بررسی و تحلیل باج‌افزار Petya

بیش از یک سال است که نوع جدیدی از باج‌افزارها با روشی خاص اقدام به قطع کامل دسترسی کاربر به کامپیوتر می‌کنند. این باج‌افزارها با رمزگذاری بخش Master Boot Record دیسک سخت، کامپیوتر را غیرقابل راه‌اندازی می‌کنند.

بخش Master Boot Record در قسمت‌های ابتدایی دیسک سخت ذخیره و نگهداری می‌شود. این بخش شامل اطلاعاتی درباره ساختار دیسک و برنامه‌ای که سیستم عامل را به اجرا در می‌آورد، می‌باشد. بدون یک Master Boot Record سالم و صحیح، کامپیوتر نمی‌داند که سیستم عامل بر روی کدام قسمت از دیسک سخت است و چگونه باید راه‌اندازی و اجرا شود.

نخستین بار، باج‌افزار Petya با بکارگیری این روش توجه کارشناسان امنیتی را به خود جلب کرد.

نویسنده این باج‌افزار پس از مدتی اقدام به استفاده همزمان از دو باج‌افزار Petya و Mischa به‌صورت ترکیبی نمود تا اگر به هر دلیلی امکان رونویسی بخش Master Boot Record فراهم نشد با استفاده از باج‌افزار Mischa فایل‌های قربانی رمزگذاری شود.

در ششم تیر ماه 1396، نسخه جدیدی از باج‌افزار Petya با بهره‌جویی از آسیب‌پذیری بخش SMB و بکارگیری چندین روش اجرای از راه دور کد، خاصیت کرم گونه به خود گرفت و در در عرض چند ساعت سازمان‌ها و شرکت‌های متعددی را، ابتدا در اوکراین و سپس در کشورهای دیگر عمدتاً در اروپا به خود آلوده کرد. هر چند که یکی از شرکت‌های ضدویروس بر این باور است که باج‌افزار مذکور بدافزاری متفاوت و مستقل از Petya بوده و بر همین اساس آن را NotPetya نامگذاری کرده است.

با توجه به تعطیلی ششم تیر ماه در ایران بیم آن می‌رود که در صورت عدم توجه به موقع کاربران و راهبران شبکه به راهکارهای پیشگیرانه، سازمان‌های ایرانی نیز به جمع قربانیان این باج‌افزار افزوده شوند.

شرکت مهندسی شبکه گستر در گزارشی به بررسی و تحلیل باج‌افزار Petya پرداخته است. برای دریافت این گزارش بر روی تصویر زیر کلیک کنید.