بررسی و تحلیل باج‌افزارهای رمز کننده بخش MBR

بیش از یک سال است که نوع جدیدی از باج‌افزارها با روشی خاص اقدام به قطع کامل دسترسی کاربر به کامپیوتر می‌کنند.

این باج‌افزارها با رمزگذاری بخش Master Boot Record دیسک سخت، کامپیوتر را غیرقابل راه‌اندازی می‌کنند.

بخش Master Boot Record در قسمت‌های ابتدایی دیسک سخت ذخیره و نگهداری می‌شود. این بخش شامل اطلاعاتی درباره ساختار دیسک و برنامه‌ای که سیستم عامل را به اجرا در می‌آورد، می‌باشد. بدون یک Master Boot Record سالم و صحیح، کامپیوتر نمی‌داند که سیستم عامل بر روی کدام قسمت از دیسک سخت است و چگونه باید راه‌اندازی و اجرا شود.

نخستین بار، باج‌افزار Petya با بکارگیری این روش توجه کارشناسان امنیتی را به خود جلب کرد.

نویسنده این باج‌افزار پس از مدتی اقدام به استفاده همزمان از دو باج‌افزار Petya و Mischa به‌صورت ترکیبی نمود تا اگر به هر دلیلی امکان رونویسی بخش Master Boot Record فراهم نشد با استفاده از باج‌افزار Mischa فایل‌های قربانی رمزگذاری شود.

هر چند عمده فعالیت این باج‌افزار در کشور آلمان بوده اما نمونه‌هایی از آلودگی سیستم‌ها در کشورهای دیگر از جمله ایران به این باج‌افزار گزارش شده است.

شرکت مهندسی شبکه گستر در گزارشی به بررسی و تحلیل عملکرد نسخه‌های مختلف باج‌افزار Petya پرداخته است. این گزارش در اینجا قابل دریافت است.