باج افزار پتیا به جای ویندوز از سیستم عامل کوچک خود استفاده میکند و قادر است ساختارهای حیاتی سیستم فایل کامپیوتر را در صورت راهاندازی مجدد آن بر روی دیسک بوت رمزنگاری کند.باجافزار پتیا برخلاف واناکرای فایلها را رمز نمیکند؛ بلکه جدول مسترفایل درایو (MFT) و MBR را هدف قرار داده و آنها را غیرقابل استفاده میکند. پتیا MFT را رمز کرده و MBR را با کد مخرب خود جایگزین میکند، سپس پیغام درخواست پول را نمایش میدهد.با رمزشدن MBR، ویندوز حتی در حالت امن (Safe Mode) نیز بارگزاری نشده و از کار میافتد.در حال حاضر از 61 آنتیویروس ثبتشده تنها 15 عدد توانایی شناسایی پتیا را دارند. اگر قربانیهای فعلی خود را در برابر حملههای باج افزار واناکرای مقاوم میکردند، نتیجه فعلی را شاهد نبودند.
توصیهای که در زمان حملهی WannaCry گفته میشود در مورد پتیا هم صادق است؛ به عنوان یک راهکار سریع، حتماً آخرین بهروز رسانیهای امنیتی را بر روی کامپیوترها و سرورهای ویندوزی خود نصب کنید. در پی حملهی باجافزاری قبلی، مایکروسافت با انتشار وصلههای امنیتی جدید برای سیستم عاملهایی که پشتیبانی آنها را لغو کرده بود، مثل ویندوز XP و ویندوز سرور ۲۰۰۳، دست به عمل عجیبی زد تا از امنیت سیستمهای قدیمی هم اطمینان حاصل کند.همانطور که می دانید، بهترین روش مقابله با این برنامهها داشتن یک پشتیبان مطمئن است، به خصوص با نظر به این که رمزنگاری مورد استفاده در باجافزار پتیا فوق العاده ایمن میباشد.
تنها راه برای دستیابی مجدد به دادهها بعد از آلوده شدن به این باجافزار کمک به صاحبان آن یا برگرداندن فایلها از طریق پشتیبان است. برای حفاظت از یک سیستم، نصب بهروز رسانیهای حیاتی هم قدم بسیار مهمی به شمار میآید، چرا که مهمترین عامل آلوده شدن به پتیا تا الان اکسپلویت ETERNALBLUE SMBv1 بوده که مشکل آن چند ماه قبل توسط مایکروسافت برطرف شده است.
تا کنون حملات بزرگ سایبری در جهانی به سازمانها و شرکتها توسط باج افزار جدید پتیا رخ داده است:
🔺شرکتهای بزرگ و شماری از سازمانهای دولتی در روسیه، اوکراین و بسیاری از کشورهای اروپایی و آمریکای شمالی از ساعاتی پیش هدف یک حمله سایبری وسیع قرار گرفتهاند. گزارشها حاکی است سیستمهای بانکی و شبکههای توزیع برق نیز در برخی کشورها پسازاین حمله مختل شده است.
🔺این حملات ساعاتی پیش از اوکراین آغازشده و اکنون به کشورهای دیگر نیز سرایت کرده و درحال حاضر به آمریکا، انگلیس، فرانسه، هند، روسیه، رومانی و دانمارک رسیده است.
🔺براساس گزارشها، مقامهای اوکراینی اعلام کردهاند شبکه برق این کشور در اثر این حمله که توسط نوعی باجافزار بوده است مختل شده؛ همچنین، شرکت نفت و گاز روسیه نیز اعلام کرده، قربانی این حمله اینترنتی گردیده است.
🔺باجافزار پتیا یا پترپ (Petwrap) پس از آلوده سازی سامانه قربانی همچون واناکرای، از وی ۳۰۰ دلار بیتکوین درخواست میکند. نکته قابل تأمل استفاده از آسیبپذیری SMB v.1 ویندوز است که باجافزار واناکرای نیز دقیقاً از همین آسیبپذیری استفاده میکرد. استفاده از این آسیبپذیری سطح پایین امنیت رایانهها را در سراسر دنیا نشان میدهد.
🔺به نظر میرسد حمله اولیه از طریق دریافت فایل آلوده که به ایمیل ضمیمهشده بود، انجامشده باشد.