کلید رمزگشایی خصوصی برای باج‌گیر افزار اصلی Petya منتشر شد.

Petya

کلید اصلی برای نسخه اصلی باج‌گیر افزار Petya توسط سازنده آن منتشر شد که به قربانیان آلوده‌شده توسط این باج‌گیر افزار اجازه می‌دهد تا فایل‌های رمز شده خود را بازیابی کرده بدون اینکه مبلغ باج درخواستی را پرداخت کنند.

اما نکته قابل‌توجه اینجاست که Petya با NotPetya فرق می‌کند.

باج‌گیر افزار Petya را با آخرین باج‌گیر افزار مخرب منتشرشده به نام NotPetya که به ExPetr و Eternal Petya نیز معروف است[۱]، نباید اشتباه گرفت. این باج‌گیر افزار در ماه گذشته و در سراسر جهان خرابی‌های زیادی برجای گذاشت و به‌طور گسترده بسیاری از کاربران را در اکراین و بخش‌هایی از اروپا مورد هدف قرار داد.

باج‌گیر افزار Petya سه نوع مختلف دارد که بسیاری از سیستم‌ها را در سراسر جهان آلوده کرده‌اند اما در حال حاضر سازنده بدافزار اصلی که با نام مستعار Janus شناخته می‌شود، کلید اصلی این باج‌گیر افزار را در روز چهارشنبه به تاریخ ۵ جولای ۲۰۱۷ در اختیار عموم قرار داد[۲].

بر طبق گفته محققان امنیتی، قربانیانی که توسط نسخه‌های قدیمی‌تر باج‌گیر افزار Peyta شامل Red Petya (نسخه اول)، Green Petya (نسخه دوم) و نسخه‌های اولیه باج‌گیر افزار GoldenEye آلوده شده‌اند می‌توانند فایل‌های رمز شده خود را توسط این کلید اصلی بازیابی کنند.

اصالت این کلید اصلی منتشر شده توسط یک محقق امنیت اطلاعاتِ مستقلِ لهستانی به نام Hasherezade تأیید شده است.

Hasherezade یافته‌های خود را در روز پنج‌شنبه به تاریخ ۶ جولای ۲۰۱۷ در MalwareBytes منتشر کرده است[۳]: “مشابه سازنده TeslaCrypt، سازنده این باج‌گیر افزار نیز کلید خصوصی خود را منتشر کرده است که به قربانیان حملات قبلی Petya اجازه می‌دهد تا فایل‌های خود را بازیابی کنند.

بااینکه نسخه اول و دوم باج‌گیر افزار Petya در سال گذشته کرک شده بودند[۴]، اما کلید خصوصی منتشر شده توسط Janus راه بسیار سریع‌تر و قابل‌اطمینان‌تری را برای قربانیان آلوده‌شده توسط Petya در اختیار آنان قرار می‌دهد تا فایل‌های خود را بازیابی کنند، مخصوصاً فایل‌هایی که توسط نسخه سوم و کرک نشده این باج‌گیر افزار رمز شده‌اند.

در همین حال، Anton Ivanov که یک تحلیل‌گر تحقیقاتی در Kaspersky Lab است نیز کلید اصلی منتشرشده توسط Janus را مورد ارزیابی قرار داده و تأیید کرده است[۵] که این کلید بر روی تمامی نسخه‌های باج‌گیر افزار Petya که شامل GoldenEye نیز می‌شود، کار می‌کند.

Janus فردی است که در سال ۲۰۱۶ باج‌گیر افزار GoldenEye را تولید کرد و نسخه‌های مختلفی از آن را به‌عنوان “باج‌گیر افزار سرویس‌دهنده” به دیگر مهاجمان فروخت و به هرکسی اجازه داد تا حملات باج‌گیر افزاری را با فشردن تنها یک کلیک و رمز کردن سیستم‌ها و درخواست کردن یک باج برای بازگشایی فایل‌ها به انجام رسانند.

Janus در سال ۲۰۱۶ پرداختی‌های توسط قربانیان را دریافت می‌کرد اما از ماه دسامبر ۲۰۱۶ دیگر از او خبری نبود.

بااین‌حال، بر طبق گفته نویسنده Petya، بدافزار او توسط دیگر نویسندگان بدافزار اصلاح شده بود تا باج‌گیر افزار NotPetya تولید شود که کامپیوترهایی را که متعلق به زیرساخت‌های حیاتی و سازمان‌ها در اکراین و ۶۴ کشور دیگر بودند را مورد هدف قرار داده بود.

باج‌گیر افزار NotPetya همچنین از بهره‌بردارهای مربوط به ویندوز به نام‌های EternalBlue و EternalRomance که متعلق به NSA بودند استفاده کرده است تا به‌سرعت در داخل یک شبکه منتشر شود و همچنین از ابزارهای WMIC و WMIC استفاده کرده بود تا بدافزارها را در دستگا‌ه‌های مختلف و از راه دور اجرا کند.

کارشناسان امنیتی حتی بر این باورند که قصد واقعی که در پشت باج‌گیر افزار outcry قرار دارد که می‌گویند بزرگ‌تر از باج‌گیر افزار WannaCry نیز هست ایجاد اختلال بوده است تا اینکه فقط یک حمله باج‌گیر افزاری دیگر باشد.

بر طبق گفته محققان، NotPetya درواقع نوعی بدافزار از نوع پاک‌کن^(۱) است که سیستم‌ها را بی‌درنگ پاک کرده و تمامی رکوردها را در سیستم‌های مورد هدف نابود می‌کند و درخواست باج می‌کند که فقط توجه جهانیان را از یک حمله تحت حمایت یک دولت به یک شیوع بدافزار منحرف کند.

کسانی که توسط NotPetya آلوده شده‌اند خوش‌شانس نیستند و این کلید منتشر شده تنها به کسانی کمک می‌کند که توسط نسخه‌های قدیمی‌تر از باج‌گیر افزارهای Petya و Goldeneye آلوده شده باشند.

محققان امنیتی از این کلید برای ساختن رمزگشاهای رایگان برای قربانیانی استفاده می‌کنند که هنوز فایل‌های رمز شده خود توسط این باج‌گیر افزارها را نگه داشته‌اند.