قالت شركة ترند مايكرو المتخصصة بالأمن الإلكتروني إن فيروسا جديدا من فئة برمجيات الفدية الخبيثة يدعى "بيتيا" (Petya)، ينتشر مستهدفا نظام التشغيل ويندوز ويمنعه من الإقلاع، من خلال الكتابة فوق ما يعرف بسجل الإقلاع الرئيسي (أم بي آر) للحاسوب. ولا يتمكن المستخدم من استعادة نظام تشغيله وملفاته إلا بعد أن يدفع للمهاجمين مبلغ 430 دولارا أميركيا.
وسجل الإقلاع الرئيسي عبارة عن الشيفرة البرمجية المخزنة ضمن القطاع الأول للقرص الصلب، وتحتوي على معلومات عن أقسام القرص، وهو مسؤول عن تشغيل "مُحمّل الإقلاع" لنظام التشغيل، وفي حال تعطل هذا السجل يعجز نظام التشغيل عن الإقلاع.
وتقول الشركة إن برمجية "بيتيا" تستهدف الشركات، حيث يتم توزيعها على شكل رسائل بريد إلكتروني ترسل إلى أقسام إدارة الموارد البشرية في الشركات، يتظاهر مرسلها بأنه طالب عمل يتقدم للوظائف المتاحة لدى الشركة.
وأضافت أن الرسالة تتضمن رابطا لمجلد على خدمة التخزين السحابي دروب بوكس، يحتوي على ملف يتضمن السيرة الذاتية وصورة مزيفة، وبمجرد تنزيل الملف وفتحه يتم تثبيت البرمجية الخبيثة، وبعد ذلك تظهر للمستخدم رسالة خطأ ويتم إعادة تشغيل الحاسوب تلقائيا.
وخلال تلك العملية يتم تشفير جدول الملفات الرئيسي (أم أف تي)، وهو عبارة عن ملف خاص بنظام الملفات "أن تي أف أس" المستخدم في ويندوز ويخزن مواقع الملفات الموجودة على الجهاز، ويؤدي تشفير هذا الملف إلى استحالة استعادة الملفات الأصلية دون الحصول على المفتاح الخاص لفك التشفير، والذي لا يحصل عليه المستخدم إلا بعد دفع الفدية.
ولدى تشفير جدول الملفات الرئيسي، تظهر للمستخدم صورة جمجمة مصحوبة برسالة تتضمن الخطوات التي يتوجب على الضحية تنفيذها لاستعادة ملفاته ونظام التشغيل، حيث يتوجب عليه الوصول إلى موقع آمن ضمن شبكة "تور" والدفع بعملة "بِتْكوين" الإلكترونية مبلغ 0.99 بِتكوين، أي ما يعادل نحو 430 دولارا أميركا.
وقالت "ترند مايكرو" إنها أبلغت "دروب بوكس" بالهجمة وإن الأخيرة حذفت بدورها الرابط الخبيث وأية روابط شبيهة به، لكنها نصحت المستخدمين بالحذر واستخدام برامج الحماية المناسبة.
وبحسب "ترند مايكرو" فإن البرمجية الخبيثة تستهدف حاليا الشركات في ألمانيا، لكنها تؤكد أنه لا شيء يضمن عدم استهداف الحملة نفسها شركات في دول أخرى.
ليست هناك تعليقات:
إرسال تعليق