هدف پتیا تخریب‌ بوده تا باج خواهی

سیناپرس: نتایج بررسی‌های شرکت مک‌آفی نشان می‌دهد Petya که پیش از این به عنوان باج‌افزار شناخته شده بیشتر با هدف تخریب اطلاعات کاربران طراحی شده بود تا هدف کسب در‌آمد.

هفته گذشته باج‌افزار Petya در اروپای شرقی و آسیا منتشر شد و در ساعات اولیه کامپیوتر‌های زیادی را آلوده کرد. این باج‌افزار از یک حفره امنیتی در ویندوز  استفاده می کرد که چندی پیش و توسط گروه Shadow Brokers منتشر شده بود. این حفره امنیتی پیشتر توسط باج‌افزار WannaCry مورد استفاده قرار گرفته بود.

اکنون پس از گذشت یک هفته از انتشار آن پژوهشگران شرکت مک‌آفی پس از بررسی رفتار و کد‌های این بدافزار متقاعد شده‌اند که باج‌گیری هدف اصلی طراحان Petya نبوده است. این پژوهشگران در اثبات ادعای خود این‌گونه استدلال می‌کنند؛

هدف اصلی باج‌افزار‌ها کسب درآمد در طولانی مدت است. برای محقق شدن این هدف باج‌افزار‌ها با توانایی رمزنگاری/رمزگشایی فایل‌ها ساخته می‌شوند. این مراحل اطمینان می‌دهند که به محض پرداخت باج درخواستی کلید بازگشایی فایل‌ها در اختیار قربانی قرار خواهد گرفت. در غیر این صورت قربانیان به مرور زمان متوجه خواهند شد که پرداخت پول کمکی به بازیابی اطلاعات از دست رفته آنها نخواهد کرد. بررسی‌ Petya نشان می‌دهد که سازندگان قادر به ارایه کلید بازگشایی فایل‌ها در صورت پرداخت باج نخواهند بود. با گذشت زمان بیشتر کاربران بیشتری متوجه این موضوع شده و افراد کمتری به دنبال پرداخت باج درخواستی آن خواهند رفت.

 

از سوی دیگر این باج‌افزار برای منتشر شدن و آلوده کردن دستگاه‌های بیشتر تنها به بررسی DHCP شبکه داخلی پرداخته و سعی در آلوده کردن کامپیوتر‌های شناسایی شده در شبکه محلی می‌کند. سایر باج‌افزار‌ها یا مانند WannaCry به آدرس‌های IP تصادفی درخواست ارسال می‌کنند و یا مانند Cerber یا Locky از بات‌نت‌ها و اسپم استفاده می‌کنند. اگر هدف انتشار باج‌افزار کسب درآمد بیشتر است هرچه دستگاه‌های بیشتری از طریق اینترنت آلوده شوند احتمال کسب درآمد بالاتر می‌رود.

 

فعالیت اصلی یک باج‌افزار رمزگذاری فایل‌های قربانی است و بدیهی است که هرچه تعداد این فایل‌ها بیشتر شود احتمال ترغیب قربانی به پرداخت باج بیشتر است. مقایسه تعداد فایل رمزگذاری شده توسط Petya با موارد مشابه نشان می‌دهد که این باج‌افزار تعداد کمی فایل را رمزنگاری میکند.

 

همچنین اکثر باج‌افزارها پس از رمزنگاری فایل‌های کاربر فرمت آنها را عوض می‌کنند تا قربانی متوجه شود که این فایل‌ها هنوز وجود دارند و تنها رمزنگاری شده و پس از پرداخت مبلغ درخواستی قابل دسترس خواهند بود اما Petya پس از رمزنگاری فایل‌ها فرمت آنها را عوض نمی‌کند. این بدان معنا است که ممکن است قربانی در صورتی که به فایل‌ها نیاز نداشته باشد تا ماه‌ها پس از آلوده شدن فایل‌هایش متوجه این موضوع نشود. همچنین Petya تا یک ساعت پس از آلوده‌کردن دستگاه سیستم‌عامل را راه‌اندازی مجدد نمی‌کند و به آلوده کردن دستگاه‌های موجود در شبکه محلی ادامه می‌دهد.

پژوهشگران شرکت مک‌آفی اعتقاد دارند با توجه به موارد یاد شده تخریب اطلاعات کاربران برای Petya در اولویت بالاتری نسبت به دریافت باج قرار دارد. آنها همچنین در انتهای گزارش خود پیش‌بینی کرده‌اند که این باج‌افزار در آینده نزدیک قربانیان بیشتری بگیرد.

غزال غضنفری

کلید واژه ها: پتیا - باج افزار پتیا - باج افزار - ویروس واناکری - مک آفی - امنیت وب - امنیت شبکه -