بدون شک امسال، سال حضور باجافزارها است. در مقاله دانشنامه باجافزاری عنوان کردیم که در سال جدید باید شاهد حضور نسل جدیدی از بدافزارها، موسوم به باجافزارها باشیم. رشد بسیار سریع و فراگیر شدن مکانیزمهای تهدید مبتنی بر باجافزارها به این دلیل خطرناک شده است که اولاً بسیاری از آنها بر پایه خاکسترهای قدیمی پایهگذاری شدهاند و دوم اینکه مجرمان سایبری، خواه حرفهای یا آماتور، با پرداخت مبالغ قابل توجهی در دارکوب به سورس کدهای این باجافزارها دسترسی دارند.
باجافزارها در مقایسه با دیگر شاخههای بدافزارها از مکانیزم بهمراتب مخربتر و خطرناکتر استفاده میکنند. عاملی که باعث ترسناک شدن باجافزارها میشود، به مکانیزم خاموش آنها بازمیگردد؛ اینگونه که ناگهان به کاربر پیغامی نشان میدهند و به او اعلام میکنند برای دسترسی به فایلهای کاربردی سیستم خود راهی جز پرداخت باج ندارد.
البته هیچگونه ضمانتی وجود ندارد که کاربر بعد از پرداخت باج مربوطه بتواند از سیستم خود استفاده کند. مهمترین عاملی که ردیابی و شناسایی مجرمان سایبری را با دشواری همراه میسازد، به مکانیزم پرداختی مربوط میشود. بیتکوینها یا همان پول مجازی باعث شدهاند تا مجرمان سایبری بدون هیچگونه هراسی از شناسایی شدن به اعمال مجرمانه مبادرت ورزند. بهتازگی باجافزار جدیدی موسوم به Petya پا به عرضه ظهور نهاده است؛ باجافزاری که به جای مکانیزمهای مرسوم رمزنگاری فایلها، مستقیماً هارددیسک را هدف خود قرار داده است. باجافزار Petya بیشتر باجافزاری تجاری است و سراغ افرادی میرود که در دنیای کسبوکار به فعالیت اشتغال دارند. شیوه کارکرد آن به این گونه است که هکر ابتدا ایمیلی با موضوع تقاضای شغل همراه با ضمیمهای که در ظاهر حاوی روزمه هکر است، برای کارمند بخش منابع انسانی ارسال میکند. درون این ضمیمه یا متن اصلی ایمیل، لینکی وجود دارد که در ظاهر نشان میدهد روزمه هکر در دارپباکس قرار دارد. زمانی که کارمند روی این لینک کلیک میکند یک فایل اجرایی روی سیستم او شروع به کار میکند.
در ادامه صفحهای آبیرنگ به کاربر نشان داده میشود و تمام! در این حالت باجافزار Petya روی سیستم قربانی فعالیت خود را آغاز میکند. باجافزار در ادامه به رمزنگاری فایلهای روی سیستم کاربر اقدام میکند، اما آسیبی به فایلهای سیستمی وارد نمیکند. این باجافزار هر تعداد درایوی را که روی سیستم وجود داشته باشد، رمزنگاری میکند. در این حالت کاربر فقط توانایی مشاهده یک صفحه سفید با عبارت Master Boot Record را دارد. در این بخش اطلاعاتی درباره هاردیسک و مشخصات درایو به کاربر نشان داده میشود. همچنین کدی که برای اجرای سیستم عامل مورد نیاز است و به آن بوتلودر گفته میشود، به باجافزار Petya آلوده خواهد بود. زمانی که سیستم قربانی راهاندازی میشود، بخشهایی از این باجافزار اجرا میشود و در ظاهر به کاربر نشان میدهد که برنامه Check Disk در حال اجرا است. غافل از اینکه باجافزار در حال رمزنگاری دادهها است. زمانی که فایلهای روی سیستم بهطور کامل رمزنگاری شوند، پیغامی مبنی بر موفقیتآمیز بودن Check Disk به کاربر نشان داده میشود.
در این مرحله Petya موفق شده است جدول اصلی فایلها را همراه با سطوح پایین هارددیسک رمزنگاری کند و این بدان معناست که با کمترین کار ممکن، تمام فایلها و پوشههای روی سیستم رمزنگاری شدهاند. در ادامه تصویری شبیه به اسکلت سر و مشتمل بر کدهای اسکی روی صفحه به نمایش درمیآید. بعد از آن، کاربر برای دسترسی به فایلهای خود باید مبلغ 0.9 بیتکوین برابر با 380 دلار پرداخت کند تا بتواند به فایلهای خود دسترسی داشته باشد. آنچه Petya را از نمونههای مشابه متمایز میکند، فعال بودن آن در زمان آفلاین سیستم است؛ بهطوری که عملاً کنترل سیستم قربانی در هر شرایطی در اختیار این باجافزار قرار دارد. در زمان نگارش این مقاله دارپباکس، آرشیو متعلق به این باجافزار را از سرویس خود حذف کرده است، اما کارشناسان امنیتی هنوز موفق به شناسایی راهکاری برای بازگشایی کدها نشدهاند. برای پیشگیری از آلوده شدن سیستمتان به این باجافزار، توصیه میکنیم از نرمافزارهای امنیتی استفاده کنید. این نرمافزارها مانع از آن میشوند که اسپمها به میلباکس وارد شوند.
منبع: شبکه