باج افزار جدیدی که سراغ MBR می رود
در سال گذشته، سر در آوردن از روش های رمزگذاری، دسترسی به شبکه های اینترنتی ناشناس و پرداخت باج با ارزهای مجاری به اندازه کافی برای کاربران آلوده به باج افزارها (Ransomware) سخت و دشوار بوده است ولی اکنون نوع جدیدی از این بدافزارها ظهور کرده که با قطع کامل دسترسی کاربر به کامپیوتر، وضعیت را پیچیده تر و غیرممکن تر می کند.
باج افزار جدیدی به نام Petya در بین کاربران آلمانی مشاهده شده که اقدام به رمزگذاری بخش MBR یا Master Boot Record دیسک سخت می کند. در این حالت، کامپیوتر غیرقابل راه اندازی (Boot) خواهد بود.
بخش MBR در قسمت (Sector) های ابتدایی دیسک سخت ذخیره و نگهداری می شود. این بخش شامل اطلاعاتی درباره ساختار (Partition) دیسک و برنامه ای که سیستم عامل را به اجرا در می آورد، می باشد. بدون یک MBR سالم و صحیح، کامپیوتر نمی داند که سیستم عامل بر روی کدام قسمت از دیسک سخت است و چگونه باید راه اندازی و اجرا شود.
به گزارش شرکت شید افزار رایانه به نقل از شرکت ضدویروس Trend Micro، باج افزار Petya از طریق ایمیل های ناخواسته و مزاحم (هرزنامه یا Spam) که در ظاهر حاوی درخواست استخدام می باشد و معمولاً به نشانی بخش منابع انسانی سازمانها و شرکتها ارسال می شوند، منتشر می شود.
داخل این ایمیل های مخرب، پیوندی به یک شاخه به اشتراک گذاشته شده بر روی سرویس Dropbox وجود دارد. این پیوند به یک فایل فشرده هدایت می شود که در ظاهر حاوی مشخصات متقاضی استخدام و عکس او است. در صورت دریافت و اجرای فایل فشرده، باج افزار Petya نصب و فعال می گردد.
سرویس Dropbox فضای ذخیره سازی و به اشتراک گذاری فایل به روش ابری (Cloud) را به کاربران ارائه می کند.
باج افزار ابتدا بخش MBR را بازنویسی می کند و سپس یک خطای سیستم عامل حاد ایجاد می کند تا سیستم عامل وادار به راه اندازی مجدد (reboot) شود. با راه اندازی مجدد کامپیوتر، MBR جعلی اقدام به اجرای دروغین برنامه CHKDSK (برای عیب یابی دیسک سخت) می کند.
در مدت نمایش دروغین عیب یابی دیسک، باج افزار اقدام به رمزگذاری فایلی به نام MFT یا Master File Table می کند. این یک فایل خاص در بخش NTFS دیسک است و حاوی جزئیات همه فایلهای موجود بر روی دیسک می باشد. این جزئیات شامل نام، حجم و محل قرار گرفتن هر فایل بر روی دیسک می شود.
بر خلاف باج افزارهایی که تابحال مشاهده شده است، باج افزار Petya اقدام به رمزگذاری خود فایل ها که می تواند بسیار زمانبر باشد، نمی کند. ولی با رمزگذاری فایل MFT، سیستم عامل دیگر نمی تواند محل قرار گرفتن فایلها بر روی دیسک را پیدا کند.
به همین دلیل، با کمک ابزارهای بازیابی دیسک و فایل، همچنان امکان خواندن فایلها بر روی دیسک آلوده به باج افزار Petya وجود دارد. ولی بازیابی صحیح و کامل فایلها بسیار دشوار، طاقت فرسا و غیرقابل اطمینان است.
پس از رمزگذاری فایل MFT، باج افزار Petya اقدام به نمایش پیام باجگیری از کاربر می کند. این پیام به همراه یک تصویر جمجمه که با حروف ASCII ساخته شده، نمایش داده می شود. در این پیام از کاربر خواسته می شود که به سایتی در شبکه اینترنتی ناشناس (Tor) مراجعه کرده و شماره منحصربفردی را که نشان دهنده کامپیوتر کاربر به باجگیران است، وارد کند.
