بیشتر بدانیم؛

روش‌های پیشگیری از باج‌افزار پتیا – Petya

به گزارش نویدتهران،روش‌های پیشگیری از باج‌افزار پتیا – Petya منتشر می شود.
باج‌افزار Petya از سال ۲۰۱۶ شروع به فعالیت کرده است و نسخه تغییر یافته این باج‌افزار از تاریخ 27 ژون 2017 شروع به انتشار کرده که تعداد زیادی از سازمان‌ها را آلوده نموده است. این باج‌افزار مانند باج‌افزار WannaCry از آسیب پذیری SMB، برای گسترش خود استفاده می‌کند. شرکت Symantec و Norton ادعا کرده‌اند که محصولات آن‌ها از گسترش این باج‌افزار در استفاده از آسیب پذیری مذکور محافظت می‌کند. هم‌چنین Symantec این باج‌افزار را تحت عنوان Ransom.Petya شناسایی می‌کند.
شرکت Avast نیز اعلام نموده است که آنتی‌ویروس آن‌ها قادر به شناسایی و حذف این باج‌افزار است به این صورت که اگر سیستم توسط این باج‌افزار آلوده شد، آن را شناسایی، قرنطینه و از بین می‌برد و همچنین از ورود آن به سیستم هم جلوگیری می‌کند.
تفاوت این باج‌افزار با سایر باج‌افزارها در این است که علاوه بر رمز نگاری فایل‌ها، جدول boot record یا همان MBR را نیز رمز نگاری می‌کند. در حملات روز گذشته، این باج‌افزار متن زیر در سیستم آلوده شده نمایش داده می‌شود که در آن درخواست ۳۰۰ دلار به صورت بیت کوین برای رمز‌گشایی فایل‌ها شده است:

باج‌افزار Petya از آسیب پذیری MS17-010 (که به عنوان Eternal Blue نیز شناخته می‌شود) برای انتشار خود استفاده می‌کند. تا زمان تدوین این گزارش، عمدتا کشورهای اروپایی درگیر این باج‌افزار شده‌اند و در این میان کشور اوکراین بیشترین میزان آلودگی تا کنون را داشته است ازجمله مترو کیِف، بانک ملی اوکراین، چندین فرودگاه و …. تاکنون ۳۶ تراکنش بیت کوین برای آدرس بیت کوین مربوط به این باج‌افزار ثبت شده است و مبلغ آن حدود 3.63676946 بیت کوین معادل حدود 8900 دلار می باشد.
تعدادی از کمپانی های چند ملیتی مانند Nivea، Maersk، WPP، Mondelez نیز خبر از آلودگی به این باج‌افزار داده اند. تا این زمان مشخص نشده است که اهداف این باج‌افزار سازمان‌ها و ارگان‌های خاصی باشد اما نسخه قبلی این باج‌افزار به منظور حمله به سازمان‌ها طراحی شده بود.

اگر فایل‌های یک سیستم توسط این باج‌افزار رمز شود روشی برای بازگرداندن آن‌ها وجود ندارد و متاسفانه تا کنون هیچ رمزگشای قابل اطمینانی برای بازگردانی فایل‌ها وجود ندارد و فعلا پیشگیری، بهترین راه‌حل است. حتی پرداخت وجه مورد درخواست تضمینی برای رمزگشایی فایل‌ها نمی‌باشد.
باج‌افزار Petya به منظور آلودگی گسترده طراحی شده است و برای این منظور از آسیب پذیری EternalBlue استفاده می‌کند. زمانی که استفاده از آسیب پذیری با موفقیت انجام شد، باج‌افزار خود را در سیستم هدف در شاخه C:\Windows کپی کرده و با بکارگیری rundll32.exe شروع به اجرای خود می‌کند. سپس این باج‌افزار شروع به رمزنگاری فایل‌ها و MBR کرده و یک زمانبند برای ریبوت کردن سیستم بعد از یک ساعت به کار می‌گیرد.

رمزنگاری مورد استفاده این باج‌افزار AES-128 with RSA است. فایل‌های با فرمت زیر مورد حمله این باج‌افزار قرار می‌گیرد:
.3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip
همچنین سعی می‌کند که Event log را نیز به منظور مخفی کردن اثرات خود پاک کند. پس از ریبوت شدن سیستم پیغام زیر مبنی بر چک کردن سیستم و سپس صفحه اصلی درخواست باج ظاهر می‌شود:


روش‌های پیشنهادی به منظور پیشگیری از ابتلا به باج‌افزار:

سیستم ویندوز بایستی توسط آخرین وصله‌های امنیتی به روز رسانی شود.
قبل از بازکردن فایل‌های پیوست ایمیل، باید از فرستنده آن مطمئن شد.
پروتکل SMB غیر فعال شود و patch MS17-010 از سایت ماکروسافت دریافت و نصب گردد.
پورت های 445 و 139 بر روی فایروال بسته شود.
غیر فعال کردن اسکریپت‌های ماکرو از فایل‌های آفیسی که از ایمیل دریافت می‌شود. (به جای باز کردن فایل‌های آفیس با استفاده از نسخه کامل آفیس، از office viewer استفاده شود)
فراهم کردن فیلترینگ مناسب و قوی برای فیلترکردن اسپم و جلوگیری از ایمیل‌های فیشینگ.
اسکن تمامی ایمیل‌های ورودی و جروجی برای شناسایی تهدیدات و فیلتر کردن فایل‌های اجرایی برای کاربران.
Patch کردن سیستم عامل ها، نرم‌افزار، firm ware، و تجهیزات.

ملاحظات:

بک‌آپ‌گیری دوره‌ای از اطلاعات حساس
اطمینان از اینکه بک‌آپ‌ها به صورت مستقیم به کامپیوتر و شبکه‌ای که از آن بک‌آپ گرفته می‌شود وصل نیست.
ذخیره کردن بک‌آپ‌ها بر روی cloud و همچنین فضای ذخیره‌سازی فیزیکی آفلاین؛ بعضی از باج‌افزارها این قابلیت را دارند که بک‌آپ‌های تحت cloud را نیز lock کنند. (بک‌آپ‌ها بهترین روش برای بازگرداندن داده‌های رمز شده توسط باج‌افزار هستند .البته با توجه به اینکه سرورهای cloud در خارج از کشور ما هستند لذا ذخیره بک‌آپ‌ها به این روش در کشور ما نیاز به رعایت ملاحظات امنیتی دارد و می‌تواند مورد استفاده قرار گیرد.)