کمیته رکن چهارم – نویسندهی باجافزار اصلی پِتیا برگشته است. تقریباً پس از ۶ ماه سکوت، نویسندهی باجافزار اصلی پِتیا امروز در توییتر حاضر شده و میخواهد به قربانیان باجافزار NotPetya کمک کند تا پروندههای رمزنگاریشدهی خود را بازیابی کنند. گفته میشود باجافزار جدید، نسخهای از باجافزار قدیمی پِتیا است.
ژانوس که خود را نویسندهی باجافزار پِتیا معرفی کرده، در توییت خود گفته است: «من برگشتهام تا نگاهی به باجافزار NotPetya بیندازم. به احتمال زیاد با کلیدهای خصوصی که در دست ماست، میتوانیم این رمزنگاری و باجافزار را بشکنیم. لطفاً ۱ مگابیت از پروندهها را از یک ماشین آلوده بارگذاری کنید، شاید بتوانم کمکی بکنم.»
این بیانیه که توسط نویسندهی باجافزار پِتیا منتشر شده، این گمانهزنیها را بهوجود آورده که شاید آنها کلیدهای اصلی رمزگشایی را در دست دارند و میتوانند پروندههای رمزنگاریشده با نسخهی جدید باجافزار را نیز رمزگشایی کرده و به قربانیان آن در سراسر جهان کمک کنند. ژانوس در ماه مارس سال ۲۰۱۶ میلادی، باجافزار پِتیا را در قالب باجافزار بهعنوان سرویس به نفوذگران دیگر فروخته است. باجافزار پِتیا مانند همخانوادههای خود بهگونهای طراحی شده که پروندههای قربانی را رمزنگاری کرده و در ازای دریافت باج، آنها را رمزگشایی میکند.
بهعبارت دیگر هرکسی با خریداری باجافزار پِتیا و کلیک بر روی یک دکمه، میتواند پروندههای یک سامانه را رمزنگاری کرده و باج درخواست کند. اگر قربانی تصمیم بگیرد که باج را پرداخت کند، بخشی از این باج به ژانوس تعلق خواهد گرفت. با اینحال از ماه دسامبر ژانوس در افق محو شده بود و خبری از او در دست نبود.
با این حال از روز سهشنبه، سامانههای مهم و حیاتی و زیرساختهای اساسی در کشور اوکراین و ۶۴ کشور دیگر، تحت یک حملهی شدید سایبری قرار گرفتهاند که بسیار مشابه به باجافزار «گریه» بوده و هزاران دستگاه را در سراسر جهان آلوده کرده است. در حال حاضر گفته میشود، عامل اصلی این حمله باجافزاری به نام NotPetya است که از باجافزار پِتیا مشتق شده است.
روز گذشته محققان امنیتی به این نتیجه رسیدهاند که بدافزار NotPetya عملاً انگیزههایی مانند یک باجافزار نداشته و بیشتر به یک بدافزار پاککننده شباهت دارد که میخواهد پروندههای قربانی را حذف کرده و تمامی رکوردها در سطح سامانه و شبکه را تخریب کند. باجافزار NotPetya در حملات خود از ابزارهای آژانس امنیت ملی آمریکا که توسط گروه نفوذ «کارگزاران سایه» بهطور عمومی منتشر شده بود، برای توزیع در سطح شبکه نیز استفاده میکند. کد منبع باجافزار پِتیا هیچ وفت منتشر نشد ولی در حال حاضر، محققان امنیتی سخت در تلاش هستند تا بر روی آن مهندسی معکوس انجام داده و راهحلهایی را برای این حمله و باجافزار ارائه کنند.
تا زمانی که ژانوس کد باجافزار جدید را بررسی میکند و میخواهد با استفاده از کلیدهایی که در اختیار دارد در درایو قربانی، جدول پروندههای اصلی را رمزگشایی کند، بهنظر میرسد این عملیات تا زمانیکه محققان نتوانند رکورد بوت اصلی (MBR) را ترمیم کنند، حل نخواهد شد. این باجافزار MBR را بهطور کامل بدون نگه داشتن رونویسی از آن حذف میکند. در حال حاضر به نظر میرسد تخریبهایی که باجافزار NotPetya به جای گذاشته بسیار بیشتر از باجافزار گریه است.
