ترکیب دو باج‌ افزار مخرب Petya و Mischa

0
323
باج افزار Petya باج افزار Mischa

به تازگی، Ransomware یا باج افزاری که پیش از این MBR را تخریب می‌کرد، قادر به نصب کردن یک برنامه رمزنگاری ثانویه شده است.

به تازگی باج‌افزار Petya، در مواردی که نمی‌تواند Master Boot Record یا MSR کامپیوتر را مورد هدف قرار دهد و رمزگذاری کند، یک برنامه ی ثانویه را به صورت Bundle در سیستم قربانی اجرا می‌کند تا فرآیند رمزگذاری کل سیستم عامل صورت گرفته و جهت ارائه رمز مربوطه، از کاربر تقاضای پول نماید.

Petya، یک تهدید باج‌افزاری غیرعادی می‌باشد که اولین بار در ماه مارس توسط محققان امنیتی رویت گردید. این باج‌افزار به جای رمزگذاری مستقیم بر روی فایل‌های کاربر، Master File Table یا MTF را که توسط پارتیشن‌های دیسک NTFS برای نگهداری اطلاعات مربوط به نام، اندازه و موقعیت مکانی فایل بر روی دیسک فیزیکی به کار می‌رود، رمزگذاری می‌نماید. قبل از رمزگذاری MFT، این باج‌افزار، Master Boot Record یا به اختصار MBR را جایگزین می‌نماید که شامل کدی برای راه‌اندازی Bootloader سیستم عامل می‌باشد. این کار با جایگزینی کد مخرب مخصوص Petya صورت می‌گیرد که در نتیجه آن پیغام Ransom Note نمایش داده شده و کامپیوتر قادر به Boot کردن نخواهد بود.

البته نکته مهم آن است که جهت Overwrite کردن MBR در کامپیوتر قربانی، این بدافزار باید دسترسی Administrator Privilege داشته باشد. این فرآیند با درخواست دسترسی از کاربران از طریق مکانیسم (User Account Control (UAC در ویندوز صورت می‌گیرد.

 در نسخه‌های قبلی، روند معمول آلودگی سیستم در صورت عدم دسترسی این باج‌افزار به Administrator Privilege متوقف می‌گردید. به همین دلیل یک برنامه باج‌افزاریِ دیگر به نام باج افزار Mischa توسط آخرین نسخه ی  باج افزار Petya نصب می‌گردد که رمزگذاری فایل‌های کاربران را به صورت مستقیم انجام داده و نیاز به دسترسی خاصی نخواهد داشت.

Lawrence Abrams اظهار داشت که برای Developerهای باج‌افزار، چیزی بدتر از صرف هزینه نمی‌باشد؛ که این موضوع دقیقا درباره باج افزار Petya رخ می‌دهد. باج افزار Mischa بر خلاف باج افزار Petya ، یک باج افزار استاندارد محسوب می‌شود که فایل‌هایی را رمزگذاری نموده و سپس کاربر جهت دریافت کلید رمزگشایی آن، مستلزم پرداخت هزینه می‌باشد.

یکی دیگر از نقاط تمایز Mischa، رمزگذاری فایل‌های اجرایی (.EXE) علاوه بر اسناد، تصاویر، ویدئوها و سایر فایل‌های ایجاد شده توسط کاربر که مورد توجه برنامه‌های باج‌افزاری قرار می‌گیرند، می‌باشد. Mischa این پتانسیل را داراست که برنامه‌های نصب شده و سیستم عامل را در یک حالت غیر کاربردی قرار داده و پرداخت هزینه جهت دریافت کد رمزگشایی را از سیستم آلوده دشوارتر سازد.

برنامه قابل نصب برای ترکیب دو باج افزار Petya و Mischa از طریق ایمیل‌های اسپم توزیع می‌شود که به شکل درخواست‌های شغلی مطرح می‌شوند. این ایمیل‌ها شامل یک لینک برای سرویس‌های ذخیره‌سازی آنلاین می‌شوند که دارای یک تصویر از متقاضی و فایل اجرایی مخرب به شکل یک فایل pdf می‌باشد.

در صورت دانلود و اجرای این فایل pdf جعلی، در ابتدا تلاش می‌شود تا Petya نصب گردد که اگر موفق به انجام این کار نگردد، باج افزار Mischa را نصب خواهد کرد. بر خلاف Petya که برای آن یک ابزار کشف رمز در دسترس قرار دارد، در حال حاضر هیچ روش شناخته شده‌ای برای بازیابی فایل‌های رمزگذاری شده توسط Mischa بدون پرداخت هزینه وجود ندارد.

بدون دیدگاه

دیدگاهتان را بنویسید

*