مخاطبان گرامی، مراقب باشید! این یک باج افزار است؛ یک WannaCry دیگر؛ یک حمله ی فراگیر دیگر!
باج افزارِ WannaCry هنوز زنده است. یک حمله ی باج افزاری گسترده ی دیگر در حال ایجاد هرج و مرج جهانی است که کامپیوتر ها را در شرکت ها، نیروگاه ها و بانک ها در روسیه، اوکراین، اسپانیا، فرانسه، بریتانیا، هند و اروپا خاموش میکند و از آنان ٣٠٠$ بیت کوین تقاضا میکند.
بر اساس منابع مختلف، گونه ی جدیدی از باج افزار Petya که تحت عنوانِ Petwrap نیز شناخته میشود، به سرعت در حال گسترش است. این باج افزار به کمک همان آسیب پذیریِ Windows SMBv1 vulnerability در حال شیوع استWannaCry. نیز در ماه گذشته از همین مورد سواستفاده کرده بود تا در عرض ٧٢ ساعت، ٣٠٠٠٠٠ سیستم و سرور را در سراسر جهان آلوده کند.
علاوه بر این بسیاری از قربانیان متوجه شده اند که Petya سیستم های وصله شده شان را نیز آلوده کرده است.
Mikko Hypponen، سرپرست محققان اف سکیور تایید میکند که:” Petya از اکسپلویتِ Eternalblue ( متعلق به آژانس امنیت ملی ایالات متحده) بهره میبرد. البته همچنان از طریقِ WMIC and PSEXEC در شبکه های داخلی پخش میشود و به همین خاطر است که سیستم های وصله شده نیز آسیب میبینند.”
Petya یک باج افزار سخت و بدجنس است و شبیه دیگر باج افزار ها کار نمیکند. برخلاف باج افزارهای مرسوم، Petya فایل های سیستم هدف را یکی یکی رمزگذاری نمیکند.
در عوض Petya، کامپیوتر های قربانی را ریبوت کرده و MFT های هارد درایو را رمزگذاری میکند و MBR را تحویل میدهد. همچنین از طریق توقیف و تصرف اطلاعات (در رابطه به نام فایلها، سایزها و مکان بر روی دیسک) دسترسی به کل سیستم را محدود میکند.
این باج افزار، کد های بدخواه خودش را جایگزینِ MBR میکند و به این صورت یادداشت باج افزار را بر روی کامپیوترهای غیر قابل بوت نمایش میدهد.
–باج را نپردازید؛ فایل هایتان را پس نخواهید گرفت–
به کاربران قربانی توصیه شده است که باج را نپردازند؛ چرا که هکر ها دیگر نمیتوانند ایمیل شما را دریافت کنند.
Posteo، یک مهیا کننده ی ایمیل آلمانی، ادرسِ wowsmith123456@posteo.net را مسدود کرده است. این ادرس ایمیل به منظور ارتباط هکرها و قربانیان ایجاد شده است تا پس از دریافت باج، کلیدهای رمزگشایی را برای قربانیان ارسال کنند.
تا کنون ٢٣ قربانی باج را به بیت کوین و به ادرس Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX پرداخت کرده اند که جمعا میشود ۶٧٧۵$.
–Petya، یک حمله ی جهانی دیگر–
اسکرین شات هایی که حملات اخیر در توئیتر منتشر شده است، نشان میدهد که باج افزار در متن نمایش داده شده ی خود تقاضای ٣٠٠$ بیت کوین دارد. متن میگوید:
” اگر این متن را میخوانید یعنی فایل هایتان دیگر در دسترس نیست؛ چرا که رمزگذاری شده اند. شاید در حال جستجوی راهی برای برگرداندن فایل ها باشید اما وقت خود را تلف نکنید. هیچکس نمیتواند بدون سرویس رمزگشایی ما، فایل هایتان را بازگرداند.”
طبق یک اسکن کلی، تنها ١۶ مورد از ۶١ آنتی ویروس موجود میتوانند با موفقیت این باج افزار را شناسایی کنند.
Petya به بانک ها، مخابرات، شرکت های تجاری و برق و نیرو آسیب زده است. همچنین اخیرا شرکت روس نفت روسیه و شرکت تولید برق اکراین “Kyivenergo” و “Ukrenergo,” را در چند ساعت گذشته آلوده کرده است.
سرویس رسانه ایِ Kyivenergo میگوید: ” ما مورد حمله قرار گرفتیم.٢ ساعت پیش، تمام کامپیوترهای ما خاموش شد. ما منتظر مجوز از سرویس امنیتی اوکراین هستیم تا آن ها را برگردانیم.”
گزارش هایی از چندین بانک از جمله بانک ملی اوکراین و Oschadbank وجود دارد که مانند دیگر شرکت ها تایید میکند آنان نیز مورد حمله ی Petya قرار گرفته اند.
شرکتِ Maersk نیز در توئیترش تایید کرده است که حمله اخیر این باج افزار، سیستم ها را در چند مکان و واحد تجاری مختلف خاموش کرده است.