مبلغ درخواستی برای دریافت کلید بازگشایی فایل رمز شده، حدود یک بیتکوین (Bitcoin) است. یک واحد از ارز مجازی بیتکوین هم اکنون حدود ۴۳۰ دلار آمریکا ارزش دارد.
همانطور که در ابتدا اشاره شد، باج افزار Petya فعلا در ابتدای راه است و تنها در بین کاربران کشور آلمان مشاهده شده است. ولی مانند دیگر باج افزارها به تدریج و با کسب درآمد بیشتر، امکانات و منابع بیشتری برای انتشار گسترده تر در اختیار خواهد داشت.
http://sheedantivirus.ir/1395/01/14/%D8 ... %88%D8%AF/
باج افزار جدیدی که سراغ mbr می رود
باج افزار Petya هارددیسک شما را از بین میبرد
به نظر میرسد که سال ۲۰۱۶ را باید سال باج افزارها نامگذاری شود. زیرا مجموعه برنامهها و نسخه های جدیدی از این دست مانند قارچ رشد و نمو کردهاند.
به گزارش ایتنا از کسپرسکی آنلاین، باج افزارها با سرعت به سمت تکامل پیش می روند. نسخههای جدید باج افزارها با استفاده از کلیدهای قدرتمند رمز گذاری نامتقارن و طولانی همراه هستند که باعث می شوند فایلها بدون کلید هرگز باز نشوند. مجرمین سایبری به علت استفاده از TOR و پرداخت پولهای مجازی کاملا ناشناس باقی مانده اند. اما در حال حاضر بدافزار Petya به جای رمزگذاری فایلها از رمزگذاری بر طیف وسیع هارد دیسک استفاده می کند.
Petya چگونه وارد رایانه میشود
این باج افزار عمدتا کاربرانی که با کسب و کار در ارتباط هستند را مورد هدف قرار می دهد، به این شکل که در یک ایمیل اسپم برنامه های کاربردی ارسال می کند. سناریوی این آلودگی به روش زیر است:
یک کارمند منابع انسانی ایمیلی از فردی که تقاضای کار دارد دریافت می کند. ایمیل حاوی یک لینک Dropbox می باشد که ظاهرا دارای رزومه فرد است اما در حقیقت این یک فایل EXE یا اجرائی می باشد.
آنها بر روی فایل کلیک می کنند اما هرگز با رزومه روبرو نخواهند شد و در عوض با یک صفحه آبی مواجه می شوند. این بدان معناست که بدافزار Petya راه خود را به رایانه کاربر پیدا کرده است و کار خود را آغاز خواهد کرد.
هارد دیسک شما دیگر متعلق به ما است!
این باج افزار به صورت مشترک معمولا بر روی فایلهای خاصی از قبیل تصاویر، اسناد آفیس و غیره رمز گذاری می کند اما به سیستم عامل هیچ آسیبی وارد نمی کند تا قربانی بتواند باج را از این طریق پرداخت کند. عملکرد Petya هم بسیار بی رحمانه است و کاربر نمی تواند دسترسی آن به هارد دیسک را مسدود و یا حتی محدود کند.
در این مورد اصلا اهمیتی ندارد که هارد دیسک شما چگونه سازمان یافته باشد یا دارای تعداد یک درایو یا بیشتر باشد، در اینجا شما با فضائی نامرئی همراه خواهید بود که با نام Master Boot Record (MBR) شناخته می شود. این بخش شامل اطلاعاتی در مورد تعداد درایوها و شکل آنها می باشد که دارای یک کد خاص برای راه اندازی سیستم عامل می باشد که Boot loader نامیده می شود.
boot loader همیشه قبل از سیستم عامل اجرا می شود و این دقیقا همان بخشی است که Petya آلوده می کند. این باج افزار boot loader را تغییر می دهد و باعث می شود که با هر بار اجرا شدن boot loader بخشی از کدهای مخرب Petya بر روی رایانه نصب شوند.
