باج افزار NotPetya یک شوخی نیست اما یک راه برای مقابله با آن وجود دارد

باج افزار NotPetya یک شوخی نیست اما یک راه برای مقابله با آن وجود دارد

باج افزار NetPetya

داستان این باج افزار هم مشابه موارد دیگر است. وقتی سیستم خود را روشن می کنید برخلاف همیشه با یک پیغام روبرو می شوید که به شما اعلام می کند فایل هایتان رمزگذاری شده و برای بازکردن آنها باید مبلغی را به روش BitCoin به آدرس اعلام شده واریز کنید. پیغام به شما اطمینان می دهد که هیچ راهی برای بازیابی اطلاعات رمزگذاری شده وجود ندارد و فقط با پرداخت مبلغ و دریافت ابزار بازیابی می توانید اطلاعات خود را به دست آورید که البته بیراه هم نیست!

اولین مواجهه با این باج افزار در ۲۷ ژوئن ۲۰۱۷ (۶ تیر ۱۳۹۶) در بانک ملی اکراین و فرودگاه بین المللی کی یف، روی داده است. حتی گفته می شود که سیستم مونیتورینگ نیروگاه اتمی چرنوبیل نیز دچار مشکل شده است. اما باج افزار NotPetya که سیستم عامل ویندوز را مورد هدف قرار می دهد طبق گزارش مایروسافت فقط به این کشور اکتفا نکرده و رایانه های ۶۴ کشور دیگر نیز به آن آلوده شده اند.

نام گذاری این باج افزار بر مبنای درخواست پول از کاربران در عوض بازیابی فایل هایشان انجام شده است. به نظر می رسد کد باج افزار از یک نسخه قدیمی تر به نام Petya برگرفته شده است. اما ظاهرا این نسخه جدید براساس کد لو رفته از سازمان امنیت ملی آمریکا (NSA) که EternalBlue نام دارد تقویت شده است. این همان کدی است که باج افزار WannaCry براساس آن پیاده شده و به همین دلیل متخصصین امنیت این باج افزار جدید NotPetya نام گذاری کرده اند.

براساس بررسی شرکت امنیتی سیمانتک این باج افزار مشخصا دارای خطر بزرگی است چون به جای رمزگذاری فایل ها رکورد بوت اصلی (Master Boot Record) هارد دیسک را رمزگذاری می کند تا کل اطلاعات به یکباره رمزگذاری شود. به محض اینکه یک سیستم آلوده می شود، پیامی نمایش داده می شود که قربانی باید معادل ۳۰۰ دلار بیت کوین را در ازای دریافت کد رمزگشایی بپردازد. اگر چه با توجه به اینکه ایمیل ارائه شده برای اعلام پرداخت، توسط سرویس دهنده ایمیل غیرفعال شده است، تقریبا شانسی برای دریافت کلید رمزگشایی حتی در صورتی که کاربر پرداخت را انجام دهد، وجود نخواهد داشت.

در واقع کسانی که سیستم های آنها با باج افزار NetPetya آلوده شده است، باید با داده هایشان خداحافظی کنند!

 

راه حل

وضعیت در ناامیدی مطلق هم نیست. در صورتی که هنوز رمزگذاری هارددیسک انجام نشده یک راه ساده وجود دارد که باج افزار در سیستم ها اجرا نشود. یک متخصص امنیت به نام Amit Serper راهی را پیدا کرده که با انجام آن باج افزار از انجام رمزگذاری خودداری می کند. روش او که پس از اعلام توسط دیگر متخصصین امنیت نیز مورد تایید قرار گرفته این است که باج افزار قبل از اجرا به دنبال یک فایل در مسیر ویندوز سیستم آلوده می گردد و در صورت وجود آن فایل از اجرای رمزگذاری خودداری می کند. این فایل باید به صورت فقط خواندنی در شاخه C:\Windows قرار داشته و نام آن “.perfc” باشد. توجه کنید که فایل پسوندی ندارد. روش دیگر به روزرسانی ویندوز به آخرین تغییرات است چون حفره امنیتی که این باج افزار از آن برای نفوذ استفاده می کند در ماه مارس ۲۰۱۷ (تقریبا سه ماه پیش) اصلاح شده است.

تقریبا با به روز نگاه داشتن ویندوز و ساخت فایل ذکر شده می توان از شر این باج افزار خلاص شد. با توجه به اینکه امکان ظهور باج افزارهای دیگر نیز وجود دارد، همیشه باید ویندوز را به روزرسانی نموده و ایمیل ها و لینک ها را با دقت باز نمود.

دیدگاهتان را بنویسید

Close Menu