نویسنده‌ی واقعی باج‌افزار پِتیا برای کمک به قربانیان باج‌افزار NotPetya وارد عمل شده است

نویسنده‌ی باج‌افزار اصلی پِتیا برگشته است. تقریباً پس از 6 ماه سکوت، نویسنده‌ی باج‌افزار اصلی پِتیا امروز در توییتر حاضر شده و می‌خواهد به قربانیان باج‌افزار NotPetya کمک کند تا پرونده‌های رمزنگاری‌شده‌ی خود را بازیابی کنند. گفته می‌شود باج‌افزار جدید، نسخه‌ای از باج‌افزار قدیمی پِتیا است. 

 

ژانوس که خود را نویسنده‌ی باج‌افزار پِتیا معرفی کرده، در توییت خود گفته است: «من برگشته‌ام تا نگاهی به باج‌افزار NotPetya بیندازم. به احتمال زیاد با کلیدهای خصوصی که در دست ماست، می‌توانیم این رمزنگاری و باج‌افزار را بشکنیم. لطفاً 1 مگابیت از پرونده‌ها را از یک ماشین آلوده بارگذاری کنید، شاید بتوانم کمکی بکنم.»

 

این بیانیه که توسط نویسنده‌ی باج‌افزار پِتیا منتشر شده، این گمانه‌زنی‌ها را به‌وجود آورده که شاید آن‌ها کلیدهای اصلی رمزگشایی را در دست دارند و می‌توانند پرونده‌های رمزنگاری‌شده با نسخه‌ی جدید باج‌افزار را نیز رمزگشایی کرده و به قربانیان آن در سراسر جهان کمک کنند. ژانوس در ماه مارس سال 2016 میلادی، باج‌افزار پِتیا را در قالب باج‌افزار به‌عنوان سرویس به نفوذگران دیگر فروخته است. باج‌افزار پِتیا مانند هم‌خانواده‌های خود به‌گونه‌ای طراحی شده که پرونده‌های قربانی را رمزنگاری کرده و در ازای دریافت باج، آن‌ها را رمزگشایی می‌کند. 

 

به‌عبارت دیگر هرکسی با خریداری باج‌افزار پِتیا و کلیک بر روی یک دکمه، می‌تواند پرونده‌های یک سامانه را رمزنگاری کرده و باج درخواست کند. اگر قربانی تصمیم بگیرد که باج را پرداخت کند، بخشی از این باج به ژانوس تعلق خواهد گرفت. با این‌حال از ماه دسامبر ژانوس در افق محو شده بود و خبری از او در دست نبود. 

 

با این حال از روز سه‌شنبه، سامانه‌های مهم و حیاتی و زیرساخت‌های اساسی در کشور اوکراین و 64 کشور دیگر، تحت یک حمله‌ی شدید سایبری قرار گرفته‌اند که بسیار مشابه به باج‌افزار «گریه» بوده و هزاران دستگاه را در سراسر جهان آلوده کرده است. در حال حاضر گفته می‌شود، عامل اصلی این حمله باج‌افزاری به نام NotPetya است که از باج‌افزار پِتیا مشتق شده است. 

 

روز گذشته محققان امنیتی به این نتیجه رسیده‌اند که بدافزار NotPetya عملاً انگیزه‌هایی مانند یک باج‌افزار نداشته و بیشتر به یک بدافزار پاک‌کننده شباهت دارد که می‌خواهد پرونده‌های قربانی را حذف کرده و تمامی رکوردها در سطح سامانه و شبکه را تخریب کند. باج‌افزار NotPetya در حملات خود از ابزارهای آژانس امنیت ملی آمریکا که توسط گروه نفوذ «کارگزاران سایه» به‌طور عمومی منتشر شده بود، برای توزیع در سطح شبکه نیز استفاده می‌کند. کد منبع باج‌افزار پِتیا هیچ وفت منتشر نشد ولی در حال حاضر، محققان امنیتی سخت در تلاش هستند تا بر روی آن مهندسی معکوس انجام داده و راه‌حل‌هایی را برای این حمله و باج‌افزار ارائه کنند. 

 

تا زمانی که ژانوس کد باج‌افزار جدید را بررسی می‌کند و می‌خواهد با استفاده از کلیدهایی که در اختیار دارد در درایو قربانی، جدول پرونده‌های اصلی را رمزگشایی کند، به‌نظر می‌رسد این عملیات تا زمانی‌که محققان نتوانند رکورد بوت اصلی (MBR) را ترمیم کنند، حل نخواهد شد. این باج‌افزار MBR را به‌طور کامل بدون نگه داشتن رونویسی از آن حذف می‌کند. در حال حاضر به نظر می‌رسد تخریب‌هایی که باج‌افزار NotPetya به جای گذاشته بسیار بیشتر از باج‌افزار گریه است. 

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید