هر آنچه در مورد باج افزار پتیا باید بدانید

باج افزار پتیا یکی از قویترین و مخرب ترین بدافزارهای مالی ساخته شده که تا کنون بیش از 400 هزار کامپیوتر در سراسر جهان را آلوده کرده است. و به شرکت های بزرگ تکنولوژی در کشورهای ژاپن، چین، هند، روسیه، آمریکا، اکراین، برزیل, مکزیک, ایران، و چندین کشور اروپایی دیگر حمله سایبری انجام داده است.

باج افزار پتیا Petrwrap شرکت های و موسسات مالی دولتی و اشخاص مختلف را هدف قرار داده است.

هدف این باج افزار کسب درآمد و باج گیری از قربانینان هست.

باج افزار پتیا پس از نفوذ به سیستم قربانی خود را اجرا می کند. فایل های کامپیوتر را رمزگذاری می کند. سیستم را قفل می کند. پس از رمزگذاری شدن فایل ها و یا قفل شدن سیستم بر روی صفحه کامپیوتر قربانی این پیغام ظاهر می شود. که اطلاعات شما رمزگذاری و مخفی شده اند. اگر می خواهید سیستم شما را باز کنیم باید 300 دلار پرداخت کنید. یک لینک پرداخت که به سرویس مجازی بیت کوین وصل می شود. شما را به صفحه پرداخت منتقل می کند.

فایل هایی که توسط باج افزار پتیا رمزگذاری می شوند. به هیچ روشی قابل رمزگشایی نیستند. مگر اینکه 300 دلار را پرداخت کنید.

باج افزار پتیا (Petya ) در نزد شرکت های امنیت سایبری به نام ( petna ) پتنا نیز شناخته می شود.

باج افزار پتیا/پِتراپ در ماه مارس 2016 حملات خود را آغاز کرد. اما نسخه به روز شده و پیچیده تر آن از ماه ژوئن 2017 در کشور اکراین ظاهر شد.

باج افزار پتیا علاوه بر جنبه مالی اهداف تخریبی و سایبری قدرتمندی را در پیش گرفته است. و بیشتر برای صدمه زدن به شرکت ها و سازمان طراحی شده است.

اوج قدرت و پیچیدگی پتیا را در داشتن سیستم عامل مخصوص به خود می توان دید. یعنی به جای استفاده از ویندوز از سیستم عامل کوچک خود استفاده می کند.

طبق گزارش فقط بانک ملی و چند فرودگاه در کشور اکراین بیش از 8 هزار دلار از طریق بین کوین به این باج افزار ، باج پرداخت کرده اند.

پتیا از آسیب پذیری SMB برای انجام حملات و گسترش خود استفاده می‌کند. به عبارتی این باج افزار از ضعف امنیتی سیستم عامل ویندوز استفاده می کند.

اگر سیستم شما توسط باج افزار پتیا رمزگذاری و قفل شده است. نه تنها به پتیا بلکه به هیچ باج افزار دیگر باج پرداخت نکنید. چرا که سیستم شما را فقط برای مدتی باز می کنند. در صورتی که باج افزار همچنان بر روی سیستم فعال هست. و چند روز بعد دوباره به سراغ شما می آیند و سیستم را قفل می کنند. و از شما تقاضای باج می کنند.

منشاء پیدایش باج افزار پتیا کشور اکراین هست. با توجه به حملات صورت گرفته می توان گفت که پای روس ها درمیان باشد.

باج افزار پتیا از همان روزنه‌ی امنیتی EternalBlue استفاده می‌کند که واناکرای نیز از آن استفاده می‌کرد. پس از این جهت با باج افزار WannaCry شباهت دارد.  با استفاده از این حفره امنیتی سیستم‌های آلوده به ترمینالی برای انتشار سریع باج افزار تبدیل می‌شوند. BlueEternal نام حفره امنیتی در سیستم عامل ویندوز مایکروسافت است که توسط ShadowBrokers در ماه آوریل افشا شد. این روزنه‌ی امنیتی در سیستم اشتراک فایل SMB ویندوز است که شواهد امر نشان از این دارد که توسط nsa توسعه یافته است. هرچند مایکروسافت این روزنه امنیتی را با انتشار پچ امنیتی برطرف کرده، اما همچنان شمار زیادی از کاربران در برابر حملات آسیب پذیر هستند.

