بررسی و تحلیل باجافزار Petya
بیش از یک سال است که نوع جدیدی از باجافزارها با روشی خاص اقدام به قطع کامل دسترسی کاربر به کامپیوتر میکنند. این باجافزارها با رمزگذاری بخش Master Boot Record دیسک سخت، کامپیوتر را غیرقابل راهاندازی میکنند.
بخش Master Boot Record در قسمتهای ابتدایی دیسک سخت ذخیره و نگهداری میشود. این بخش شامل اطلاعاتی درباره ساختار دیسک و برنامهای که سیستم عامل را به اجرا در میآورد، میباشد. بدون یک Master Boot Record سالم و صحیح، کامپیوتر نمیداند که سیستم عامل بر روی کدام قسمت از دیسک سخت است و چگونه باید راهاندازی و اجرا شود.
نخستین بار، باجافزار Petya با بکارگیری این روش توجه کارشناسان امنیتی را به خود جلب کرد.
نویسنده این باجافزار پس از مدتی اقدام به استفاده همزمان از دو باجافزار Petya و Mischa بهصورت ترکیبی نمود تا اگر به هر دلیلی امکان رونویسی بخش Master Boot Record فراهم نشد با استفاده از باجافزار Mischa فایلهای قربانی رمزگذاری شود.
در ششم تیر ماه 1396، نسخه جدیدی از باجافزار Petya با بهرهجویی از آسیبپذیری بخش SMB و بکارگیری چندین روش اجرای از راه دور کد، خاصیت کرم گونه به خود گرفت و در در عرض چند ساعت سازمانها و شرکتهای متعددی را، ابتدا در اوکراین و سپس در کشورهای دیگر عمدتاً در اروپا به خود آلوده کرد. هر چند که یکی از شرکتهای ضدویروس بر این باور است که باجافزار مذکور بدافزاری متفاوت و مستقل از Petya بوده و بر همین اساس آن را NotPetya نامگذاری کرده است.
با توجه به تعطیلی ششم تیر ماه در ایران بیم آن میرود که در صورت عدم توجه به موقع کاربران و راهبران شبکه به راهکارهای پیشگیرانه، سازمانهای ایرانی نیز به جمع قربانیان این باجافزار افزوده شوند.
شرکت مهندسی شبکه گستر در گزارشی به بررسی و تحلیل باجافزار Petya پرداخته است. برای دریافت این گزارش بر روی تصویر زیر کلیک کنید.
