گزارش های متعددی حاکی از حمله باج افزاری جدید در اوکراین در رسانه ها منتشر شده است، باج افزاری که می تواند از خانواده Petya باشد و در حال حاضر ESET آن را با عنوان Win32/Diskcoder.C Trojan شناسایی می نماید. اگر این باج افزار موفق به آلودگی MBR شود مانند Mischa تمامی درایورها و فایل ها را رمزگذاری خواهد کرد.
این باج افزار برای گسترش خود ترکیبی از روش های بهره برداری SMB مانند باج افزار wannacry برای ورود به شبکه استفاده می کند و برای توزیع در داخل شبکه نیز از روش PsExec بهره می برد.
این ترکیب خطرناک می تواند دلیلی بر سرعت شیوع و گسترش جهانی این باج افزار باشد زیرا در مواجه با باج افزار قبلی با اطلاع رسانی های گسترده در خبرها، کاربران توانستند بسیاری از راه های آسیب پذیری سیستم ها را وصله نمایند اما در این مورد تنها با وجود یک سیستم آسیب پذیر بدافزار می تواند حقوق ادمین شبکه را به دست آورد و موجب آلودگی تمامی شبکه شود.
روزنامه نگاری در صفحه توییتر خود نوشته است که حملات سایبری به شدت بانک ها، شرکت های توزیع نیرو و پستی را به شدت تحت تاثیر قرار داده است به علاوه به نظر می رسد که دولت نیز درگیر این حملات شده است او همچنین تصویری مربوط به صفحه فیسبوک یکی از دولتمردان اوکراین منتشر که نشان می داد سیستم او هم رمزگذاری شده است. بانک ملی اوکراین پیغامی مبنی بر هشدار به سایر بانک ها در خصوص حملات باج افزارها منتشر کرده است.
محققان معتقد هستند علی رقم شباهت این باج افزار با باج افزار wannacry بیشتر به نظر می رسد که از نوع Petya باشد.در این مورد نیز هنگام آلودگی پیغامی مانند زیر مشابه پیغامی که قربانیان wannacry با آن مواجه می شوند، نشان داده می شود:
” اگر شما چنین پیغامی را مشاهده می کنید پس به فایل های خود دسترسی نخواهید داشت چون رمزگذاری شده اند … ما به شما اطمینان می دهیم که اگر مبلغ 300بیت کوین پرداخت نمایید می توانید کلید رمزگشایی را خریداری نمایید و به راحتی و سریع فایل های خود را رمزگشایی کنید.
اینطور که حملات این باج افزار فقط مختص به اوکراین نیست و ایتالیا و هندوستان هم آلوده شده اند همچنین شرکت حمل و نقل دانمارک و یک شرکت تبلیغاتی در انگستان(WPP) نیز درگیر شده اند.در صفحه اصلی وبسابت WPP پیغام زیر نمایش داده می شود :
“وبسایت به علت تعمیرات در دسترس نیست به زودی با رفع مشکل مجددا در دسترس قرار خواهد گرفت. ما از مشکلات پیش آماده عذر می خواهیم، چنانچه نیاز به تماس با وبسایت دارید لطفا از طریق آدرس ایمیل زیر اقدام نمایید”.
اکانت رسمی این شرکت در توییتر اعلام کرده است که قربانی حمله بوده است : سیستم های آی تی در چندین شرکت مختلف WPP تحت تاثیر یک حمله سایبری قرار گرفته اند، در حال انجام اقدامات مناسب در این زمینه هستیم و به زودی به روز خواهیم شد.
گزارش هایی مبنی بر پرداخت بیت کوین در پاسخ به این حملات نیز وجود دارد.
Petya رویکردی متفاوت از سایر باج افزارهای رمزگذاری دارد، این باج افزار به جای اینکه فایل ها را به صورت جداگانه رمزگذاری کند، فایل سیستمی را هدف قرار می دهد.
” هدف اصلی MBR است که مسئول بارگذاری سیستم عامل پس از بوت شدن سیستم می باشد.
برای جلوگیری از این نوع تهدید توصیه می کنیم که همیشه وصله های سیستم عامل خود را به طور کامل نصب و به روزرسانی نمایید، از راه حل های امنیتی معتبر و به روز شده برای سیستم های خود استفاده نمایید و بخش تقسیم بندی شبکه را تنظیم نمایید که ممکن است به جلوگیری از گسترش درون شبکه این بدافزار کمک کند.
27 ژوئن – تکمیلی خبر1 ساعت 21:20 : محققان ESET توانستند نقطه شروع این حمله را مشخص کنند. حمله هکرها با سوءاستفاده از نرم افزار حسابداری M.E.Doc که به صورت عمومی در صنایع مختلف اوکراین اعم از موسسات مالی استفاده می شود، شروع شد. برخی از آنها آپدیت تروجانی را اجرا کردند که به مهاجمان اجازه ی این حمله گسترده در سراسر اوکراین و جهان را می دهد.
27 ژوئن – تکمیلی خبر2 ساعت 22:28 : پرداخت از طریق بیت کوین و ایمیل برای خرید کلید رمزگشایی بسته شده است بنابراین به هیچ عنوان هزینه ای بابت رمزگشایی به مهاجمان پرداخت نکنید.
27 ژوئن – تکمیلی خبر3 ساعت 23:34 : خاموش کردن سیستم و عدم بوت کردن مجدد آن، می تواند از رمزگذاری دیسک جلوگیری کند، اگرچه ممکن در حال حاضر نیز تعدادی از فایل ها پس از MBR رمز شده باشند و در آینده برای آلودگی شبکه تلاش کنند.
منبع : www.welivesecurity.com