این شرکت میگوید:” تایید میکنیم که سیستم های آی تی در پایگاهها و واحدهای تجاری مختلف از کار افتاده اند. امنیت کارکنانمان، اپراتورها و مشتریان تجاری مان در صدر اولویتهای ما قرار دارد. هرزمان که اطلاعات بیشتری دریافت کنیم، توئیتر را آپدیت میکنیم.”
Petya همچنین به چندین کارگاه شرکت معدن اوکراینی به نام Evraz آسیب رسانده است.
شدیدترین خسارات توسط شرکت های اوکراینی گزارش شده است که شامل متروی محلی اوکراین و فرودگاه شهر کیف میشود.
سه اپراتور مخابرات اوکراینی، یعنی Kyivstar, LifeCell, Ukrtelecom نیز در حمله ی اخیر آلوده شده اند.
–Petya چگونه با این سرعت شیوع می یابد؟–
شرکت امنیت سایبریِ Symantec تایید کرده است که باج افزارِ Petya شبیه به WannaCryدر حال اکسپلویتِ SMBv1 EternalBlue است. همچنین درحال بهره بردن از سیستم های وصله نشده است.
یک محقق امنیتی در توئیترِ HackerFanنوشته است:” این باج افزار در گسترش سریع خود موفق است چون حمله ی سمت کاربر (CVE-2017-0199) و تهدیدات شبکه ای (MS17-010) را ترکیب کرده است.”
EternalBlue اکسپلویتِ SMB ویندوز است که توسط گروه هکر به نام Shadow Brokers فاش شده است. این گروه در آپریل ادعا کرده بود که این اکسپلویت را به همراه دیگر اکسپلویت های ویندوز از سازمان جاسوسی متعلق به NSA دزدیده است.
از آن زمان، مایکروسافت این آسیب پذیری را برای تمام ورژن های ویندوز وصله کرده است اما هنوز بسیاری از کاربران آسیب پذیر مانده اند و یک سلسله از گونه های باج افزار در حال اکسپلویت این نقص هستند تا باج افزار را ارسال کرده رمزگذاری را آغاز کنند.
سه روز پیش گزارشی در رابطه با آخرین حمله ی WannaCry به کمپانی موتور Honda و دوربین های کنترل ترافیک در ژاپن و استرالیا منتشر شده بود.
–چطور در برابر Petya از خود محافظت کنیم–
به سرعت وصله های Goddamn را در برابر EternalBlue (MS17-010) به کار بگیرید و این پروتکل ناامن سی ساله ی اشتراک گذاری فایل را بر روی سیستم ها و سرورهایتان غیرفعال کنید.
از آنجایی که Petya برای آلوده کردن سیستم های وصله شده از ابزار های WMIC و PSEXEC سود میبرد، به شما توصیه میشود که WMIC (Windows Management Instrumentation Command-line را غیر فعال کنید.
–جلوگیری از آلودگی و کلید قطع Petya–
محققان متوجه شده اند که Petya سیستم ها را پس از ریبوت کردن، رمزگذاری میکند. بنابراین اگر سیستم شما آلوده شده است و Petya تلاش میکند تا سیستم را ری استارت کند، دیگر آن را روشن نکنید.
HackerFantastic در توئیتر نوشته است: ” اگر دستگاهتان ریبوت شد و این پیغام را مشاهده کردید، آن را سریعا خاموش کنید. این فرایند رمزگذاری است. اگر سیستم را روشن نکنید، فایل هایتان در امان هستند. از یک LiveCD و یا حافظه ی خارجی دیگر برای بازگرداندن اطلاعاتتان استفاده کنید.”
PT Security یک شرکت امنیت سایبری اوکراینی و Amit Serper از شرکت Cybereason یک کلید کشتار برای این باج افزار کشف کرده اند. در یک توئیت این کمپانی به کاربران توصیه کرده است که فایلِ “C:\Windows\perfc” را ایجاد کنند تا از آلودگی Petya جلوگیری کنند.
به منظور حراست از هرگونه آلودگی باج افزاری، شما باید همیشه به فایل ها و اسناد ناخواسته ی درون ایمیل ها مشکوک باشید و هرگز روی لینک های داخل ایمیل ها کلیک نکنید مگر آنکه از منبعی تایید شده باشند.
به منظور آنکه همیشه اطلاعات مهم را در چنگ خودتان نگه دارید، به طور روتین بک آپ های مناسب تهیه کنید و آن را در مکانی در یک حافظه ی خارجی که به طور پیوسته به سیستمتان متصل نیست، ذخیره کنید.
علاوه بر این مطمئن شوید که آنتی ویروسی موثر و مناسب اجرا میکنید و همیشه آن را به روز نگه دارید. و مهمتر از همه اینکه به طور امن در اینترنت بگردید.
http://thehackernews.com/2017/06/petya-ransomware-attack.html