جمعه, 20 بهمن 1396 21:20

باج افزار چیست ؟ راهکار مقابله با باج افزار Petya

باج افزار نوعی بدافزار جدیدی است که ابتدا فایل های سیستم های یک شخص، یک سازمان و یا یک مرکز تجاری را کدگذاری می کند و سپس از کاربران سیستم ها می خواهد برای رمزگشایی مجدد اطلاعات خود مبلغی را بپردازند. این کار در حقیقت یک نوع اخاذی مدرن است. تصور کنید یک روز وقتی به خانه خود می رسید، با یک قفل بزرگ بر روی در آن مواجه می شوید و فرد شیادی نیز در کنار در ایستاده است و از شما می خواهد مبلغی را به او بپردازید تا در را باز کند. در مورد باج افزار نیز دقیقا این چنین است، با این تفاوت که فرد شیاد یا همان هکر تمام اطلاعات کامپیوتر شما را رمزگذاری می کند و هنگامی که کامپیوتر خود را روشن می کنید، با یک پیغام از سوی هکر مواجه شوید که در آن دستورات لازم جهت پرداخت پول به منظور رمزگشایی اطلاعات، توضیح داده شده است.

اساس کار باج افزار ها اعمال محدودیت های در دسترسی به سیستم می باشد و برای برداشتن این محدودیت درخواست باج می‌نمایند.

این باج افزار (Petya) از طریق شبکه TOR با بهره گیری از حساب هایی به نام بیت کوین هویت خود را مخفی نموده است. این باج افزار با استفاده از ایمیل های فیشینگ و لینک های آلوده ای که به سایت های غیر معتبر اشاره دارد پخش می شود البته، آخرین نسخه این باج افزار از اکسپلویتی که در حملات باج افزار واناکرای نیز باعث آلودگی شده استفاده می نماید. باج افزار مربوطه نسبت به رمز نمودن فایل ها با پسوندهای مختلف با هدف به دست آوردن رمز عبور در مدیریت سرور و ابزار های مدیریت از راه دور، قصد انتشار آلودگی درفایل های اشتراکی و PC های متصل به شبکه اقدام می نماید.

تفاوت این باج افزار با سایر باج افزارها در این است که علاوه بر رمز نگاری فایل ها، جدول boot record ،(MBR) Master Boot Record را نیز رمز نگاری می نماید.

تصویری از ظاهر شدن بدافزار روی صفحه قربانی در شکل ذیل قابل مشاهده است :

راه کارهایی جهت پیشگیری ازباج افزار Petya

راه کارهایی جهت پیشگیری ازباج افزار Petya

باج‌افزار Petya به منظور آلوده سازی در سطح گسترده طراحی شده است و برای این منظور از آسیب پذیری EternalBlue استفاده می نماید. زمانی که استفاده از آسیب پذیری با موفقیت انجام شد، باج‌افزار خود را در سیستم هدف در شاخه C:\Windows کپی کرده و با بکارگیری rundll32.exe شروع به اجرای می نماید، و پس از آن شروع به رمزنگاری فایل‌ها و MBR نموده و یک زمانبند برای ریبوت کردن سیستم بعد از یک ساعت به کار می‌گیرد.

نوع رمز نگاری در این باج‌افزار AES-128 with RSA می باشد که فایل‌هایی با فرمت های زیر را هدف حمله قرار می دهد.

.3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip

همچنین سعی در پاکسازی منظور پنهان سازی اثرات خود پس از ریبوت شدن سیستم دارد که بعد از آن پیغامی مبنی بر چک کردن سیستم و سپس در صفحه اصلی درخواست باج ظاهر می‌شود.

لازم است مدیران IT برای پیشگیری از آلودگی سیستم ها به این باج افزار در اسرع وقت نسبت به بروز رسانی سیستم عامل در بازه های زمانی مشخص، تهیه نسخه پشتیبان از اطلاعات و رمز گزاری روی انها، بروزرسانی آنتی ویروس ها و اطلاع رسانی مناسب به کاربران خود در راستای عدم دریافت و یا اجرای فایل های پیوست ایمیل هایی که از فرستنده های ناشناس دریافت می شود حتی فایل های مدیریت سیستم (HR(Human resource management system، اقدام نمایند.

یکی از پروتکل های اصلی که این باج افزار در سیستم عامل ویندوز از آن برای آلوده نمودن سیستم استفاده می نماید، پروتکل اشتراک گذاری فایل (SMB(Server Message Block است. از آنجا که این پروتکل به صورت پیش فرض فعال می باشد باید نسبت به غیرفعال نمودن آن اقدام نمایید. برای انجام اینکاربه مقاله مشابه حملات باج افزار " راهکار مقابله با باج افزارwannacrypt" مراجعه نمایید.

بازدید 205 بار

نوشتن دیدگاه


تصویر امنیتی
تصویر امنیتی جدید

جدیدترین مطالب

شبکه های اجتماعی

"«قیمتی که در هنگام سفارش مشتري در پیش‌فاکتور منظور گرديده است، معتبر مي‌باشد»."