همه خبرهای ویروس باجگیر جدید پتیا Petya
باج افزار جدیدی بنام پتیا Petya کشور اوکراین را فلج کرد. این باج افزار 60 درصد کامپیوترهای اوکراین حتی عابر بانک ها را از کار انداخت!
از آنجایی که ویروس در اوکراین به شدت مخرب ظاهر شده، بسیاری از پژوهشگران باور دارند که پتیا صرفا یک باج افزار ساده نبوده که هدفش کسب درآمد برای توسعه دهندگانش باشد. در حقیقت پتیا یک حمله سایبری همه جانبه به اوکراین بوده. متیو سوییچ می گوید: «تظاهر به باج افزار بودن می کند در حالی که یک حمله سازمان یافته است. هیچ راهی وجود ندارد که کار مجرمین باشد.»
شرکت نرم افزاری آنتی ویروس کسپراسکی می گوید: سیستم های کامپیوتری آلوده به این باج افزار، در اوکراین واقع شده اند که نسبت به دیگر مناطق بسیار بیشتر است، اما بدافزار فوق با سرعت زیادی در حال انتشار در دیگر کشورهاست.
دغدغه هایی که باج افزار پتیا Petya برای شرکت نرم افزاری مایکروسافت ایجاد کرده است:
مایکروسافت عنوان کرده که گونه های جدید باج افزار پتیا برای اولین بار در فرآیند به روز رسانی MEDoc که نرم افزاری برای محاسبه مالیات در کشور اوکراین است، شناسایی شد. مهاجمین به گونه ای برنامه ریزی کرده بودند که در طی فرآیند به روزرسانی، باج افزار را وارد سازند. این مسئله دلیل آلودگی بسیاری از کامپیوترها در کشور اوکراین را توضیح میدهد، کما اینکه بسیاری از کامپیوترهای بیمارستان ها، فرودگاه ها و حتی نیروگاه برق چرنوبیل آلوده شده اند.
مایکروسافت کشف کرده در ۲۷ ژوئن حوالی ساعت ۱۰:۳۰ صبح به وقت گرینویچ، پردازش EZVit.exe برای اولین بار مشاهده شده است. این کد در حقیقت بیانگر خط فرمانی مخرب است. پس از اینکه باج افزار یک کامپیوتر را آلوده ساخته تلاش کرده تا به دیگر کامپیوترهای موجود در شبکه نیز نفوذ کند.
به کاربران ویندوز به شدت توصیه شده است که در اسرع وقت نسبت به دریافت به روزرسانی سیستم عامل خود اقدام کنند و در صورتی که از آنتی ویروس شخص ثالث روی کامپیوتر خود استفاده میکنند حتما آخرین به روزرسانی های آن را نیز دریافت کنند. ویندوز دیفندر قادر است تا باج افزارهای جدید نظیر پتیا را شناسایی کند؛ اما بدین منظور لازم است تا به نسخه ۱.۲۴۷.۱۹۷.۰ ارتقا یافته باشد.
تاکنون نفوذ این باج افزار در سیستم های کاملا به روز شده ممکن نبوده است و به کاربرانی که قادر به دریافت آخرین به روزرسانی ها نیستند توصیه شده است تا SMBv1 را غیرفعال سازند و در روتر خود ترافیک ورودی SMB در درگاه ۴۴۵ را در لیست فایروال قرار دهند.
مایکروسافت توضیح میدهد:
با توجه به اینکه این بدافزار درگاه های ۱۳۹ و ۴۴۵ را هدف قرار میدهد، کاربران میتوانند هرگونه ترافیک روی این دو درگاه را مسدود سازند تا اشاعه بدافزار از طریق دستگاه شما بر روی شبکه غیرممکن شود. شما همچنین میتوانید کنترل WMI و به اشتراک گذاری فایل ها را نیز غیرفعال کنید. این تغییرات شاید در کارکرد شبکه شما تاثیرات محسوسی داشته باشند؛ اما به شما پیشنهاد میکنیم در این بازه زمانی تا هنگام دریافت به روز رسانی ها، این تغییرات را اعمال کنید.
مایکروسافت لینک دانلود آپدیت جداگانه را برای مقابله با پتیا عرضه کرد. از طریق لینک زیر ورژن ویندوز خود را پیدا کنید و آپدیت را بصورت دستی برروی ویندوز خود نصب نمائید.
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx?f=255&MSPPError=-2147217396
جزئیات ویروس باجگیر پتیا Petya
هکر کلاه سفید بنام Hacker Fantastic در توییتی برخی از جزئیات فرآیند آلوده شدن رایانه و جلوگیری موقت از آن را اعلام کرده است:
اگر رایانه شما راهاندازی مجدد شد و شما پیغامی با عنوان «power off immediately» را مشاهده کردید، بدانید که رایانه شما آلوده شده است و این بخشی از فرآیند رمزگذاری پتیا است. اگر شما رایانه را روشن نکنید، فایلها همچنان در امان خواهند ماند. سپس صبر کنید تا روشهای رفع مشکل توسط شرکتهای امنیتی اعلام شود.
خبری بسیار خوب. چه افرادی طالب EMET پیش فرض در کرنل ویندوز ۱۰ با به روز رسانی فال کریترز بودند؟ مایکروسافت در بروزرسانی بعدی امنیت ویندوز را با تغییرات در کرنل آن چند برابر می کند. نفوذ باج افزار "پتیا" به رایانههای هوایپما و فرود اضطراری و اختلال در پايانه پرداخت سوپرمارکت های اوکراین را نیز درگیر کرده است.