هجوم Petya Ransomware: كيف ومن هو المصاب ؛ كيف لوقفها

ظهر هجوم جديد للفدية يستخدم نسخة معدلة من ثغرة EternalBlue المستغلة في هجمات WannaCry يوم الثلاثاء وضرب بالفعل أكثر من 2000 جهاز كمبيوتر في جميع أنحاء العالم في إسبانيا وفرنسا وأوكرانيا وروسيا ودول أخرى.

استهدف الهجوم في المقام الأول الشركات في هذه البلدان ، في حين تعرض مستشفى في بيتسبورغ بالولايات المتحدة الأمريكية للضرب. ومن بين ضحايا الهجوم البنك المركزي و Railways و Ukrtelecom (أوكرانيا) و Rosnett (روسيا) و WPP (UK) و DLA Piper (الولايات المتحدة الأمريكية) وغيرها.

بينما تم العثور على أكبر عدد من الإصابات في أوكرانيا ، والثاني الأعلى في روسيا ، تليها بولندا وإيطاليا وألمانيا. أكمل حساب البيتكوين الذي يقبل الدفع أكثر من 24 معاملة قبل إيقافه.

اقرأ أيضًا: قراصنة Petya Ransomware يفقدون الوصول إلى حسابات البريد الإلكتروني ؛ غادر الضحايا الذين تقطعت بهم السبل.

على الرغم من أن الهجوم لم يكن يستهدف الشركات في الهند ، إلا أنه استهدف شركة الشحن العملاقة AP Moller-Maersk وميناء جواهرلال نهرو يتعرضان للتهديد حيث تقوم الشركة بتشغيل Gateway Terminals في الميناء.

كيف ينتشر بيتيا رانسومواري؟

يستخدم Ransomware استغلالًا مشابهًا يستخدم في هجمات WannaCry ransomware الواسعة النطاق في وقت سابق من هذا الشهر والتي استهدفت الأجهزة التي تعمل على إصدارات قديمة من Windows ، مع بعض التعديلات.

يمكن استغلال مشكلة عدم الحصانة من خلال تنفيذ تعليمات برمجية عن بُعد على أجهزة الكمبيوتر التي تعمل بنظام Windows XP إلى أنظمة Windows 2008.

Ransomware يصيب جهاز الكمبيوتر وإعادة تمهيده باستخدام أدوات النظام. عند إعادة التشغيل ، يقوم بتشفير جدول MFT في أقسام NTFS ويقوم بالكتابة فوق MBR باستخدام أداة تحميل مخصصة تعرض ملاحظة الفدية.

وفقًا لـ Kaspersky Labs ، "لالتقاط بيانات الاعتماد للنشر ، تستخدم أداة الفدية أدوات مخصصة ، وهي la Mimikatz. هذه استخراج بيانات الاعتماد من عملية lsass.exe. بعد الاستخراج ، يتم تمرير بيانات الاعتماد إلى أدوات PsExec أو WMIC لتوزيعها داخل شبكة."

ماذا يحدث بعد إصابة جهاز الكمبيوتر؟

بعد إصابة Petya بجهاز الكمبيوتر ، يفقد المستخدم إمكانية الوصول إلى الجهاز الذي يعرض شاشة سوداء عليها نص أحمر اللون كما يلي:

"إذا رأيت هذا النص ، فلن يكون من الممكن الوصول إلى ملفاتك لأنه تم تشفيرها. ربما كنت مشغولا بالبحث عن وسيلة لاستعادة ملفاتك ، ولكن لا تضيع وقتنا. لا أحد يستطيع استرداد ملفاتك دون خدمة فك التشفير لدينا."

وهناك تعليمات بشأن دفع 300 دولار في عملات Bitcoins وطريقة لإدخال مفتاح فك التشفير واسترداد الملفات.

كيف تحافظ على سلامتك؟

حاليًا ، لا توجد طريقة ملموسة لفك تشفير الملفات التي يحتفظ بها رهينة برنامج Petya ransomware لأنه يستخدم مفتاح تشفير صلب.

لكن موقع Bleeping Computer الأمني ​​يعتقد أن إنشاء ملف للقراءة فقط باسم "perfc" ووضعه في مجلد Windows في محرك الأقراص C يمكن أن يساعد في إيقاف الهجوم.

من المهم أيضًا أن يقوم الأشخاص ، الذين لم يقوموا بعد ، بتنزيل وتثبيت تصحيح Microsoft فورًا لأنظمة تشغيل Windows الأقدم التي تنهي الثغرة الأمنية التي يستغلها EternalBlue. هذا سيساعد على حمايتهم من أي هجوم من سلالة برامج ضارة مماثلة مثل بيتيا.

إذا أعيد تشغيل الجهاز ورأيت هذه الرسالة ، فقم بإيقاف التشغيل على الفور! هذه هي عملية التشفير. إذا لم تقم بتشغيل ، فستكون الملفات جيدة. pic.twitter.com/IqwzWdlrX6

- هاكر فانتاستيك (@ hackerfantastic) 27 يونيو ، 2017

في حين أن عدد وحجم هجمات رانسومواري يزداد مع مرور كل يوم ، يُقترح أن تتناقص مخاطر الإصابات الجديدة انخفاضًا كبيرًا بعد الساعات القليلة الأولى من الهجوم.

اقرأ أيضًا: Ransomware Attacks on the Rise: إليك كيفية المحافظة على الأمان.

وفي حالة بيتيا ، يتوقع المحللون أن الكود يوضح أنه لن ينتشر خارج الشبكة. لم يستطع أحد تحديد المسؤول عن هذا الهجوم حتى الآن.

لا يزال الباحثون في مجال الأمن لم يجدوا طريقة لفك تشفير الأنظمة المصابة بفدية Petya Ransomware وبما أنه لا يمكن الاتصال بالمتسللين حتى الآن ، فإن كل المتأثرين سيبقون كذلك في الوقت الحالي.