باج افزار جدیدی که سراغ MBR می رود

در سال گذشته، سر در آوردن از روش های رمزگذاری، دسترسی به شبکه های اینترنتی ناشناس و پرداخت باج با ارزهای مجاری به اندازه کافی برای کاربران آلوده به باج افزارها (Ransomware) سخت و دشوار بوده است ولی اکنون نوع جدیدی از این بدافزارها ظهور کرده که با قطع کامل دسترسی کاربر به کامپیوتر، وضعیت را پیچیده تر و غیرممکن تر می کند.

باج افزار جدیدی به نام Petya در بین کاربران آلمانی مشاهده شده که اقدام به رمزگذاری بخش MBR یا Master Boot Record دیسک سخت می کند. در این حالت، کامپیوتر غیرقابل راه اندازی (Boot) خواهد بود.

بخش MBR در قسمت (Sector) های ابتدایی دیسک سخت ذخیره و نگهداری می شود. این بخش شامل اطلاعاتی درباره ساختار (Partition) دیسک و برنامه ای که سیستم عامل را به اجرا در می آورد، می باشد. بدون یک MBR سالم و صحیح، کامپیوتر نمی داند که سیستم عامل بر روی کدام قسمت از دیسک سخت است و چگونه باید راه اندازی و اجرا شود.

به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت ضدویروس Trend Micro، باج افزار Petya از طریق ایمیل های ناخواسته و مزاحم (هرزنامه یا Spam) که در ظاهر حاوی درخواست استخدام می باشد و معمولاً به نشانی بخش منابع انسانی سازمانها و شرکتها ارسال می شوند، منتشر می شود.

داخل این ایمیل های مخرب، پیوندی به یک شاخه به اشتراک گذاشته شده بر روی سرویس Dropbox وجود دارد. این پیوند به یک فایل فشرده هدایت می شود که در ظاهر حاوی مشخصات متقاضی استخدام و عکس او است. در صورت دریافت و اجرای فایل فشرده، باج افزار Petya نصب و فعال می گردد.

سرویس Dropbox فضای ذخیره سازی و به اشتراک گذاری فایل به روش ابری (Cloud) را به کاربران ارائه می کند.

باج افزار ابتدا بخش MBR را بازنویسی می کند و سپس یک خطای سیستم عامل حاد ایجاد می کند تا سیستم عامل وادار به راه اندازی مجدد (reboot) شود. با راه اندازی مجدد کامپیوتر، MBR جعلی اقدام به اجرای دروغین برنامه CHKDSK (برای عیب یابی دیسک سخت) می کند.

در مدت نمایش دروغین عیب یابی دیسک، باج افزار اقدام به رمزگذاری فایلی به نام MFT یا Master File Table می کند. این یک فایل خاص در بخش NTFS دیسک است و حاوی جزئیات همه فایلهای موجود بر روی دیسک می باشد. این جزئیات شامل نام، حجم و محل قرار گرفتن هر فایل بر روی دیسک می شود.

بر خلاف باج افزارهایی که تابحال مشاهده شده است، باج افزار Petya اقدام به رمزگذاری خود فایل ها که می تواند بسیار زمانبر باشد، نمی کند. ولی با رمزگذاری فایل MFT، سیستم عامل دیگر نمی تواند محل قرار گرفتن فایلها بر روی دیسک را پیدا کند.

به همین دلیل، با کمک ابزارهای بازیابی دیسک و فایل، همچنان امکان خواندن فایلها بر روی دیسک آلوده به باج افزار Petya وجود دارد. ولی بازیابی صحیح و کامل فایلها بسیار دشوار، طاقت فرسا و غیرقابل اطمینان است.

پس از رمزگذاری فایل MFT، باج افزار Petya اقدام به نمایش پیام باجگیری از کاربر می کند. این پیام به همراه یک تصویر جمجمه که با حروف ASCII ساخته شده، نمایش داده می شود. در این پیام از کاربر خواسته می شود که به سایتی در شبکه اینترنتی ناشناس (Tor) مراجعه کرده و شماره منحصربفردی را که نشان دهنده کامپیوتر کاربر به باجگیران است، وارد کند.

مبلغ درخواستی برای دریافت کلید بازگشایی فایل رمز شده، حدود یک بیت‌کوین (Bitcoin) است. یک واحد از ارز مجازی بیت‌کوین هم اکنون حدود 430 دلار آمریکا ارزش دارد.

همانطور که در ابتدا اشاره شد، باج افزار Petya فعلا در ابتدای راه است و تنها در بین کاربران کشور آلمان مشاهده شده است. ولی مانند دیگر باج افزارها به تدریج و با کسب درآمد بیشتر، امکانات و منابع بیشتری برای انتشار گسترده تر در اختیار خواهد داشت.