ویروس باجگیر petya را بیشتر بشناسید

انتشار: 6 بهمن 1395

دسته بندی: امنیت

‫از آنجایی که باجگیرها یا باج افزارها، مانند ویروس ها یک گروه خاص در میان انواع برنامه های مخرب (بدافزارها) هستند، استفاده از ترکیب “ویروس باجگیر” و به طور کلی استفاده از لغت “ویروس” برای هر بدافزاری با وجود رایج بودنش اشتباه است.

بهترین راه مقابله با یک اقدام خرابکارانه آگاهی کافی است. در این مقاله نتیجه تحلیل متخصصین F-Secure بر روی باج افزار Petya را مرور می‌کنیم.

باج افزار Petya به دلیل ایجاد صفحه آبی مرگ (Bsod) به وسیله بازنویسی توجه کارشناسان امنیت را به خود جلب نموده است.

در حال حاضر کمپانی F-Secure یک پیام هشدار، که اشتراک‌گذاری نتایج تحلیل و بررسی خود بر روی این باج افزار می باشد را ارائه نموده است.

بر خلاف سایر باج افزارها این بدافزار به جای فایل‌ها، کل حافظه و جدول سیستم فایل‌های اصلی (MFT) را رمزنگاری نموده و دسترسی به کلیه فایل‌ها را برای سیستم عامل غیر ممکن و دستگاه را بلااستفاده می کند.

MFT حداقل شامل یک ورودی برای کلیه فایل‌ها از جمله خود MFT است. این باج افزار جدول فایل سیستمهای اصلی (MFT) را رمزنگاری می‌کند. به این معنی که سیستم قادر به دسترسی به فایل‌هایی که بر روی آن قراردارد نمی‌باشد. این باج افزار خود را بر روی Disk’s Master Boot Record (MBR) به عنوان یک Bootkit نصب می‌نماید اما به جای اقدامات پنهانی، یک صفحه قرمز با دستورالعمل این که چگونه سیستم را بازگردانی کنید نمایش می‌دهد.”

چرا MFT رمزنگاری می شود؟

زیرا رمزنگاری یک MFT بسیار کوتاهتر از از رمزنگاری کلیه فایل های یک سیستم بوده و نتیجه نیز مشابه است. حتی اگر به وسیله سیستم‌های ریکاوری MBR را بازگردانی نمایید هیچ کمکی نمی‌کند، زیرا همچنان MFT در حالت رمزنگاری شده باقی می‌ماند.

یک حمله عادی توسط سایر باج افزارها بسیار آهسته تر از حمله توسط باج افزار Petya اتفاق می‌افتد، یعنی قربانی که در جریان حمله قرار بگیرد نمی تواند اثرات مخرب بدافزار را محدودتر نماید.

Petya قادر است در مدت زمان کوتاهیMFT را مقایسه نموده و موجب غیرفعالسازی سیستم و اجبار در راه اندازی مجدد آن شود. طبق گفته های متخصصین F-Secure، هیچ زمانی برای کاهش اقدامات این باج گیر وجود ندارد.

یک اثر دیگر از آلودگی با Petya این است که قربانی باید برای پرداخت وجه به باج افزار از یک سیستم دیگر به جز سیستم خودش استفاده نماید.

Petya در دو مرحله عمل می کند. در گام اول عملیات زیر را انجام می دهد :

– آلوده کردن MBR با استفاده از دستکاری در Physical Drive

– تولید مجموعه ای از کلید‌های رمزنگاری، شامل کلید رمزنگاری دیسک 16-Byte با کاراکترهای Ascii. همچنین از کدهای رمزنگاری خاصی استفاده می‌کند که این کدها شامل کلید اصلی رمزنگاری بوده و تنها سرور می‌تواند آن را باز کند.

– برای آلوده نمودن MBR در آینده کلید رمزنگاری را در حافظه ذخیره می‌کند.

– دستگاه را بدون هیچ اطلاعی خاموش می‌کند تا سیستم را برای راه اندازی MBR آماده نماید.

در فاز دوم، هنگامی که سیستم را آلوده کرد، دستگاه مجبور به راه اندازی کدهای MBR می شود که :

– ابتدا آلوده شدن دیسک را مورد بررسی قرار می‌دهد.

– در صورتی که جواب منفی باشد، یک صفحه Chkdsk غیرواقعی نمایش داده می شود و برای رمزنگاریMFT از یک کلید مخفی استفاده می نماید.

– با استفاده از Salsa20 حافظه را رمزنگاری نموده و پس از آن کلید را از بین می برد.

– یک صفحه قرمز Skull Screen و سپس بر روی صفحه، سرویس‌های Urls مخفی و کد رمزگشایی نمایش داده می‌شود که تنها توسط سرور قابل بازگشایی است.

باج افزار Petya برای رمزنگاری فایل‌ها از ابزارهای منحنی سفارشی بیضوی استفاده می‌کند که با یک کلید عمومی 192-Bit و یک Secp192k1 و پارامترهای Hardcoded در کد آن استفاده می‌کند.

نویسندگان این باج افزار قصد دارند اوضاع را بحرانی‌تر کنند. لذا Petya مکانیزمی برای پرداخت به باج افزار ندارد، بلکه به جای آن تنها یک Url با قربانی به اشتراک می‌گذارد.

” تا حدودی، پرداخت وجه به باج افزار برای کاربر سخت تر می شود. به عبارتی نویسندگان Petya شانس خود را برای سود بردن از این باج‌افزار کاهش داده‌اند. به عنوان نتیجه، میزان کسب درآمد و موفقیت نویسندگان باج افزار Petya در استفاده از تکنیک مشابه به طور گسترده بسیار موثر است. ”

این امر حائز اهمیت است که تنها سرور قادر به بازگردانی کلید رمزنگاری استفاده شده در رمزنگاری فایل ها با الگوریتم EC می باشد.

“تنها راهی که بدون نیاز به کمک سرور امکان بازگردانی فایل ها را فراهم می‌سازد، استفاده از کلید Salsa20 در فرآیند آلودگی با استفاده از دیباگر است، که برای بیشتر کاربران کامپیوتر عملیات جالبی به حساب نمی‌آید.”

در اوایل 2016، باج افزارهای مخربی مانند Teslacrypt , Locky , Cryptowall , Locky And Samas مشاهده شدند که کامپیوتر های شخصی و سیستم های مراکز بهداشتی و درمانی را در سرتاسر جهان آلوده نمودند. باج افزار نمونه ای از نرم افزارهای مخرب است که کامپیوتر ها را آلوده و دسترسی کاربران به آن را محدود نموده تا هنگامی که باج درخواستی به آن پرداخت شود و سیستم را آزاد نماید.

سازمان امنیت داخلی ایالات متحده (Dhs)، در همکاری با مرکز سایبری کانادا (Ccirc)، یک پیام هشدار برای ارائه اطلاعات بیشتر از باج افزارها منتشر نموده که به طور خاص بر روی ویژگی اصلی باج افزارها، شیوع و امکان تکثیر آن، راه های پیشگیری و کاهش ابتلا به آن را ارائه نموده است.