در این شرایط برای کاربر به نظر می رسد Check Disk در حال اجرا می باشد که پس از نمایش پیام OK سیستم عامل سقوط خواهد کرد. اما کاری که Petya انجام می دهد رمزگذاری بر روی جدول اصلی فایلها می باشد که این هم بخش پنهان دیگری از هارد دیسک شما است. این جدول شامل تمام اطلاعات چگونگی فایلها و پوشه ها است.
فکر کنید هارد دیسک شما مانند یک کتابخانه وسیع شامل میلیون ها و یا حتی میلیاردها کتاب باشد و جدول فایلهای اصلی مانند یک شاخص در کتابخانه می باشد. حال واقع گرایانه تر به این موضوع نگاه می کنیم: بر روی هارد دیسک همه چیز به صورت انبوه و تصادفی در بخشهای مختلف ذخیره می شود.
کاری که باج افزار Petya انجام می دهد این است که شاخص این کتابخانه را به سرقت می برد.
زمانیکه باج افزار برای یک بار این کار را انجام داد چهره Petya به شکل یک جمجمه ساخته شده از کدهای ASCII بر روی صفحه نمایش دیده می شود. سپس روال معمول خود را آغاز خواهد کرد: این بدافزار کاربران را ملزم می کند که از (۰.۹ پول مجازی معادل حدودی ۳۸۰$) برای رمزگشائی هارد دیسک و دریافت فایلها پرداخت کند.
تنها تفاوت بین Petya و دیگر باج افزارها در این است که Petya به صورت آفلاین هم فعال است که همین امر باعث می شود براحتی سیستم عامل را تحت کنترل در آورد و کاربر مجبور می شود در برخی موارد برای پرداخت باج و دریافت اطلاعات خود از رایانه دیگری اقدام کند.
مقابله با باج افزار Petya
متاسفانه تاکنون محققان امنیتی راهی برای رمزگشائی اطلاعات باج افزار Petya پیدا نکرده اند. با این حال می توان کارهایی انجام داد که از اطلاعات خود در برابر انتشار Petya جلوگیری کنید. خبر خوبی هم که در مورد این باج افزار وجود دارد این است که Dropbox آرشیو مخرب باج افزار Petya را از ابر ذخیره ساز خود حذف کرده است. بنابراین مجرمان سایبری باید برای توزیع این بدافزار راههای دیگری پیدا کنند و خبر بد هم این است که پیدا کردن راه جدید زمانی طولانی نخواهد داشت.
حال به ایجاد روشهای امنیتی باز می گردیم. در این شرایط کاربر چه کاری می تواند انجام دهد؟
۱. هنگامیکه کاربر صفحه آبی را مشاهده می کند ممکن است تمام اطلاعاتش تخریب نشده باشد، چون احتمال دارد Petya رمزگذاری جدول اصلی فایلها را آغاز نکرده باشد. پس اگر صفحه آبی رنگ را مشاهده کردید، سیستم را مجدد راه اندازی کرده و چک دیسک را آغاز کنید و بلافاصله سیستم را خاموش کنید. در این مرحله می توانید هارد دیسک خود را باز کرده و به رایانه دیگری متصل کنید (اما هرگز از آن به عنوان boot استفاده نکنید!) پس از این فایلهای خود را بازیابی کنید.
۲. Petya فقط MFT را رمزگذاری می کند و فایلها را بدون دستکاری رها می کند. فایلها هم توسط یک متخصص قابل بازیابی هستند. این روش می تواند وقت گیر و پیچیده باشد و در انتها هم باید بابت آن پول خوبی پرداخت کنید اما کاری شدنی است. اما سعی نکنید این کار را به تنهایی در منزل انجام دهید چون یک اشتباه کوچک می تواند فایلهای شما را برای همیشه از بین ببرد.
