حمله گسترده ویروس «پتیا» به رایانههای جهان
هنوز دنیا از شوک باج افزار «واناکری» خارج نشده است که خبر میرسد، رایانههای جهان یک بار دیگر مورد هجوم بدافزار ویروسی جدیدی با نام «پتیا» قرار گرفتهاند که به گفته محققان از واناکری هم خطرناکتر است. این باج افزار در اسفندماه 94 به صورت گسترده در فضای مجازی منتشر شد و از طریق هرزنامههای ایمیلی با موضوع شغلیابی با سرعت بالا گسترش یافت، متخصصان در آن زمان علت خطرناک بودن این باجافزار را نگارش محتوای خود روی (master boot record) هارددیسک اعلام کردند که میتوانست اجرای درست سیستمعامل نصب شده را غیرممکن کند. این باج افزار به راحتی کدهای درست MBR که برای اجرای بیدردسر سیستمعامل ضروری است را با کدهایی که master file table (MFT) را رمزگذاری میکنند، دستکاری کرده و مشکل اصلی را ایجاد میکند. گفتنی است MFT فایل خاصی است که حاوی اطلاعاتی در مورد اسامی، اندازه و نقشه سکتورهای هارددیسک است و نباید به هیچوجه دستکاری شود.
بنابراین این باجافزار برای خرابکاری نیازی به رمزگذاری همه دادههای کاربران ندارد و با مختل کردن MFT کاری میکند که سیستمعامل دیگر اطلاعی از محل قرارگیری فایلها روی هارددیسک نداشته باشد. با وجود همه این مشکلات محققان راهی برای بازگرداندن MFT به حالت عادی و از کار انداختن باجافزار Petya یافتند. متخصصان شرکت امنیتی Emsisoft ابزاری رایگان طراحی کردهاند که حتی در صورت از کار افتادن ویندوز میتواند با استفاده از پورت یو.اس.بی به رایانه متصل شده و هارددیسک آلوده شده را به حالت عادی برگرداند. اما بازهم این باج افزار فعال شده است و حمله خود را از اوکراین شروع کرده و در حال حال حاضر رایانههای سراسر جهان بار دیگر مورد هجوم این ویروس جدید به نام «پتیا» قرار گرفتهاند. این درحالی است که سیستمهای کنترل اشعههای رادیواکتیو در چرنوبیل و همین طور یک کارخانه داروسازی در امریکا با مشکل روبهرو شده است.
این حمله از اوکراین آغاز شد. نخست شبکه توزیع برق، فرودگاه و بانک ملی این کشور و شرکتهای مخابراتی آن از بروز مشکلاتی خبر دادند که پس از آن سریع در سراسر اروپا منتشر شد. شرکتهایی در نروژ، روسیه، دانمارک و فرانسه نیز از بروز مشکلاتی در سیستمهای خود خبر دادند. ویروس مذکور سیستمهای رایانهیی شرکتهای داروسازی «مرک شارپ» و «دوم »در امریکا را نیز آلوده کرده است.
این ویروس از قربانیان میخواهد تا مبلغی را به عنوان باج به یک حساب ناشناس آنلاین واریز کنند تا فایلهایشان دوباره قابل دسترسی شود. تا به حال آمار دولتی حاکی از آن است که ۱۹ عملیات پرداخت به این حساب ناشناس انجام شده است. رقم کل این پرداختها بالغ بر هزاران پوند میشود.
این درحالی است که محققان امنیت سایبری هشدار دادهاند ویروس پتیا بزرگتر و خطرناکتر از ویروس واناکری است که چندی قبل رایانههای جهان را آلوده کرد. کارشناسان امنیتی به کاربران هشدار میدهند که از باز کردن هرگونه فایل یا ایمیل ناشناس خود داری کنند و در صورت امکان از سیستم عاملهای به روز رسانی استفاده کنند، چرا که در تحقیقات شرکتهای تولیدکننده آنتی ویروس برای باجافزار واناکری مشخص شد که بیش از ۹۷ درصد رایانههای مبتلا به بدافزار «واناکری» از سیستم عامل ویندوز ۷ استفاده میکردهاند. این باجافزار توانست بیش از ۲۰۰ هزار رایانه در ۱۵۰ کشور جهان را مبتلا کند. این رویداد حتی بیمارستانها را مجبور کرد تا از قبول بیماران خودداری کنند و بانکها و شرکتهای مخابراتی نیز از ارائه خدمات بازماندند.
اکنون محققان پس از تحلیل این حمله جزییات زیادی را متوجه شدند. برهمین اساس تحلیلگران شرکت کسپراسکای متوجه شدند بیش از ۹۷ درصد رایانههای مبتلا به ویروس واناکری از سیستم عامل ویندوز ۷ استفاده میکردهاند. بهطور متضاد گزارشی از آلوده شدن هیچ ماشینی با سیستم عامل ویندوز XP مشاهده نشده است. همچنین رایانههای دارای سیستم عامل XP مبتلا به ویروس واناکری نیز بهطور دستی و توسط مالکانشان (برای آزمایش بدافزار) به آن مبتلا شدند.
البته این تحلیل براساس مشاهدات مربوط به رایانههایی است که از نرمافزار آنتی ویروس کسپراسکای استفاده میکردند. از سوی دیگر شرکت امنیتی BitSight نیز در تحقیقات متوجه شد ۶۷ درصد رایانههای مبتلا به این بدافزار از سیستم عامل ویندوز۷ استفاده میکردند.
همچنین محققان امنیت سایبری متوجه شدند در گسترش این حمله هیچ ایمیل آلودهیی نقش نداشته است. بلکه این بدافزار از طریق مکانیسمی منتشر شده که در اینترنت رایانههایی با پورتهای باز Server Message Block را جستوجو کرده است.
با توجه به انتشار باجافزار «پتیا» خبر میرسد که کارشناسان امنیتی در حال تحقیق برای پیدا کردن منشأ این باج افزار هستند، هرچند در زمان انتشار باج افاز واناکری کارشناسان رایانهیی اعلام کردند سازندگان اصلی ویروس باجافزار واناکری یکی از کشورهای چین، هنگکنگ، تایوان یا سنگاپوراست، اما باز هم مشخص نشد که زادگاه این باجافزار کدام کشور است. از سوی دیگر سازندگان باجافزار واناکری هشدار داده بودند که در حال طراحی باجافزار دیگری هستند که بهزودی خبرانتشارآن به گوش میرسد، حال بعید نیست که «پتیا» نسخه جدیدی از واناکری باشد. نسخهیی که حملات خود را از اوکراین آغاز کرده است.