ژانوس، نویسنده واقعی باجافزار پتیا، میگوید که برای کمک به قربانیان باجافزار NotPetya بازگشتهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، نویسنده باجافزار اصلی پتیا بازگشتهاست. تقریباً پس از ۶ ماه سکوت، نویسنده باجافزار اصلی پتیا امروز در توییتر حاضر شدهاست و میخواهد به قربانیان باجافزار NotPetya کمک کند تا پروندههای رمزنگاریشده خود را بازیابی کنند. گفته میشود باجافزار جدید، نسخهای از باجافزار قدیمی پتیا است.
ژانوس خود را نویسنده باجافزار پتیا معرفی کرد و در توییت خود گفت: «من بازگشتهام تا نگاهی به باجافزار NotPetya بیندازم. به احتمال زیاد با کلیدهای خصوصی که در دست ماست، میتوانیم این رمزنگاری و باجافزار را بشکنیم. لطفاً یک مگابیت از پروندهها را از یک ماشین آلوده بارگذاری کنید، شاید بتوانم کمکی بکنم.»
این بیانیه که توسط نویسنده باجافزار پتیا منتشر شد، این گمانهزنیها را بهوجود آورده که شاید آنها کلیدهای اصلی رمزگشایی را در دست دارند و میتوانند پروندههای رمزنگاریشده با نسخه جدید باجافزار را نیز رمزگشایی کرده و به قربانیان آن در سراسر جهان کمک کنند. ژانوس در ماه مارس سال ۲۰۱۶ میلادی، باجافزار پتیا را در قالب باجافزار بهعنوان سرویس به نفوذگران دیگر فروختهاست. باجافزار پتیا مانند همخانوادههای خود بهگونهای طراحی شده که پروندههای قربانی را رمزنگاری کرده و در ازای دریافت باج، آنها را رمزگشایی میکند.
بهعبارت دیگر هرکسی با خریداری باجافزار پتیا و کلیک بر روی یک دکمه، میتواند پروندههای یک سامانه را رمزنگاری کرده و باج درخواست کند. اگر قربانی تصمیم بگیرد که باج را پرداخت کند، بخشی از این باج به ژانوس تعلق خواهدگرفت. با اینحال از ماه دسامبر خبری از ژانوس در دست نبود.
از روز سهشنبه، سامانههای مهم و حیاتی و زیرساختهای اساسی در کشور اوکراین و ۶۴ کشور دیگر، تحت یک حمله شدید سایبری قرار گرفتهاند که بسیار مشابه باجافزار واناکرای بوده و هزاران دستگاه را در سراسر جهان آلوده کردهاست. درحالحاضر گفتهمیشود، عامل اصلی این حمله باجافزاری به نام NotPetya است که از باجافزار پتیا مشتق شدهاست.
روز گذشته محققان امنیتی به این نتیجه رسیدهاند که بدافزار NotPetya عملاً انگیزههایی مانند یک باجافزار نداشته و بیشتر به یک بدافزار پاککننده شباهت دارد که میخواهد پروندههای قربانی را حذف کرده و تمامی رکوردها در سطح سامانه و شبکه را تخریب کند. باجافزار NotPetya در حملات خود از ابزارهای آژانس امنیت ملی آمریکا که توسط گروه نفوذ Shadow Brokers بهطور عمومی منتشر شدهبود برای توزیع در سطح شبکه نیز استفاده میکند. کد منبع باجافزار پتیا هیچوقت منتشر نشد، ولی درحالحاضر محققان امنیتی سخت در تلاش هستند تا بر روی آن مهندسی معکوس انجام دهند و راهحلهایی را برای این حمله و باجافزار ارائه کنند.
تا زمانی که ژانوس کد باجافزار جدید را بررسی میکند و میخواهد با استفاده از کلیدهایی که در اختیار دارد در درایو قربانی، جدول پروندههای اصلی را رمزگشایی کند بهنظر میرسد این عملیات تا زمانیکه محققان نتوانند رکورد بوت اصلی (MBR) را ترمیم کنند، حل نخواهدشد. این باجافزار MBR را بهطور کامل بدون نگه داشتن رونویسی از آن حذف میکند. درحالحاضر به نظر میرسد تخریبهایی که باجافزار NotPetya به جای گذاشته بسیار بیشتر از واناکرای است.