برای مقابله با پتیا و سایر باج افزار ها چکار باید کرد؟

تنها راه مقابله با باج افزار پتیا اقدامات پیشگیرانه شامل:

نصب آنتی ویروس قدرتمند و به روز شده بر روی سیستم ها

استفاده از فایروال قدرتمند بر روی شبکه ( شرکت ها و سازمان ایرانی می توانند از فایروال های سخت افزاری قدرتمند شرکت پاوان استفاده کنند.)

تهیه بکاپ از فایل های اجرای به صورت روزانه و دوره ای

ارائه آموزش های امنیتی به کارکنان سازمان ها و شرکت ها و اینکه از باز کردن ایمیل های فیشینگ خود داری کنند.

به روز رسانی سیستم عامل و نرم افزار ها ( مثلا یکی از موارد حمله باج افزار واناکرای به سازمان بهداشت عمومی انگلیس و بیش از 30 بیمارستان در سراسر این کشور. بخاطر استفاده از سیستم عامل ویندوز XP و نرم افزار های اداری این سازمان که متعلق به چندین سال پیش بود.

استخدام یک متخصص امنیتی برای هر سازمان و شرکت تا با نظارت کامل از آلوده شدن سیستم ها به باج افزار جلوگیری کند.

علاوه بر ذخیره کردن بک آپ‌ها بر روی فضای ابری یا Cloud یک بکاپ آفلاین بر روی هارد اکسترنال نیز انجام دهید. چون بعضی از بدافزارها آنچنان قدرتمند و پیچیده هستند. که توانایی نفوذ به سرویس فضای ابری را دارند. و می توانند بکاپ شما را بر روی فضای ابری نیز قفل کنند.

نمونه ای شرکت های قربانی پتیا:

شبکه‌ی توزیع نیروی برق، بانک مرکزی اوکراین، شرکت مخابرات، سازمان مترو و فرودگاه بوریسپیل کیف در کشور اکراین.

نفتی روس‌نِفت و نیروگاه چرنویل در کشور روسیه

ایستگاه‌های رایانه‌ای نظیر دستگاه‌های خودپرداز (ATM) و ترمینال‌های فروش

به کشور های ژاپن، چین، هند، روسیه، اکراین، دانمارک، نروژه، انگلیس، فرانسه، ایران، آمریکا، برزیل ، مکزیک و چندین کشور دیگر با استفاده از باج افزار پتیا حمله سایری شده است.

شیوه رمزگذاری باج افزار پتیا:

باج‌افزار جدید از الگوریتم رمزنگاری AES با طول کلید ۱۲۸ بیتی برای رمزنگاری پرونده‌ها استفاده می‌کند. در ادامه نیز این کلیدهای رمزنگاری را با استفاده از یک کلید RSA با طول کلید ۲۰۴۸ بیت استفاده می‌کند. به دلیل اینکه فرآیند تولید هر دو کلید به‌طور مخفیانه صورت می‌گیرد، رمزنگاری در این باج‌افزار بسیار مقاوم بوده و این مسئله ارائه‌ی ابزار رمزگشایی برای این بدافزار را برای محققان امنیتی مشکل می‌کند.

آیا باج افزار پتیا بر روی سیستم عامل اندروید و آیفون را آلوده می کند؟

در جواب این سئوال بگوییم که تا کنون گزارشی نسبت به مشاهده باج افزار پتیا بر روی گوشی های موبایل دارای سیستم عامل اندروید و آیفون منتشر نشده است. هر چند نباید سایر باج افزارهای موبایلی را نادیده گرفت.