چگونه به باج‌افزار پتیا آلوده می‌شوید؟

به گزارش سیتنا، پتیا اولین بار در اواخر ماه مارس سال ۲۰۱۶ مشاهده شد. نکته‌ای که پتیا را منحصر به فرد می‌سازد این است که این باج‌افزار به جای ویندوز از سیستم عامل کوچک خود استفاده می‌کند، بنابراین قادر است ساختارهای حیاتی سیستم فایل کامپیوتر را در صورت راه‌اندازی مجدد آن بر روی دیسک بوت رمزنگاری کند.

موج آغازین آلودگی پتیا به هک نرم‌افزار حسابداری محبوب اکراینی یعنی MeDoc بر می‌گردد. مهاجمانی ناشناس با دستیابی به سرورهای به‌روز رسانی این نرم‌افزار توانستند باج‌افزار پتیا را به عنوان یک به‌روز رسانی نرم‌افزاری وارد کامپیوتر سرویس گیرنده‌های این شرکت کنند. از این روش پیش از این در سایر خانواده‌های باج‌افزارها مثل XData هم برای شروع موج حملات نرم‌افزاری استفاده شده بود.

پس از آن که تعدادی سیستم آلوده شدند، پتیا با استفاده از همان اکسپلویت NSA که توسط گروه Shadow Brokers لو رفته و توسط WannaCry استفاده شده بود، توانست به سرعت خود را در سراسر جهان پخش کند. این اکسپلویت که به ETERNALBLUE معروف است، از یک آسیب‌پذیری در پروتکل SMBv1 مایکروسافت استفاده می‌کند و به مهاجم اجازه می‌دهد تا کنترل سیستم‌هایی با مشخصات زیر را در دست بگیرد:

•     سیستم‌هایی که پروتکل SMBv1 در آن‌ها فعال است
•     سیستم‌هایی که از طریق اینترنت قابل دسترسی هستند
•     سیستم‌هایی که از وصله‌ی امنیتی MS17-010 مربوط به ماه مارس ۲۰۱۷ استفاده نمی‌کنند

اگر اکسپلویت ETERNALBLUE موفقیت‌آمیز باشد، برنامه‌ی مذکور یک در پشتی موسوم به DOUBLEPULSAR نصب می‌کند. بدافزار از DOUBLEPULSAR برای ارسال خود به سیستم اکسپلویت شده و اجرا شدن استفاده می‌کند.

به علاوه، پتیا از ویژگی‌های مدیریتی گوناگونی که در ویندوز تعبیه شده هم برای پخش شدن در یک شبکه‌ی در معرض خطر استفاده می‌کند. این یعنی اگر همه‌ی کامپیوترها هم وصله شده باشند، فقط یک دستگاه وصله نشده برای آلوده کردن کل شبکه کافی است.

پتیا از ترکیب ابزار مدیریتی ویندوز (Windows Management Instrumentation) و ابزار محبوب PsExec به همراه سهم مدیریتی شبکه برای تسهیل پخش جانبی باج‌افزار خود درون یک شبکه‌ی محلی استفاده می‌کند.

انتهای پیام