۳. بهترین راه برای محافظت از خود استفاده از یک طرح امنیتی مناسب می باشد. Kaspersky Internet Security اجازه نمی دهد که ایمیلهای اسپم وارد رایانه شما شوند و تحت این شرایط طبیعتا لینکهای Petya هم نمی توانند برایتان خطرساز شوند. حتی اگر Petya به شکلی پنهانی هم وارد رایانه شود، Kaspersky Internet Security تروجان Ransom.Win۳۲.Petr را براحتی مسدود می کند و این کاری است که تمام برنامه های ضد ویروس کسپرسکی انجام می دهند.
http://itna.ir/fa/doc/news/42083/%D8%A8 ... 8%B1%D8%AF
به نظر میرسد که سال ۲۰۱۶ را باید سال باج افزارها نامگذاری شود. زیرا مجموعه برنامهها و نسخه های جدیدی از این دست مانند قارچ رشد و نمو کردهاند.
به گزارش ایتنا از کسپرسکی آنلاین، باج افزارها با سرعت به سمت تکامل پیش می روند. نسخههای جدید باج افزارها با استفاده از کلیدهای قدرتمند رمز گذاری نامتقارن و طولانی همراه هستند که باعث می شوند فایلها بدون کلید هرگز باز نشوند. مجرمین سایبری به علت استفاده از TOR و پرداخت پولهای مجازی کاملا ناشناس باقی مانده اند. اما در حال حاضر بدافزار Petya به جای رمزگذاری فایلها از رمزگذاری بر طیف وسیع هارد دیسک استفاده می کند.
Petya چگونه وارد رایانه میشود
این باج افزار عمدتا کاربرانی که با کسب و کار در ارتباط هستند را مورد هدف قرار می دهد، به این شکل که در یک ایمیل اسپم برنامه های کاربردی ارسال می کند. سناریوی این آلودگی به روش زیر است:
یک کارمند منابع انسانی ایمیلی از فردی که تقاضای کار دارد دریافت می کند. ایمیل حاوی یک لینک Dropbox می باشد که ظاهرا دارای رزومه فرد است اما در حقیقت این یک فایل EXE یا اجرائی می باشد.
آنها بر روی فایل کلیک می کنند اما هرگز با رزومه روبرو نخواهند شد و در عوض با یک صفحه آبی مواجه می شوند. این بدان معناست که بدافزار Petya راه خود را به رایانه کاربر پیدا کرده است و کار خود را آغاز خواهد کرد.
هارد دیسک شما دیگر متعلق به ما است!
این باج افزار به صورت مشترک معمولا بر روی فایلهای خاصی از قبیل تصاویر، اسناد آفیس و غیره رمز گذاری می کند اما به سیستم عامل هیچ آسیبی وارد نمی کند تا قربانی بتواند باج را از این طریق پرداخت کند. عملکرد Petya هم بسیار بی رحمانه است و کاربر نمی تواند دسترسی آن به هارد دیسک را مسدود و یا حتی محدود کند.
در این مورد اصلا اهمیتی ندارد که هارد دیسک شما چگونه سازمان یافته باشد یا دارای تعداد یک درایو یا بیشتر باشد، در اینجا شما با فضائی نامرئی همراه خواهید بود که با نام Master Boot Record (MBR) شناخته می شود. این بخش شامل اطلاعاتی در مورد تعداد درایوها و شکل آنها می باشد که دارای یک کد خاص برای راه اندازی سیستم عامل می باشد که Boot loader نامیده می شود.
boot loader همیشه قبل از سیستم عامل اجرا می شود و این دقیقا همان بخشی است که Petya آلوده می کند. این باج افزار boot loader را تغییر می دهد و باعث می شود که با هر بار اجرا شدن boot loader بخشی از کدهای مخرب Petya بر روی رایانه نصب شوند.
در این شرایط برای کاربر به نظر می رسد Check Disk در حال اجرا می باشد که پس از نمایش پیام OK سیستم عامل سقوط خواهد کرد. اما کاری که Petya انجام می دهد رمزگذاری بر روی جدول اصلی فایلها می باشد که این هم بخش پنهان دیگری از هارد دیسک شما است. این جدول شامل تمام اطلاعات چگونگی فایلها و پوشه ها است.
فکر کنید هارد دیسک شما مانند یک کتابخانه وسیع شامل میلیون ها و یا حتی میلیاردها کتاب باشد و جدول فایلهای اصلی مانند یک شاخص در کتابخانه می باشد. حال واقع گرایانه تر به این موضوع نگاه می کنیم: بر روی هارد دیسک همه چیز به صورت انبوه و تصادفی در بخشهای مختلف ذخیره می شود.
کاری که باج افزار Petya انجام می دهد این است که شاخص این کتابخانه را به سرقت می برد.
زمانیکه باج افزار برای یک بار این کار را انجام داد چهره Petya به شکل یک جمجمه ساخته شده از کدهای ASCII بر روی صفحه نمایش دیده می شود. سپس روال معمول خود را آغاز خواهد کرد: این بدافزار کاربران را ملزم می کند که از (۰.۹ پول مجازی معادل حدودی ۳۸۰$) برای رمزگشائی هارد دیسک و دریافت فایلها پرداخت کند.
تنها تفاوت بین Petya و دیگر باج افزارها در این است که Petya به صورت آفلاین هم فعال است که همین امر باعث می شود براحتی سیستم عامل را تحت کنترل در آورد و کاربر مجبور می شود در برخی موارد برای پرداخت باج و دریافت اطلاعات خود از رایانه دیگری اقدام کند.
مقابله با باج افزار Petya
متاسفانه تاکنون محققان امنیتی راهی برای رمزگشائی اطلاعات باج افزار Petya پیدا نکرده اند. با این حال می توان کارهایی انجام داد که از اطلاعات خود در برابر انتشار Petya جلوگیری کنید. خبر خوبی هم که در مورد این باج افزار وجود دارد این است که Dropbox آرشیو مخرب باج افزار Petya را از ابر ذخیره ساز خود حذف کرده است. بنابراین مجرمان سایبری باید برای توزیع این بدافزار راههای دیگری پیدا کنند و خبر بد هم این است که پیدا کردن راه جدید زمانی طولانی نخواهد داشت.
حال به ایجاد روشهای امنیتی باز می گردیم. در این شرایط کاربر چه کاری می تواند انجام دهد؟
۱. هنگامیکه کاربر صفحه آبی را مشاهده می کند ممکن است تمام اطلاعاتش تخریب نشده باشد، چون احتمال دارد Petya رمزگذاری جدول اصلی فایلها را آغاز نکرده باشد. پس اگر صفحه آبی رنگ را مشاهده کردید، سیستم را مجدد راه اندازی کرده و چک دیسک را آغاز کنید و بلافاصله سیستم را خاموش کنید. در این مرحله می توانید هارد دیسک خود را باز کرده و به رایانه دیگری متصل کنید (اما هرگز از آن به عنوان boot استفاده نکنید!) پس از این فایلهای خود را بازیابی کنید.
۲. Petya فقط MFT را رمزگذاری می کند و فایلها را بدون دستکاری رها می کند. فایلها هم توسط یک متخصص قابل بازیابی هستند. این روش می تواند وقت گیر و پیچیده باشد و در انتها هم باید بابت آن پول خوبی پرداخت کنید اما کاری شدنی است. اما سعی نکنید این کار را به تنهایی در منزل انجام دهید چون یک اشتباه کوچک می تواند فایلهای شما را برای همیشه از بین ببرد.
۳. بهترین راه برای محافظت از خود استفاده از یک طرح امنیتی مناسب می باشد. Kaspersky Internet Security اجازه نمی دهد که ایمیلهای اسپم وارد رایانه شما شوند و تحت این شرایط طبیعتا لینکهای Petya هم نمی توانند برایتان خطرساز شوند. حتی اگر Petya به شکلی پنهانی هم وارد رایانه شود، Kaspersky Internet Security تروجان Ransom.Win۳۲.Petr را براحتی مسدود می کند و این کاری است که تمام برنامه های ضد ویروس کسپرسکی انجام می دهند.
http://itna.ir/fa/doc/news/42083/%D8%A8 ... 8%B1%D8%AF