حمله گسترده ویروس «پتیا» به رایانه‌های جهان

هنوز دنیا از شوک باج افزار «واناکری» خارج نشده است که خبر می‌رسد، رایانه‌های جهان یک بار دیگر مورد هجوم بدافزار ویروسی جدیدی با نام «پتیا» قرار گرفته‌اند که به گفته محققان از واناکری هم خطرناک‌تر است. این باج افزار در اسفندماه 94 به صورت گسترده در فضای مجازی منتشر شد و از طریق هرزنامه‌های ایمیلی با موضوع شغل‌یابی با سرعت بالا گسترش یافت، متخصصان در آن زمان علت خطرناک بودن این باج‌افزار را نگارش محتوای خود روی (master boot record) هارددیسک اعلام کردند که می‌توانست اجرای درست سیستم‌عامل نصب شده را غیرممکن کند. این باج‌ افزار به راحتی کدهای درست MBR که برای اجرای بی‌دردسر سیستم‌عامل ضروری است را با کدهایی که master file table (MFT) را رمزگذاری می‌کنند، دستکاری کرده و مشکل اصلی را ایجاد می‌کند. گفتنی است MFT فایل خاصی است که حاوی اطلاعاتی در مورد اسامی، اندازه و نقشه سکتورهای هارددیسک است و نباید به هیچ‌وجه دستکاری شود.

بنابراین این باج‌افزار برای خرابکاری نیازی به رمزگذاری همه داده‌های کاربران ندارد و با مختل کردن MFT کاری می‌کند که سیستم‌عامل دیگر اطلاعی از محل قرارگیری فایل‌ها روی هارددیسک نداشته باشد. با وجود همه این مشکلات محققان راهی برای بازگرداندن MFT به حالت عادی و از کار انداختن باج‌افزار Petya یافتند. متخصصان شرکت امنیتی Emsisoft ابزاری رایگان طراحی کرده‌اند که حتی در صورت از کار افتادن ویندوز می‌تواند با استفاده از پورت یو.‌اس.‌بی ‌به رایانه متصل شده و هارددیسک آلوده شده را به حالت عادی برگرداند. اما بازهم این باج افزار فعال شده است و حمله خود را از اوکراین شروع کرده و در حال حال حاضر رایانه‌های سراسر جهان بار دیگر مورد هجوم این ویروس جدید به نام «پتیا» قرار گرفته‌اند. این درحالی است که سیستم‌های کنترل اشعه‌های رادیواکتیو در چرنوبیل و همین طور یک کارخانه داروسازی در امریکا با مشکل روبه‌رو شده است.

 این حمله از اوکراین آغاز شد. نخست شبکه توزیع برق، فرودگاه و بانک ملی این کشور و شرکت‌های مخابراتی آن از بروز مشکلاتی خبر دادند که پس از آن سریع در سراسر اروپا منتشر شد. شرکت‌هایی در نروژ، روسیه، دانمارک و فرانسه نیز از بروز مشکلاتی در سیستم‌های خود خبر دادند.   ویروس مذکور سیستم‌های رایانه‌یی شرکت‌های داروسازی «مرک شارپ» و «دوم »در امریکا را نیز آلوده کرده است.

این ویروس از قربانیان می‌خواهد تا مبلغی را به عنوان باج به یک حساب ناشناس آنلاین واریز کنند تا فایل‌هایشان دوباره قابل دسترسی شود. تا به حال آمار دولتی حاکی از آن است که ۱۹ عملیات پرداخت به این حساب ناشناس انجام شده است. رقم کل این پرداخت‌ها بالغ بر هزاران پوند می‌شود.

این درحالی است که محققان امنیت سایبری هشدار داده‌اند ویروس پتیا بزرگ‌تر و خطرناک‌تر از ویروس واناکری است که چندی قبل رایانه‌های جهان را آلوده کرد. کارشناسان امنیتی به کاربران هشدار می‌دهند که از باز کردن هرگونه فایل یا ایمیل ناشناس خود داری کنند و در صورت امکان از سیستم عامل‌های به روز رسانی استفاده کنند، چرا که در تحقیقات شرکت‌های تولید‌کننده آنتی ویروس برای باج‌افزار واناکری مشخص شد که بیش از ۹۷ درصد رایانه‌های مبتلا به بدافزار «واناکری» از سیستم عامل ویندوز ۷ استفاده می‌کرده‌اند. این باج‌افزار توانست بیش از ۲۰۰ هزار رایانه در ۱۵۰ کشور جهان را مبتلا کند. این رویداد حتی بیمارستان‌ها را مجبور کرد تا از قبول بیماران خودداری کنند و بانک‌ها و شرکت‌های مخابراتی نیز از ارائه خدمات بازماندند.

اکنون محققان پس از تحلیل این حمله جزییات زیادی را متوجه شدند. برهمین اساس تحلیلگران شرکت کسپراسکای متوجه شدند بیش از ۹۷ درصد رایانه‌های مبتلا به ویروس واناکری از سیستم عامل ویندوز ۷ استفاده می‌کرده‌اند. به‌طور متضاد گزارشی از آلوده شدن هیچ ماشینی با سیستم عامل ویندوز XP مشاهده نشده است. همچنین رایانه‌های دارای سیستم عامل XP مبتلا به ویروس واناکری نیز به‌طور دستی و توسط مالکانشان (برای آزمایش بدافزار) به آن مبتلا شدند.

البته این تحلیل براساس مشاهدات مربوط به رایانه‌هایی است که از نرم‌افزار آنتی ویروس کسپراسکای استفاده می‌کردند. از سوی دیگر شرکت امنیتی BitSight نیز در تحقیقات متوجه شد ۶۷ درصد رایانه‌های مبتلا به این بدافزار از سیستم عامل ویندوز۷ استفاده می‌کردند.

همچنین محققان امنیت سایبری متوجه شدند در گسترش این حمله هیچ ایمیل آلوده‌یی نقش نداشته است. بلکه این بدافزار از طریق مکانیسمی منتشر شده که در اینترنت رایانه‌هایی با پورت‌های باز Server Message Block را جست‌وجو کرده است.

با توجه به انتشار باج‌افزار «پتیا» خبر می‌رسد که کارشناسان امنیتی در حال تحقیق برای پیدا کردن منشأ این باج افزار هستند، هرچند در زمان انتشار باج افاز واناکری کارشناسان رایانه‌یی اعلام کردند سازندگان اصلی ویروس باج‌افزار واناکری یکی از کشورهای چین، هنگ‌کنگ، تایوان یا سنگاپوراست، اما باز هم مشخص نشد که زادگاه این باج‌افزار کدام کشور است. از سوی دیگر سازندگان باج‌افزار واناکری هشدار داده بودند که در حال طراحی باج‌افزار دیگری هستند که به‌زودی خبرانتشارآن به گوش می‌رسد، حال بعید نیست که «پتیا» نسخه جدیدی از واناکری باشد. نسخه‌یی که حملات خود را از اوکراین آغاز کرده است.