همه خبرهای ویروس باجگیر جدید پتیا Petya

باج افزار جدیدی بنام پتیا Petya کشور اوکراین را فلج کرد. این باج افزار 60 درصد کامپیوترهای اوکراین حتی عابر بانک ها را از کار انداخت!

از آنجایی که ویروس در اوکراین به شدت مخرب ظاهر شده، بسیاری از پژوهشگران باور دارند که پتیا صرفا یک باج افزار ساده نبوده که هدفش کسب درآمد برای توسعه دهندگانش باشد. در حقیقت پتیا یک حمله سایبری همه جانبه به اوکراین بوده. متیو سوییچ می گوید: «تظاهر به باج افزار بودن می کند در حالی که یک حمله سازمان یافته است. هیچ راهی وجود ندارد که کار مجرمین باشد.»

شرکت نرم افزاری آنتی ویروس کسپراسکی می گوید: سیستم های کامپیوتری آلوده به این باج افزار، در اوکراین واقع شده اند که نسبت به دیگر مناطق بسیار بیشتر است، اما بدافزار فوق با سرعت زیادی در حال انتشار در دیگر کشورهاست.

دغدغه هایی که باج افزار پتیا Petya برای شرکت نرم افزاری مایکروسافت ایجاد کرده است:

مایکروسافت عنوان کرده که گونه های جدید باج افزار پتیا برای اولین بار در فرآیند به روز رسانی MEDoc که نرم افزاری برای محاسبه مالیات در کشور اوکراین است، شناسایی شد. مهاجمین به گونه ای برنامه ریزی کرده بودند که در طی فرآیند به روزرسانی، باج افزار را وارد سازند. این مسئله دلیل آلودگی بسیاری از کامپیوترها در کشور اوکراین را توضیح می‌دهد، کما اینکه بسیاری از کامپیوترهای بیمارستان ها، فرودگاه ها و حتی نیروگاه برق چرنوبیل آلوده شده اند.

مایکروسافت کشف کرده در ۲۷ ژوئن حوالی ساعت ۱۰:۳۰ صبح به وقت گرینویچ، پردازش EZVit.exe برای اولین بار مشاهده شده است. این کد در حقیقت بیانگر خط فرمانی مخرب است. پس از این‌که باج افزار یک کامپیوتر را آلوده ساخته تلاش کرده تا به دیگر کامپیوترهای موجود در شبکه نیز نفوذ کند.

به کاربران ویندوز به شدت توصیه شده است که در اسرع وقت نسبت به دریافت به روزرسانی سیستم عامل خود اقدام کنند و در صورتی که از آنتی ویروس شخص ثالث روی کامپیوتر خود استفاده می‌کنند حتما آخرین به روزرسانی های آن را نیز دریافت کنند. ویندوز دیفندر قادر است تا باج افزارهای جدید نظیر پتیا را شناسایی کند؛ اما بدین منظور لازم است تا به نسخه ۱.۲۴۷.۱۹۷.۰ ارتقا یافته باشد.

تاکنون نفوذ این باج افزار در سیستم های کاملا به روز شده ممکن نبوده است و به کاربرانی که قادر به دریافت آخرین به روزرسانی ها نیستند توصیه شده است تا SMBv1 را غیرفعال سازند و در روتر خود ترافیک ورودی SMB در درگاه ۴۴۵ را در لیست فایروال قرار دهند.

مایکروسافت توضیح می‌دهد:
با توجه به اینکه این بدافزار درگاه های ۱۳۹ و ۴۴۵ را هدف قرار می‌دهد، کاربران می‌توانند هرگونه ترافیک روی این دو درگاه را مسدود سازند تا اشاعه بدافزار از طریق دستگاه شما بر روی شبکه غیرممکن شود. شما همچنین می‌توانید کنترل WMI و به اشتراک گذاری فایل ها را نیز غیرفعال کنید. این تغییرات شاید در کارکرد شبکه شما تاثیرات محسوسی داشته باشند؛ اما به شما پیشنهاد می‌کنیم در این بازه زمانی تا هنگام دریافت به روز رسانی ها، این تغییرات را اعمال کنید.

مایکروسافت لینک دانلود آپدیت جداگانه را برای مقابله با پتیا عرضه کرد. از طریق لینک زیر ورژن ویندوز خود را پیدا کنید و آپدیت را بصورت دستی برروی ویندوز خود نصب نمائید.

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx?f=255&MSPPError=-2147217396

جزئیات ویروس باجگیر پتیا Petya

هکر کلاه سفید بنام Hacker Fantastic در توییتی برخی از جزئیات فرآیند آلوده شدن رایانه و جلوگیری موقت از آن را اعلام کرده است:
اگر رایانه شما راه‌اندازی مجدد شد و شما پیغامی با عنوان «power off immediately» را مشاهده کردید، بدانید که رایانه شما آلوده شده است و این بخشی از فرآیند رمزگذاری پتیا است. اگر شما رایانه را روشن نکنید، فایل‌ها همچنان در امان خواهند ماند. سپس صبر کنید تا روش‌های رفع مشکل توسط شرکت‌های امنیتی اعلام شود.

خبری بسیار خوب. چه افرادی طالب EMET پیش فرض در کرنل ویندوز ۱۰ با به روز رسانی فال کریترز بودند؟ مایکروسافت در بروزرسانی بعدی امنیت ویندوز را با تغییرات در کرنل آن چند برابر می کند. نفوذ باج افزار "پتیا" به رایانه‌های هوایپما و فرود اضطراری و اختلال در پايانه پرداخت سوپرمارکت های اوکراین را نیز درگیر کرده است.