراینی، یعنی Kyivstar, LifeCell, Ukrtelecom نیز در حمله ی اخیر آلوده شده اند.

‏–Petya چگونه با این سرعت شیوع می یابد؟–

شرکت امنیت سایبریِ Symantec تایید کرده است که باج افزارِ Petya شبیه به  WannaCryدر حال اکسپلویتِ SMBv1 EternalBlue  است. همچنین درحال بهره بردن از سیستم های وصله نشده است.

یک محقق امنیتی در توئیترِ  HackerFanنوشته است:” این باج افزار در گسترش سریع خود موفق است چون حمله ی سمت کاربر (CVE-2017-0199)  و تهدیدات شبکه ای (MS17-010) را ترکیب کرده است.”

EternalBlue اکسپلویتِ SMB ویندوز است که توسط گروه هکر به نام Shadow Brokers فاش شده است. این گروه در آپریل ادعا کرده بود که این اکسپلویت را به همراه دیگر اکسپلویت های ویندوز از سازمان جاسوسی متعلق به NSA دزدیده است.

از آن زمان، مایکروسافت این آسیب پذیری را برای تمام ورژن های ویندوز وصله کرده است اما هنوز بسیاری از کاربران آسیب پذیر مانده اند و یک سلسله از گونه های باج افزار در حال اکسپلویت این نقص هستند تا باج افزار را ارسال کرده رمزگذاری را آغاز کنند.

سه روز پیش گزارشی در رابطه با آخرین حمله ی WannaCry به کمپانی موتور Honda و دوربین های کنترل ترافیک در ژاپن و استرالیا منتشر شده بود.

–چطور در برابر Petya از خود محافظت کنیم–

به سرعت وصله های Goddamn را در برابر EternalBlue (MS17-010) به کار بگیرید و این پروتکل ناامن سی ساله ی اشتراک گذاری فایل را بر روی سیستم ها و سرورهایتان غیرفعال کنید.

از آنجایی که Petya برای آلوده کردن سیستم های وصله شده از ابزار های WMIC و PSEXEC سود می‌برد، به شما توصیه می‌شود که WMIC (Windows Management Instrumentation Command-line را غیر فعال کنید.

–جلوگیری از آلودگی و کلید قطع Petya–

محققان متوجه شده اند که Petya سیستم ها را پس از ریبوت کردن، رمزگذاری می‌کند. بنابراین اگر سیستم شما آلوده شده است و Petya  تلاش میکند تا سیستم را ری استارت کند، دیگر آن را روشن نکنید.

‏HackerFantastic  در توئیتر نوشته است: ” اگر دستگاهتان ریبوت شد و این پیغام را مشاهده کردید، آن را سریعا خاموش کنید. این فرایند رمزگذاری است. اگر سیستم را روشن نکنید، فایل هایتان در امان هستند. از یک LiveCD و یا حافظه ی خارجی دیگر برای بازگرداندن اطلاعاتتان استفاده کنید.”

‏PT Security یک شرکت امنیت سایبری اوکراینی و  Amit Serper از شرکت  Cybereason یک کلید کشتار برای این باج افزار کشف کرده اند. در یک توئیت این کمپانی به کاربران توصیه کرده است که فایلِ “C:\Windows\perfc” را ایجاد کنند تا از آلودگی Petya  جلوگیری کنند.

به منظور حراست از هرگونه آلودگی باج افزاری، شما باید همیشه به فایل ها و اسناد ناخواسته ی درون ایمیل ها مشکوک باشید و هرگز روی لینک های داخل ایمیل ها کلیک نکنید مگر آنکه از منبعی تایید شده باشند.

به منظور آنکه همیشه اطلاعات مهم را در چنگ خودتان نگه دارید، به طور روتین بک آپ های مناسب تهیه کنید و آن را در مکانی در یک حافظه ی خارجی که به طور پیوسته به سیستمتان متصل نیست، ذخیره کنید.

علاوه بر این مطمئن شوید که آنتی ویروسی موثر و مناسب اجرا میکنید و همیشه آن را به روز نگه دارید. و مهمتر از همه اینکه به طور امن در اینترنت بگردید.

http://thehackernews.com/2017/06/petya-ransomware-attack.html

پست های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *