ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

  عبارت مورد جستجو
تحلیل وضعیت فناوری اطلاعات در ایران

۶ مطلب با کلمه‌ی کلیدی «باج افزار پتیا» ثبت شده است

تحلیل


کلید رمزنگاری باج‌افزار Petya منتشر شد

دوشنبه, ۱۹ تیر ۱۳۹۶، ۰۲:۳۸ ب.ظ | ۰ نظر

کلید اصلی رمزنگاری نسخه اصلی باج افزار Petya توسط سازنده آن انتشار یافت.

به گزارش خبرگزاری فارس، توسط این کلید، فایل‌های خاصی که در سیستم عامل قربانیان مورد هدف قرار گرفته و رمزنگاری شده، بدون پرداخت هیچ گونه هزینه ای قابل بازگشت است. اما توجه داشته باشید که بین باج افزارهای Petya و NotPetya تفاوت وجود دارد.

NotPetya باج افزار بسیار مخربی است که با نام های دیگری همچون ExPetr و یا Eternal Petya هم شناخته می شود و در طول ماه گذشته میلادی، به هدف های مشخصی در کشور اوکراین و بخشی از اروپا حمله کرده بود.

باج افزار Petya دارای سه نسخه است که به بسیاری از سیستم ها در نقاط مختلف دنیا حمله کرده است. در حال حاضر، نویسنده این باج افزار با نام مستعار Janus برای نسخه اصلی آن Master Key جهت رمزگشایی فایل های رمزشده توسط این باج افزار را در اختیار عموم قرار داده است.

  بر اساس توضیحاتی که محققین امنیت سایبری اعلام کردند، قربانیانی که با نسخه اول این باج افزار موسوم به Red Petya آلوده شده اند، همچنین قربانیانی که با نسخه دوم این باج افزار موسوم به Green Petya آلوده شده اند و همچنین قربانیانی که با باج افزار GoldenPetya آلوده شده اند می توانند از این کلید جهت بازگردانی فایلهای رمز شده خود استفاده کنند.

صحت این کلید رمزگشایی توسط محقق مرکز امنیت سایبری Independent Polish Information Security که با نام @hasherezade در توییتر فعالیت می‌کند، تایید شده است. نویسنده این باج افزار، این کلید را به صورت یک فایل رمزنگاری شده بر روی سایت ذخیره فایل معروف mega.co.nz قرار داده است.

ناتو: «پتیا» عملیات نظامی است

سه شنبه, ۱۳ تیر ۱۳۹۶، ۰۵:۴۵ ب.ظ | ۰ نظر

کوین شیلد، از کهنه کاران وزارت دفاع آمریکا، روز سه شنبه و بعد از اینکه کشور اوکراین و سپس کشورهای دیگر هدف حمله یک باج افزار مخرب به نام «پتیا» قرار گرفت مسوولیت واحد عملیات های سایبری ناتو را بر عهده گرفت.
Gizmodo- این انتصاب دقیقا بعد از حملات سایبری گسترده ای است که پتیا به بار آورده است و سازمان وزارت دفاع آمریکا را بر آن داشته است که برای جبهه دفاع سایبری خود چاره ای بیندیشد. در واقع این چاره هم کشیده شدن پای یک سیاستمدار به عرصه سایبر است، زیرا این سازمان معتقد است که حملات اخیر بالقوه می توانند اقدام جنگی قلمداد شوند. بیشتر این هیاهوها به ماه مه یعنی زمانی برمی گردد که دونالد ترامپ، رییس جمهور آمریکا به همراه رهبران ناتو، تایید کرد که ماده پنجی وجود دارد که که به موجب آن، اعضای این سازمان موظف می شوند در مواردی که یکی از اعضا هدف حمله قرار گرفت برای دفاع از آن وارد عمل شوند.این در حالی است که در هفته گذشته نیز دبیرکل سازمان ناتو بیان کرد که یک حمله سایبری با پیامدهایی هم اندازه با یک حمله تسلیحاتی عمل به ماده پنج توافقنامه را لازم الاجرا خواهد کرد و واکنش هایی که به آن داده می شوند، می توانند به شکل نظامی باشند. 
اما با بروز حملات سایبری اخیر، ناتو روز جمعه در بیانیه ای اعلام کرد که هنوز منشاء پیتا را پیدا نکرده و نمی داند که پس پرده این ماجرا چیست .
در نتیجه محققان ناتو به این نتیجه رسیدند که بدافزار مورد بحث می تواند احتمالا به یک دولت مربوط باشد و اگر این امر ثابت شود، آنگاه کشورهای هدف می توانند با گزینه های مختلفی مقابله به مثل کنند.
در همین راستا نیز وزارت دفاع انگلستان به صورت کاملا مستقل اعلام کرد که کشورش برای واکنش به حملات سایبری آماده است و برای دفاع و حتی حمله به کشور متخاصم مجازی، این حق را دارد که از هر طریقی شامل هوا، زمین، دریا یا قلمرو مجازی مقابله به مثل کند. 


انگشت اتهام اوکراین به سوی روسیه 
اما در حالی که ناتو هنوز هیچ کشوری را مستقیما در انتشار پتیا مسوول ندانسته، سرویس امنیتی اوکراین موسوم به SBU انگشت اتهام را به سوی روسیه گرفته و به تندی از این کشور انتقاد کرده است.
SBU  اعلام کرده که به اطلاعاتی دست یافته که نشان می دهد روسیه در حملات یاد شده دست داشته است.
کارشناسان SBU معتقدند از آنجایی که باج افزار پتیا فاقد سازوکاری برای کسب اطمینان از پرداخت باج های درخواستی از قربانیان است و بعد از پرداخت باج هم فایل های قفل شده رمزگشایی نشده اند، می توان نتیجه گرفت که طراحی پتیا با هدف تخریب اطلاعات متعلق به نهادهای بخش خصوصی و دولتی صورت گرفته است.
روسیه این اتهامات را رد کرده و آنها را بی پایه و اساس توصیف کرده است. نکته قابل تامل این است که بسیاری از نهادهای دولتی و خصوصی در خود روسیه هم به علت حملات باج افزار پتیا آسیب دیده اند.پیش از این در دسامبر سال 2016 هم سیستم های بخش انرژی و حمل و نقل اوکراین هدف حملات بدافزاری قرار گرفتند و حتی بخشی از شبکه توزیع برق این کشور از کار افتاد. در آن زمان نیز اوکراین انگشت اتهام را به سمت روسیه نشانه رفت. (منبع:فناوران)

طراح «پتیا» تحت تعقیب قضایی قرار گرفت

سه شنبه, ۱۳ تیر ۱۳۹۶، ۰۴:۴۶ ب.ظ | ۰ نظر

شرکت اوکراینی که با سهل انگاری خود سهم عمده ای در موفقیت حملات باج افزار پتیا در اوکراین داشت، شناسایی شده و قرار است تحت پیگرد قضایی قرار بگیرد.

به گزارش خبرگزاری مهر به نقل از ورج، هفته گذشته باج افزار پتیا با قفل کردن و تخریب فایل های ذخیره شده بر روی هزاران رایانه در کشورهای شرق اروپا و به خصوص اوکراین جنجال گسترده ای به راه انداخت.

تلاش ها برای شناسایی عوامل اصلی موفقیت پتیا در کشور اوکراین در روزهای اخیر به طور فشرده در جریان بوده تا سرانجام یک محقق امنیتی به نام جاناتان نیکولز موفق به شناسایی آسیب پذیری خطرناکی در سرورهای به روزرسان یک شرکت نرم افزاری اوکراینی به نام MeDoc شد. این شرکت مرکز و عامل اصلی حملات گسترده پتیا در اوکراین بوده است.

محققان می گویند بسیاری از موارد اولیه آلودگی به باج افزار پتیا در اوکراین به علت به روزرسانی های آلوده و مسمومی بوده که از طرف شرکت یادشده صورت گرفته است. این فایل های به روزرسان آلوده به باج افزار توسط کاربران زیادی بر روی رایانه هایشان نصب شدند و مشکلات زیادی ایجاد کردند.

ضعف امنیتی شدید سرورهای این شرکت باعث شد تا فایل های به روزرسان آلوده با دخالت عوامل طراح باج افزار پتیا به طور گسترده برای کاربران بی اطلاع ارسال شوند.

سرورهای مرکزی به روزرسان MeDoc از یک نسخه قدیمی و به روزنشده نرم افزار انتقال فایل مشهور FTP استفاده می کنند که حفره های امنیتی متعددی دارد و سواستفاده از آن برای هکرها بسیار ساده است. هنوز مشخص نیست طراحان پتیا از کدامیک از مشکلات این برنامه برای نفوذ به سرورهای شرکت MeDoc استفاده کرده اند.

مقامات اوکراینی می گویند به علت همین سهل انگاری ها شرکت MeDoc را تحت پیگرد قضایی قرار می دهند. کلنل Serhiy Demydiuk رییس پلیس سایبری اوکراین می گوید قبلا هم به این شرکت چندین بار در مورد مشکلات امنیتی هشدار داده شده بود، آما آنها به این مساله بی توجهی کرده بودند و این بار باید مسئولیت جنایی و قضایی کار خود را بپذیرند.

پای پتیا به ایران نرسید

شنبه, ۱۰ تیر ۱۳۹۶، ۰۲:۴۷ ب.ظ | ۰ نظر

مرکز مدیریت امداد وهماهنگی عملیات رخدادهای رایانه ای با اعلام اینکه گزارشی مبنی بر آلودگی کاربران داخل کشور به ویروس باج گیر سایبری پتیا (petya) دریافت نشده، درباره این بدافزار توضیح داد.

به گزارش خبرنگار مهر، هفته گذشته گسترش باج افزار جدیدی به نام پتیا (Goldeneye/Petya) در نقاط مختلف جهان بازتاب وسیعی داشته است. گفته می شود که نحوه گسترش این باج افزار و نیز عملکرد آن بسیار مشابه به باج افزار واناکرای ( WannaCry) است که بیش از یک ماه پیش، آسیب گسترده ای به سیستم های ویندوزی بسیاری از سازمانهای مهم در کشورهای مختلف وارد کرد.

 

۳۲ سیستم قربانی حمله «پیتا»

تاکنون بالغ بر ۳۲ قربانی توسط «پتیا» آسیب دیده و فایلهایشان رمرگذاری شده که قربانیان مبلغی معادل ۸۱۵۰ دلار به صورت بیت کوین(پول مجازی) برای بازپس گیری اطلاعاتشان پرداخت کرده اند.

بیشترین آسیب پذیری مربوط به کشور اوکراین است به نحوی که گفته شده است که کمپانی بزرگ نفتی روسی به نام Roseneft ، کمپانی های تولیدکننده برق اوکراینی، بانکهایی مانند NBU و کمپانی استخراج معدن Evraz هدف این حمله قرار گرفته اند.

مرکز مدیریت امداد وهماهنگی عملیات رخدادهای رایانه ای (ماهر) در اطلاعیه ای درخصوص این باج افزار جدید توضیح داد.

این مرکز اعلام کرد: این باج افزار نیز همانند واناکرای (WannaCry)، توسط آسیب پذیری SMB سیستم عامل ویندوز، گسترش پیدا می کند. درحال حاضر این باج افزار شرکتهای کامپیوتری، کمپانی های تولید کننده برق و نیز بسیاری از بانک ها را در کشورهای روسیه، اکراین،اسپانیا، فرانسه،انگلیس و هند را آلوده کرده است.

نکته حایز اهمیت در خصوص این باج افزار، انتشار آن با سواستفاده از همان آسیب پذیری پروتکل SMB مورد استفاد باج افزار واناکرای (WannaCry) است. راهکارهای پیشگیری و مقابله با آن نیز مشابه راهکارهای ارائه شده برای پیشگیری از آلودگی به WannaCry شامل به روزرسانی سیستم های عامل ویندوز و غیرفعال سازی پروتکل SMB,V۱ و همچنین راهکارهای امنیتی عمومی نظیر تهیه و نگهداری نسخه های پشتیبان آفلاین از اطلاعات مهم است.

در واقع سیستم هایی که پیش از این اقدام به به روزرسانی سیستم های عامل برای مقابله با باج افزار WannaCry کرده اند نیاز به اقدام جدیدی ندارند.

 

تخریب اطلاعات هدف اصلی «پتیا»

آخرین بررسی های تحلیلی نشان داده است که این باج افزار اساسا تخریب گر اطلاعات بوده و حتی مهاجمین دسترسی به کلیدهای رمزنگاری و امکان بازگردانی اطلاعات رمز شده را ندارند؛ علاوه بر این، ایمیل ارتباطی با مهاجمان نیز توسط سرویس دهنده مربوطه مسدود شده است.

مرکز ماهر با اعلام اینکه تاکنون گزارشی مبنی بر آلودگی کاربران داخل کشور به این باج افزار دریافت نشده است، از کاربران خواست درصورت مواجهه با این حمله باج افزاری، از پرداخت هرگونه وجهی به مهاجمان خودداری کنند.

 

عدم امکان بازگشت فایلهای سرقت شده

برخلاف توصیه های انجام شده در راستای باج افزار wannaCry  در ماه مه سال ۲۰۱۷  میلادی (کمتر از ۲ماه پیش) بازهم بسیاری از دستگاههایی که از ویندوز استفاده می کردند این آسیب پذیری را جدی نگرفته و برای رفع آن اقدامی نکرده اند.

باج افزار «پتیا» از معدود باج افزارهایی است که علاوه بر کارایی مخرب خود روی سیستم قربانی، برای توسعه و تکثیر از بستر اینترنت و شبکه استفاده می کند و بنابراین همانند کرمهای بسیار خطرآفرین شده است.

مرکز ماهر تاکید کرده است که افرادی که این حمله را سازماندهی می کنند از طریق یک ایمیل از  کاربر درخواست پول می کنند که هم اکنون شرکت آلمانی ارائه دهنده سرویس Posteo این ایمیل را به دلیل جرائم اینترنتی، مسدود کرده است. این ایمیل در سیستم قربانی جهت ارسال پول درخواستی و همچنین دریافت کلید بازگردانی فایلها استفاده می شد که هم اکنون مسدود است.

این مرکز از کاربران خواسته است که از پرداخت پول به این باج افزار خودداری کنند چرا که با پرداخت پول نمی توان فایلهای سرقت شده را بازگرداند.

نقش آمریکا در گسترش پتیا

شنبه, ۱۰ تیر ۱۳۹۶، ۰۲:۴۴ ب.ظ | ۰ نظر

محققان امنیتی می گویند بدافزار پتیا که در یک هفته اخیر فایل‌های رایانه‌های مختلفی را در دهها کشور جهان گروگان گرفته، با سوءاستفاده از کدهای آژانس امنیت ملی آمریکا طراحی شده است.

به گزارش فارس به نقل از وی تری، نکته قابل تامل این است که این کدها در ماه فوریه گذشته و قبل از افشاشدن توسط گروه شادو بروکرز به سرقت رفته اند.

بررسی ها در این زمینه توسط اندی پتل مشاور امنیتی شرکت اف – سکیور صورت گرفته است. به گفته وی کدهای مورد استفاده در باج افزار پتیا بسیار متنوع هستند و در حالی که برخی از آنها پیچیده هستند، بقیه شان پیچیدگی خاصی ندارند.

به گفته وی کدهای تشکیل دهنده باج افزار پتیا را می توان به سه دسته تقسیم کرد که یک دسته که عامل انتشار باج افزار مذکور محسوب می شود بسیار پیچیده بود و مشخص است که به خوبی آزمایش شده تا کارآیی آن اثبات شود.

پیش از این باج افزار واناکرای هم با سوءاستفاده از کدهای خرابکاری به سرقت رفته از آژانس امنیت ملی امریکا طراحی شده بود. اما این کدها به صورت علنی افشا شده بودند و عموم کاربران از ماه اوریل به آنها دسترسی داشته اند.

کارشناسان امنیتی می گویند باج افزار پتیا در مقایسه با واناکرای بسیار پیچیده تر و حرفه ای تر بوده و به خوبی خود را در رایانه ها جاسازی کرده و فایل های مورد نظر خود را تخریب می کند. منابع خبری غربی مدعی هستند که پتیا در کره شمالی طراحی شده است، اما کره ای ها این موضوع را رد کرده اند.

همه چیز درباره باج‌افزار خطرناک پتیا

چهارشنبه, ۷ تیر ۱۳۹۶، ۰۷:۱۱ ب.ظ | ۰ نظر

موج جدیدی از حمله‌های سایبری توسط باج‌افزار پتیا سراسر دنیا را فرا گرفته است.

به گزارش سایبربان، پس از حمله باج‌افزار واناکرای، این بار نوبت باج‌افزار پتیا است تا موجی در ابعاد جهانی ایجاد کند.

سامانه‌های قربانی در سراسر دنیا به این باج‌افزار جدید آلوده شده‌اند که این سامانه‌ها در زیرساخت‌های بانکی، تجارتی و انرژی قرار دارند. کشورهای آلوده شامل روسیه، اوکراین، هند و کشورهای اروپایی هستند. از مهم‌ترین هدف‌های پتیا می‌توان به بانک ملی اوکراین (NBU)، شرکت دولتی رس‌نفت (Rosneft) روسیه، تولیدکنندگان دولتی برق اوکراین به نام‌های Kyivenergo و Ukrenergo اشاره کرد.

باج‌افزار پتیا یا پترپ (Petwrap) پس از آلوده سازی سامانه قربانی از وی 300 دلار بیت‌کوین درخواست می‌کند. نکته قابل تأمل استفاده از آسیب‌پذیری SMBv1 ویندوز است که باج‌افزار واناکرای نیز دقیقاً از همین آسیب‌پذیری استفاده می‌کرد. استفاده از این آسیب‌پذیری سطح پایین امنیت رایانه‌ها را در سراسر دنیا نشان می‌دهد.

باج‌افزار پتیا برخلاف واناکرای فایل‌ها را رمز نمی‌کند؛ بلکه جدول مسترفایل درایو (MFT) و MBR را هدف قرار داده و آن‌ها را غیرقابل استفاده می‌کند. پتیا MFT را رمز کرده و MBR را با کد مخرب خود جایگزین می‌کند، سپس پیغام درخواست پول را نمایش می‌دهد.

با رمزشدن MBR، ویندوز حتی در حالت امن (Safe Mode) نیز بارگزاری نشده و از کار می‌افتد. به‌منظور درخواست پول از قربانی درخواست زیر نمایش داده می‌شود:

در حال حاضر از 61 آنتی‌ویروس ثبت‌شده تنها 15 عدد توانایی شناسایی پتیا را دارند. اگر قربانی‌های فعلی خود را در برابر حمله‌های باج افزار واناکرای مقاوم می‌کردند، نتیجه فعلی را شاهد نبودند.

 

عاملان مرموز حملات باج افزاری پتیا چه کسانی هستند؟

عاملان مرموز حملات باج افزاری پتیا، مانند واناکرای به درستی مشخص نیست. در این میان، عده‌ زیادی، سازمان امنیت ملی آمریکا را مقصر این حملات می‌دانند.

به گزارش سایبربان؛ در حقیقت همان احتمالاتی که در بحث واناکرای برای عاملان، مطرح کردیم در اینجا هم صدق می‌کند. درواقع چند سناریو را می‌توان ترسیم کرد:

سازمان امنیت ملی آمریکا (NSA): بر اساس اعلام نظر اسنودن، حملات پتیا، کار گروه‌های هکری سازمان امنیت ملی آمریکا بوده است. به نظر ما نیز، بر اساس برخی قراین، این سناریو، به واقعیت نزدیک‌تر است. آمریکا با قرار دادن برخی تسلیحات سایبری خود در اختیار گروه شدوبروکرز، سعی در افزایش قدرت بازدارندگی دارد و می‌کوشد از راه بزرگ‌نمایی توان آفندی خود، به چنین هدفی دست یابد.

روسیه: با توجه به اینکه حملات باج افزاری با انگیزه‌های بیشتر اقتصادی هستند، نمی‌توان این سناریو را محتمل دانست؛ زیرا روسیه، نشان داده است که در حملات سایبری، بیشتر جنبه شناختی و اطلاعاتی را دنبال می‌کند تا اینکه به دنبال کسب سود اقتصادی باشد.

کره شمالی: این سناریو نیز گرچه با برخی توان‌های سایبری کره شمالی سازگار نیست، ولی استبعادی نیز ندارد؛ زیرا این کشور در پی این است تا ارز اقتصادی خود را تقویت کرده و بتواند با وجود تحریم‌های اقتصادی، از فشارهای وارده بکاهد.

چین: درکدهای منتشرشده، در باج افزار واناکرای، برخی کارشناسان مدعی شدند کدهای چینی وجود دارد و به همین دلیل، گمانه‌زنی‌ها درباره چین بالا گرفت. البته برای نزدیک کردن این سناریو به واقعیت، احتمالاتی وجود دارد. یکی اینکه چین، خودش قربانی این باج افزار نیست. البته این دلیل، از قوت کافی برای اثبات مدعا برخوردار نیست.

دوم اینکه، به دلیل اینکه چین قصد دارد تا به یک ابرقدرت اقتصادی در برابر آمریکا تا سال 2050 تبدیل شود، سعی دارد اطلاعات کافی از شرکت‌های تجاری، انرژی، تولیدی و زیرساختی داشته باشد. درنتیجه از طریق باج افزار، حملاتی را انجام داده و در عین اخذ پول از قربانی، نسخه‌ای از اطلاعات را هم نزد خود نگه می‌دارد. البته بر اساس سابقه‌ای که چین در انجام حملات سایبری دارد، روش باج افزاری، از سوی این کشور، متداول نیست. معمولاً روش حملات چینی‌ها، روش جاسوسی سایبری با استفاده از APT (حملات پایدار پیشرفته) است.

البته فرض اینکه این حملات، اقدام گروه‌های سازمان نیافته و غیر وابسته به دولت‌ها باشند نیز بعید نیست، اما با توجه به گستردگی و مقیاس حملات یادشده، گروه‌های کوچک هکری معمولاً به‌تنهایی این قابلیت را ندارند. درعین‌حال، برخی دولت‌ها سعی می‌کنند با اجیر کردن این هکرها، فعالیت‌های سایبری خود را انجام دهند و همزمان، ردی نیز از خود برجای نگذارند و از این طریق، همه اتهاماتی را که متوجه آن‌ها است، از خود دور می‌کنند. باید افزود که یکی از نگرانی کشورها و سازمان‌ها، افزایش گروه‌های هکری سازمان نیافته است که به علت منسجم نبودن، یافتن و ردیابی آن‌ها نیز بسیار دشوار است.

 

حمله بزرگ هکری "پتیا" به بانک‌ها و فرودگاه‌ها و شرکت‌های نفتی اروپا

رسانه های مشهور دنیا از حمله باج افزاری دیگری به نام پتیا به زیرساختهای کشورهای اروپایی خبر دادند.

به گزارش خبرگزاری تسنیم، بعد از باج افزار واناکرای، این بار باج افزار دیگری به نام پتیا، رایانه‌هایی را در بزرگ‌ترین شرکت نفتی روسیه، بانک‌های اروپایی و فرودگاه‌های اوکراین، هدف قرار داد.

برخی از قربانیان این باج افزار در اوکراین اعلام کردند هکرها بعد از قفل‌کردن رایانه‌ها درخواست 300 دلار باج کردند.

همچنین از قربانیان دیگر این باج افزار می‌توان به شرکت کشتیرانی دانمارک، شرکت سازنده فلز ارواز روسیه، شرکت تولید مواد سینت گوبین فرانسه اشاره کرد.

قربانیان دیگر بر اساس اعلام رسانه ها، نیروگاه هسته ای چرنوبیل، سیستم های متروی اوکراین و بانک های اوکراین بوده است.

 

تمسخر امنیت سایبری جهانی توسط پتیا

باج افزار پتیا شرکت‌های بزرگ جهان را هدف قرار داد و بار دیگر امنیت سایبری را در دنیا به باد تمسخر گرفت.

به گزارش واحد هک و نفوذ سایبربان؛ این باج افزار قدیمی که ظاهراً مجدداً آغاز به فعالیت کرده و شباهت‌هایی نیز با باج افزار واناکرای دارد، صنایع و زیرساخت‌های گسترده‌ای را در اوکراین، روسیه، انگلستان و تعدادی دیگر از کشورهای جهان هدف قرار داد.

بنا به گزارش‌های اولیه، شرکت‌های معتبری در این حمله، مورد تهاجم قرار گرفته‌اند و همین موضوع، نشان از اهمیت بالای این باج افزار دارد. بسیاری از شرکت‌هایی که در گزارش‌های اولیه، نام آن‌ها در لیست قربانیان قرار گرفت، وقوع این حمله سایبری را تائید کرده و اعلام کرده‌اند که اطلاعات آن‌ها، مورد نفوذ واقع شده است.

در میان بزرگانی که موردتهاجم این باج افزار واقع شده‌اند، شرکت‌هایی نظیر روس نفت، بزرگ‌ترین تولیدکننده نفت روسیه، مائرسک، یکی از غول‌های کشتی‌رانی اتریشی، شرکت Wpp به‌عنوان یکی از بزرگ‌ترین شرکت‌های تبلیغاتی انگلیسی، بانک روسیه، حجم بالایی از بانک‌های اوکراینی، فرودگاه بین‌المللی اوکراین و بسیاری از شرکت‌های آلمانی و فرانسوی به چشم می‌خورند که البته آمار این شرکت‌ها نیز در حال افزایش است.

 


روش‌های پلیس فتا برای پیشگیری از نفوذ باج‌افزار پتیا
تاکنون هیچ رمزگشای قابل اطمینانی برای بازگردانی فایل‌های آلوده به باج‌افزار پتیا وجود ندارد و فعلا پیشگیری، بهترین راه‌حل است.
 باج‌افزار Petya از سال 2016 شروع به فعالیت کرده است و نسخه تغییر یافته این باج‌افزار از تاریخ 27 ژون 2017 شروع به انتشار کرده که تعداد زیادی از سازمان‌ها را آلوده کرده است. این باج‌افزار مانند باج‌افزار WannaCry از آسیب پذیری SMB، برای گسترش خود استفاده می‌کند. شرکت Symantec و Norton ادعا کرده‌اند که محصولات آن‌ها از گسترش این باج‌افزار در استفاده از آسیب پذیری مذکور محافظت می‌کند. هم‌چنین Symantec این باج‌افزار را تحت عنوان Ransom.Petya شناسایی می‌کند.
شرکت Avast نیز اعلام کرده است که آنتی‌ویروس آن‌ها قادر به شناسایی و حذف این باج‌افزار است به این صورت که اگر  سیستم توسط این باج‌افزار آلوده شد، آن را شناسایی، قرنطینه و از بین می‌برد و همچنین از ورود آن به سیستم هم جلوگیری می‌کند.

تفاوت این باج‌افزار با سایر باج‌افزارها در این است که علاوه بر رمز نگاری فایل‌ها، جدول boot record یا همان MBR را نیز رمز  نگاری می‌کند. در حملات روز گذشته، این باج‌افزار متن زیر در سیستم آلوده شده نمایش داده می‌شود که در آن درخواست 300 دلار به صورت بیت کوین برای رمزگشایی فایل‌ها شده است:
به گزارش پایگاه اطلاع رسانی پلیس فتا، باج‌افزار Petya از آسیب پذیری MS17-010 (که به عنوان Eternal Blue نیز شناخته می‌شود) برای انتشار خود استفاده می‌کند.   تا زمان تدوین این گزارش، عمدتا کشورهای اروپایی درگیر این باج‌افزار شده‌اند و در این میان کشور اوکراین بیشترین میزان آلودگی تا کنون را داشته است ازجمله مترو کیِف، بانک ملی اوکراین، چندین فرودگاه و... و. تاکنون 36 تراکنش بیت کوین برای آدرس بیت کوین مربوط به این باج‌افزار ثبت شده است و مبلغ آن حدود 3.63676946 بیت کوین معادل حدود 8900 دلار است.
 تعدادی از کمپانی های چند ملیتی مانند Nivea،  Maersk،  WPP،  Mondelez نیز خبر از آلودگی به این باج‌افزار داده اند. تا این  زمان مشخص نشده است که اهداف این باج‌افزار سازمان‌ها و ارگان‌های خاصی باشد اما نسخه قبلی این باج‌افزار به منظور حمله به سازمان‌ها طراحی شده بود.
اگر فایل‌های یک سیستم توسط این باج‌افزار رمز شود روشی برای بازگرداندن آن‌ها وجود ندارد و متاسفانه تا کنون هیچ رمزگشای قابل اطمینانی برای بازگردانی فایل‌ها وجود ندارد و فعلا پیشگیری، بهترین راه‌حل است. حتی پرداخت وجه مورد درخواست تضمینی برای رمزگشایی فایل‌ها نیست.
باج‌افزار Petya به منظور آلودگی گسترده طراحی شده است و برای این منظور از آسیب پذیری EternalBlue استفاده می‌کند. زمانی که استفاده از آسیب پذیری با موفقیت انجام شد، باج‌افزار خود را در سیستم هدف در شاخه C:\Windows کپی کرده و با بکارگیری rundll32.exe شروع به اجرای خود می‌کند. سپس این باج‌افزار شروع به رمزنگاری فایل‌ها و MBR کرده و یک زمانبند برای ریبوت کردن سیستم بعد از یک ساعت به کار می‌گیرد.
رمزنگاری مورد استفاده این باج‌افزار AES-128 with RSA است. فایل‌های با فرمت زیر مورد حمله این باج‌افزار قرار می‌گیرد:
.3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip
همچنین سعی می‌کند که Event log را نیز به منظور مخفی کردن اثرات خود پاک کند. پس از ریبوت شدن سیستم پیغام زیر مبنی بر چک کردن سیستم و سپس صفحه اصلی درخواست باج ظاهر می‌شود:

روش‌های پیشنهادی به منظور پیشگیری از ابتلا به باج‌افزار:
سیستم ویندوز باید توسط آخرین وصله‌های امنیتی بروزرسانی شود.
قبل از بازکردن فایل‌های پیوست ایمیل، باید از فرستنده آن مطمئن شد.
پروتکل SMB غیر فعال شود  و patch  MS17-010 از سایت ماکروسافت دریافت و نصب شود.
پورت های 445 و 139 بر روی فایروال بسته شود.
غیر فعال کردن اسکریپت‌های ماکرو از فایل‌های آفیسی که از ایمیل دریافت می‌شود. (به جای باز کردن فایل‌های آفیس با استفاده از نسخه کامل آفیس، از office viewer استفاده شود)
فراهم کردن فیلترینگ مناسب و قوی برای فیلترکردن اسپم و جلوگیری از ایمیل‌های فیشینگ.
اسکن تمامی ایمیل‌های ورودی و جروجی برای شناسایی تهدیدات و فیلتر کردن فایل‌های اجرایی برای کاربران.
Patch کردن سیستم عامل ها، نرم‌افزار،  firm ware، و تجهیزات.

ملاحظات:

بک‌آپ‌گیری دوره‌ای از اطلاعات حساس
اطمینان از اینکه بک‌آپ‌ها به صورت مستقیم به کامپیوتر و شبکه‌ای که از آن بک‌آپ گرفته می‌شود وصل نیست.
ذخیره کردن بک‌آپ‌ها بر روی cloud و همچنین فضای ذخیره‌سازی فیزیکی آفلاین؛ بعضی از باج‌افزارها این قابلیت را دارند که  بک‌آپ‌های تحت cloud را نیز lock کنند. (بک‌آپ‌ها  بهترین روش برای بازگرداندن داده‌های رمز شده توسط باج‌افزار هستند. البته با توجه به اینکه سرورهای cloud  در خارج از کشور ما هستند لذا ذخیره بک‌آپ‌ها به این روش در کشور ما نیاز به رعایت  ملاحظات امنیتی دارد و می‌تواند مورد استفاده قرار گیرد.)