آخرین اخبار
facebook Telegram RSS ارسال به دوستان نسخه چاپی
کد خبر : 212651
تاریخ انتشار : 9 تیر 1396 23:12
تعداد بازدید : 1284

پلیس فتا و مرکز ماهر در پی گسترش باج‌افزار پتیا هشدار دادند

ویندوز و آنتی ویروس ها را به روزرسانی کنید؛ فوری

پس از حمله گسترده باج افزار واناکرای به سیستم های سراسر دنیا از جمله ایران، باج افزار جدیدی به نام پتیا، حملات گسترده و خطرناکی به کاربران اینترنت در سراسر دنیا انجام داده است.


فناوران - تاکنون سامانه های قربانی در سراسر دنیا به این باج افزار جدید آلوده شده اند که این سامانه ها در زیرساخت های بانکی، تجارتی و انرژی قرار دارند. تاکنون بیشترین آلودگی در کشورهای روسیه، اوکراین، هند و کشورهای اروپایی گزارش شده اما بیم آن می رود که به سرعت آلودگی این باج افزار در سایر کشورهای جهان نیز گسترش یابد.
شرکت کشتیرانی مائرسک دانمارک، شرکت داروسازی مرک آمریکا، شرکت شکلات سازی کدبری استرالیا، شرکت هوایی کوانتر ایروویز اندونزی و وزارت زیرساخت، بانک مرکزی، سرویس پست دولتی، شرکت توزیع برق و برخی رسانه های اوکراینی به این باج افزار آلوده شده اند.

 هشدار پلیس فتا
پلیس فتا نخستین سازمانی ایرانی بود که هفتم تیرماه درباره گسترش باج افزار پتیا (Petya) هشدار داد. 
براساس اعلام پلیس فتا آخرین گونه پتیا از جهاتی بسیار شبیه به باج افزارهای قبلی خانواده پتیاست. پتیا نخستین بار در اواخر ماه مارس سال ۲۰۱۶ مشاهده شد. نکته ای که پتیا را منحصر به فرد می کند، این است که این باج افزار به جای ویندوز از سیستم عامل کوچک خود استفاده می کند، بنابراین قادر است ساختارهای حیاتی سیستم فایل کامپیوتر را در صورت راه اندازی مجدد آن روی دیسک بوت رمزنگاری کند. گونه بعدی پتیا هم از همین روش و تقریبا با همان کد سیستم عامل نسخه قبلی پتیا کار می کرد، اما روش مخصوص به خودش را برای پخش شدن، رمزنگاری فایل ها و آلوده کردن سیستم به کار می برد.
در صورتیکه سیستم به شکل موفقیت آمیزی آلوده می شد، پتیا با نمایش صفحه ای که به زبان انگلیسی نوشته شده بود، از کاربر می خواست ۳۰۰ دلار پول در قالب بیت کوین واریز کند.
موج آغازین آلودگی پتیا به هک نرم افزار حسابداری محبوب اوکراینی یعنی MeDoc بر می گردد. مهاجمانی ناشناس با دستیابی به سرورهای به روز رسانی این نرم افزار توانستند باج افزار پتیا را به عنوان یک به روز رسانی نرم افزاری وارد کامپیوتر سرویس گیرنده های این شرکت کنند. از این روش پیش از این هم در سایر خانواده های باج افزارها مثل XData برای شروع موج حملات نرم افزاری استفاده شده بود.
پس از آنکه تعدادی سیستم آلوده شدند، پتیا با استفاده از همان اکسپلویت NSA که گروه Shadow Brokers لو داده و WannaCry استفاده کرده بود، توانست به سرعت خود را در سراسر جهان پخش کند. این اکسپلویت که به ETERNALBLUE معروف است، از یک آسیب پذیری در پروتکل SMBv1 مایکروسافت استفاده می کند و به مهاجم اجازه می دهد تا کنترل سیستم هایی با مشخصات زیر را در دست بگیرد: سیستم هایی که پروتکل SMBv1 در آن ها فعال است، سیستم هایی که از طریق اینترنت قابل دسترسی هستند و سیستم هایی که از وصله امنیتی MS17-010 مربوط به ماه مارس ۲۰۱۷ استفاده نمی کنند.

 هشدار مرکز ماهر
مرکز ماهر نیز دیروز با انتشار اطلاعات و مستندات باج افزار پتیا، درباره شیوع آن در کشور هشدار داد. 
در این اطلاعیه آمده است: اخیرا گسترش باج افزار جدیدی به نام Goldeneye/Petya در نقاط مختلف جهان بازتاب وسیعی داشته است. نحوه گشترش این باج افزار و نیز عملکرد آن بسیار مشابه به باج افزار WannaCry است.  این باج افزار نیز همانند WannaCry، توسط آسیب پذیری SMB سیستم عامل ویندوز گسترش پیدا می کند. درحال حاضر این باج افزار شرکت های کامپیوتری، کمپانی های تولید کننده برق و نیز بسیاری از بانک ها را در کشورهای روسیه، اکراین، اسپانیا، فرانسه، انگلیس و هند آلوده کرده است.
نکته حایز اهمیت در خصوص این باج افزار، انتشار آن با سوءاستفاده از همان آسیب پذیری پروتکل SMB مورد استفاده باج افزار WannaCry است. راهکارهای پیشگیری و مقابله با آن نیز مشابه راهکارهای ارایه شده برای پیشگیری از آلودگی به WannaCry شامل به روزرسانی سیستم های عامل ویندوز و غیرفعال سازی پروتکل SMB,V1 و همچنین راهکارهای امنیتی عمومی نظیر تهیه و نگهداری نسخه های پشتیبان آفلاین از اطلاعات مهم است. در واقع سیستم هایی که پیش از این اقدام به به روزرسانی سیستم های عامل برای مقابله با باج افزار WannaCry کرده اند، نیاز به اقدام جدیدی ندارند.
نکته دیگر آن است که آخرین بررسی های تحلیلی نشان داده است که این باج افزار اساسا تخریب گر اطلاعات بوده و حتی مهاجمان دسترسی به کلیدهای رمزنگاری و امکان بازگردانی اطلاعات رمز شده را ندارند. علاوه بر این، ایمیل ارتباطی با مهاجمان نیز توسط سرویس دهنده مربوطه مسدود شده است؛ بنابراین جدا از پرداخت هرگونه وجهی به مهاجمان خودداری کنید.

 روش پیشگیری از گسترش پتیا
- آخرین وصله های امنیتی، سیستم ویندوز را باید به روز رسانی کند.
- قبل از بازکردن فایل های پیوست ایمیل، باید از فرستنده آن مطمئن شد.
- پروتکل SMB غیرفعال شود  و patch  MS17-010 از سایت مایکروسافت دریافت و نصب شود.
- پورت های 445 و 139 روی فایروال بسته شود.
- غیر فعال کردن اسکریپت های ماکرو از فایل های آفیسی که از ایمیل دریافت می شود (به جای باز کردن فایل های آفیس با استفاده از نسخه کامل آفیس از office viewer استفاده شود).
- فراهم کردن فیلترینگ مناسب و قوی برای فیلترکردن اسپم و جلوگیری از ایمیل های فیشینگ.
- اسکن تمامی ایمیل های ورودی و خروجی برای شناسایی تهدیدات و فیلتر کردن فایل های اجرایی برای کاربران.
- Patch کردن سیستم عامل ها، نرم افزار، firm ware و تجهیزات.


نظر شما



نمایش غیر عمومی
تصویر امنیتی :