باج‌افزار Petya؛ خلاقیت‌در باج‌افزار‌ها افزایش پیدا کرده است!

باج‌افزارها پیش از این اول میزکار یا دسک‌تاپ را قفل می‌کردند (یعنی کاربر امکان هیچ فعالیتی نداشت به جز این‌که پنجره‌ی نحوه‌ی پرداخت باج را مشاهده می‌کرد)، نسل بعدی پرونده‌ها را رمزگذاری می‌کردند و در نهایت شاهد نسخه‌ای از باج‌افزارها بودیم که پس از مدتی نسخه‌ای از پرونده‌های قربانی را در کارگزارهای وب به اشتراک می‌گذاشتند، یعنی کاربر را تهدید می‌کردند که تصاویر و پرونده‌های خصوصی وی را در صورت عدم پرداخت باج منتشر می‌کنند. اما نسخه‌های جدید‌تر چه کار می‌کنند؟
در اینجا باج‌افزاری به نام Petya را معرفی می‌کنیم که رکورد راه‌انداز اصلی (MBR) رایانه را هدف قرار می‌دهد.
این باج‌افزار رایانامه‌ای را به اداره‌‌ی منابع انسانی در شرکت‌های آلمانی ارسال کرده است و جدول پرونده اصلی کامپیوتر آلوده شده را رمزگذاری می‌کند (این جدول به نام Master File Table شناخته می‌شود که هدف آن مدیریت همه‌ی پرونده‌ها در دیسک‌های NTFS است) و به ازای برگرداندن پرونده‌ها ۹ بیت کوین، هر بیت‌کوین تقریباً معادل است با ۴۰۰ دلار، را درخواست می‌کند.
محققان در Bleeping Computer در روز جمعه گفتند که این باج‌افزار از طریق منتشر می‌شود که حاوی پیوند دراپ‌باکس (Drop Box) می‌باشند، چرا که این پیوند به پرونده‌ای هدایت می‌شود که باج‌افزار را نصب می‌کند. باج‌افزار رکورد راه انداز اصلی (MBR) را با بارگذارِ مخربی جایگزین می‌کند. بدافزار ویندوز را مجبور به راه اندازی مجدد و نمایش پیغام عملیات بررسی دیسک برای قربانی می‌کند، در حالی که بدافزار در حال اجراست و جدول پرونده اصلی را رمزگذاری می‌کند.
پژوهش‌گران Bleeping Computer در گزارش تحلیل این بدافزار نوشته‌اند: «طی مرحله‌ی CHKDSK جعلی، بدافزار Petya جدول پرونده اصلی یا MFT را قفل خواهد کرد. هنگامی که MFT قفل شود، آنگاه کامپیوتر نمی‌داند که پرونده‌ها کجا قرار دارند یا حتی نمی‌داند چنین پرونده‌هایی اصلا وجود دارد یا خیر، پس پرونده‌ها غیر قابل دسترس می‌شوند.»
پیش از راه افتادن ویندوز پیامی نمایش داده می‌شود که می‌گوید دیسک سخت کاربر رمز گذاری شده است و قربانی را برای بارگیری Tor راهنمایی می‌کند تا بتواند به وب‌گاه پرداخت باج (متعلق به مجرمان سایبری) رفته و باج درخواستی را به صورت بیت کوین بپردازد.
ظاهراً Petya جدیدترین باج‌افزاری است که با عملکردی جدید اقدامات امنیتی پژوهش‌گران را خنثی می‌کند. برای مثال هفته پیش بدافزاری با نام PowerWare روی شبکه صنعت بهداشت پیدا شد. بدافزار PowerWare از طریق هرزنامه‌ها پخش می‌شود و با استفاده از مهندسی اجتماعی قربانی را وسوسه می‌کند که ماکروها را فعال کند تا بتواند یک پرونده‌ی پیوست شده به شکل Office Word را ببیند. ماکرو یک خط فرمان را باز می‌کند و PowerShell ویندوز را برای بارگیری کدی مخرب اجرا می‌کند. این بدافزار هیچ پرونده‌ای ندارد یعنی پرونده‌هایی دودویی بدافزار را روی دیسک بارگذاری نمی‌کند. با به کارگیری PowerShell بدافزار نه تنها پرونده‌های مخرب را روی دیسک سخت ذخیره نمی‌کند، بلکه فعالیت‌های منطقی را روی دستگاه شبیه سازی می‌کند تا شناسایی بدافزار سخت باشد.
بدافزار Locky که در حال حاضر شبکه بیمارستان کنتکاکی را آلوده کرده است نیز از PowerShell استفاده می‌کند. نسخه‌ی اولیه‌ی این بدافزار نیز همانند PoweWare به فعال شدن ماکروها توسط کاربر بستگی دارد تا بتواند بدافزار را بارگیری کرده و دیسک سخت را رمزگذاری کند. نسخه‌ی ثانویه‌ی این بدافزار از راه یک کد جاوااسکریپت منتشر شده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter