باج افزار (ransomware) نوعی بدافزار است که با رمزگذاری اطلاعات، از دسترسی کاربران به فایل های شخصی جلوگیری می کند و برای رمزگشایی اطلاعات و دسترسی مجدد به سیستم، از کاربران باج گیری می کند. امروزه اغلب باج افزارها از طریق رمز ارزها و یا کارت اعتباری پرداخت می شوند و مهاجمان همه انواع کاربران از جمله کاربران خانگی، شرکت های کوچک و متوسط و حتی سازمان ها بسیار بزرگ را مورد هدف قرار می دهند. امروزه برخی از تولید کنندگان باج افزار، باج افزار خود را به عنوان سرویس، به هکرها و یا حتی افراد معمولی تحت عنوان RaaS (ransomware as a service) می فروشند.
باج افزارها چگونه کار می کنند؟
باج افزارها از رمزنگاری نوع نامتقارن استفاده می کنند. این رمزنگاری از یک جفت کلید برای رمزگذاری و رمزگشایی یک فایل استفاده می کند. جفت کلید عمومی/خصوصی توسط فرد مهاجم، برای هر قربانی به صورت منحصربفرد ایجاد می شود و کلید خصوصی که برای رمزگشایی فایل استفاده می شود، در سرور مهاجم ذخیره می گردد. تنها پس از دریافت مبلغ باج، کلید خصوصی در دسترس قربانی قرار می گیرد، البته متاسفانه باید بگوییم که همیشه هم اینگونه نیست! بدون دسترسی به کلید خصوصی، رمزگشایی اطلاعات تقریباً غیرممکن است.
انواع مختلفی از خانواده های باج افزاری وجود دارد. غالباً باج افزارها با استفاده از ایمیل های مخرب، کِرک کردن نرم افزارها و حملات هدفمند فیشینگ توزیع می شوند. پس از نفوذ باج افزار به یک سیستم، فایل آلوده تا زمان اجرا بر روی سیستم باقی می ماند.
باج افزار پس از نفوذ موفق به سیستم، با اجرای یک کد مخرب، فایل های با ارزشی مانند اسناد مایکروسافت (شامل وُرد و اِکسل و …)، فایل های تصویری، دیتابیس و غیره را جستجو و رمزگذاری می کند. همچنین قادر است تا با اکسپلویت آسیب پذیری های شبکه، به کل سیستم های شبکه منتقل شده و آن ها را آلوده کند.
پس از رمزگذاری اطلاعات، قربانی مدت زمان محدودی فرصت دارد تا با پرداخت باج، ابزار رمزگشا را از مجرمان دریافت کند در غیر این صورت اطلاعات او برای همیشه از بین می روند. اگر نسخه پشتیبان (بکاپ) از اطلاعات وجود نداشته باشد و یا آن ها هم رمزگذاری شده باشند، قربانی راهی جز پرداخت باج ندارد.
انواع باج افزار
سه نوع اصلی از باج افزارها وجود دارد که شدت ایجاد خسارت در آن ها متفاوت است:
1. Scareware:
Scareware ها بر خلاف نامشان آنقدرها هم ترسناک نیستند. به این صورت عمل می کنند که با نمایش یک نوتیفیکیشن به شما هشدار می دهند سیستم عامل به بدافزار آلوده شده است و برای پاکسازی باید یک برنامه امنیتی را نصب کنید! احتمالاً با این هشدارهای آزار دهنده بمباران می شوید، اما سیستم شما کاملا ایمن و پاک است.
یک آنتی ویروس قانونی هیچوقت از این طریق جذب مشتری نمی کند. اگر نرمافزار آن شرکت را روی سیستم خود ندارید چگونه متوجه حمله بدافزاری به سیستم شما شده اند؟! اگر در حال حاضر بر روی سیستم خود آنتی ویروس دارید، نیازی به پرداخت هزینه و نصب یک برنامه دیگر برای حذف ویروس و آلودگی ندارید و آنتی ویروس های معتبر و قانونی این کار را برای شما بصورت خودکار انجام خواهند داد.
2. Screen lockers:
این نوع باج افزار، سیستم شما را کاملا قفل می کند و اجازه کار کردن با کامپیوتر را به شما نمی دهد. پس از بالا آمدن سیستم عامل، پنجره ای تمام صفحه، باز می شود که ممکن است با یک مهر رسمی از سازمان های امنیتی دولتی همراه باشد و هشدار می دهد که یک فعالیت غیرقانونی در کامپیوتر شما شناسایی شده است و باید جریمه بپردازید! یادتان باشد که هیچ سازمان قانونی از این طریق تخلفات را به شما اطلاع نمی دهد و از شما جریمه نمی خواهد. اگر واقعا فعالیتی غیر قانونی از کسی سر زده باشد، آن ها از کانال های قانونی وارد می شوند.
3. Encrypting ransomware:
بدترین و خطرناک ترین نوع باج افزار است. این باج افزار فایل های شما را رمزگذاری می کنند و برای رمزگشایی و بازگردانی آن ها درخواست باج می کنند. در این حمله باج افزاری به محض اینکه فایل هارمزگذاری شوند، هیچ نرم افزار امنیتی، آنتی ویروس یا سرویس های بازیابی سیستمی نمی توانند آن ها را به شما بازگردانند. مگر اینکه باج را بدهید! در بیشتر موارد، اطلاعات برای همیشه از دست رفته اند. حتی اگر باج را پرداخت کنید، هیچ تضمینی وجود ندارد که فایل ها بازگردانی شوند.
باج افزارهای مُدرن و تکامل یافته
باج افزارها دائما در حال پیشرفت و تکامل هستند. ویژگی هایی مانند تایمرهای شمارش معکوس، افزایش مقادیر باج در طول زمان و روش های جدید انتشار در سطح شبکه به آن ها اضافه شده است. مجرمان سایبری همواره به آزمایش ویژگی های جدید ادامه می دهند. ارائه پلتفرم های پرداخت جایگزین جهت تسهیل در پرداخت، روش های توزیع جدید و تهدید قربانیان به از بین بردن اطلاعات برای همیشه در صورت عدم پرداخت باج، از این دست پیشرفت ها و تغییرات هستند.
در حملات باج افزاری مدرن، علاوه بر رمزگذاری اطلاعات، یک نسخه از اطلاعات توسط هکر سرقت می شود. در این نوع حمله که به اخاذی سایبری (extortionware) معروف است، مجرمان سایبری در صورت برآورده نشدن خواسته هایشان، قربانی را تهدید به افشا یا فروش اطلاعات سرقت شده می کنند.
این نوع حملات به شدت هدفمند هستند و معمولاً صنایعی را که با داده های حساس و ارزشمند سروکار دارند، مورد حمله قرار می دهند. فروش این اطلاعات ارزشمند در بازار سیاه سود بسیار بالایی برای مجرمان سایبری دارد و خسارت های جبران ناپذیری به قربانی وارد می کند.
چگونه به باج افزار آلوده می شویم؟
آلوده شدن به باج افزار از طریق روش های مختلفی امکان پذیر است. یکی از متداول ترین روش ها، ایمیل های آلوده و مخرب است. این ایمیل ها شامل پیوست های PDF یا اسناد Word آلوده هستند و یا اینکه می توانند حاوی لینک هایی به وبسایت های مخرب باشد. این روش از انواع تکنیک های فیشینگ استفاده می کند تا کاربران را ترغیب به باز کردن ایمیل و کلیک بر روی فایل پیوست کند.
یکی دیگر از روش های آلوده شدن به باج افزار دانلود از وبسایت های نامعتبر و کرک کردن نرم افزارهاست. کرک کردن کاری غیر اخلاقی و البته غیرقانونی است. (به جز ایران البته) مجرمان سایبری از این فرصت استفاده کرده و با آلوده کردن فایل کرک به انواع بدافزارها و خصوصا باج افزار، اطلاعات کاربران را رمزگذاری می کنند. اینجا در امسی سافت زیاد می شنویم که پس از اجرای فایل کرک، اطلاعات کاربر رمزگذاری شده و تمامی آن ها را برای همیشه از دست داده است.
یکی دیگر از روش های محبوب، Malvertising یا استفاده از تبلیغات آنلاین برای توزیع باج افزار است که معمولا نیازی هم به تعامل کاربر ندارد. هنگام وبگردی (حتی سایت های معتبر) می توان کاربر را بدون نیاز به هیچ تعاملی به سرورهای آلوده هدایت کرد. این سرورها جزئیات مربوط به سیستم قربانی و حتی مکان آنها را فهرست بندی می کنند و سپس می توانند به راحتی سیستم مورد نظر را آلوده کنند. این روش معمولا از صفحات وب نامرئی برای انجام کارهای خود استفاده می کند و کیت اکسپلویت از طریق این صفحات به سیستم نفوذ کرده و می تواند آن را آلوده کند. همه این فرآیندها بدون اطلاع کاربر اتفاق می افتد، به همین دلیل است که اغلب به این نوع حملات، drive-by-download می گویند.
باج افزار به عنوان یک سرویس (RaaS) چیست؟
Ransomware-as-a-Service یک سرویس و البته یک مدل اقتصادی جرایم اینترنتی است، که به توسعه دهندگان باج افزار اجازه می دهد تا بدون نیاز به توزیع باج افزار، کسب درآمد کنند. روش کار معمولا به این صورت است که افراد غیر متخصص، در حالیکه درصدی از درآمد خود را با توسعه دهندگان باج افزار شریک می شوند، باج افزار خود را که کاملا قابلیت سفارشی کردن تنظیمات و مشخصات آن را دارند خریداری کرده و اقدام به توزیع و انتشار آن می کنند. در این حالت ریسک توسعه دهندگان و عاملان اصلی بسیار کمتر شده و در واقع مشتریان آنها بیشتر کار را انجام می دهند. برخی از این سرویس ها از طریق خرید اشتراک قابل استفاده هستند، در حالی که برخی دیگر به ثبت نام نیاز دارند.
چگونه از حملات باج افزاری جلوگیری کنیم؟
برای جلوگیری از حملات باج افزاری و یا کاهش صدمات پس از حمله، حتما نکات زیر را در نظر بگیرید:
- بکاپ گیری منظم از اطلاعات:
بهترین راه برای مقابله با باج افزارها، بکاپ گیری منظم از اطلاعات مهم خود در یک فضای ابری و یک هارد اکسترنال است. به این ترتیب، در صورت آلوده شدن به باج افزار، می توانید سیستم عامل خود را به سرعت تعویض کرده و نسخه های پشتیبان خود را بازگردانی کنید.
- ایمن سازی فایل های بکاپ (نسخه های پشتیبان):
اطمینان حاصل کنید که نسخه های پشتیبان شما در یک حافظه ایمن هستند و قابل دسترسی توسط افراد غیر مجاز نیست. بسیاری از انواع باج افزارها به دنبال پیدا کردن فایل های بکاپ و رمزگذاری یا حذف آن ها هستند تا امکان بازیابی اطلاعات وجود نداشته باشد. بنابراین از سیستم های بکاپ گیری استفاده کنید که اجازه دسترسی مستقیم به فایل های بکاپ را نمی دهند.
- آنتی ویروس معتبر و بروز استفاه کنید:
اطمینان حاصل کنید که تمامی کامپیوترها و دستگاه های شما توسط یک آنتی ویروس معتبر و با کیفیت محافظت می شوند. همچنین تمامی آنتی ویروس ها، سیستم عامل ها و نرم افزارهای دیگر خود را بروز نگه دارید، چرا که بروزرسانی ها شامل انواع پَچ های امنیتی هستند که در ارتقا امنیت سیستم بسیار موثرند. ترجیحا بروزرسانی خودکار را فعال کنید و یا از نرم افزارهای Patch Management استفاده کنید.
- وبگردی ایمن را تمرین کنید:
مراقب باشید که کجا کلیک می کنید. ایمیل ها و پیام های ناشناس و مشکوک را باز نکنید. نرم افزارهای مورد نیاز خود را تنها از وبسایت ها و منابع معتبر دانلود کنید. لطفا این مورد را بسیار جدی بگیرید چرا که استفاده از تکنیک های مهندسی اجتماعی و فیشینگ، برای ترغیب کاربران به دانلود و نصب بدافزار بسیار رایج شده است.
- فقط از شبکه های ایمن استفاده کنید:
ترجیحا از شبکه های Wi-Fi عمومی خودداری کنید، بسیاری از آنها ایمن نیستند و هکرها می توانند به راحتی به اطلاعات شما دسترسی پیدا کنند. حتما از یک VPN معتبر و با کیفیت استفاده کنید، که به شما امکان اتصال ایمن به اینترنت را در هر نوع شبکه ای می دهد.
- اطلاعات خود را بروز کنید:
سعی کنید دانش پایه امنیت سایبری را بیاموزید و اطلاعات خود را در این حوزه بروز نگه دارید. در صورت تمایل می توانید از مطالب وبلاگ ما که در تلاش هستیم تا آخرین مقالات در حوزه امنیت اطلاعات و بدافزارها را به زبان ساده با کاربران به اشتراک بگذاریم، بازدید کنید. برای اطلاع از آخرین ابزارهای رمزگشا تولید شده توسط امسی سافت، می توانید به صفحه باج افزار امسی سافت مراجعه کنید. همچنین برای اطلاع از آخرین اخبار و ابزارهای رمزگشای باج افزار ها، می توانید از وبسایت معتبر no more ransom بازدید کنید.
- برگزاری جلسات و دوره های آموزشی در شرکت و سازمان:
در صورتی که کسب و کار و شرکت شخصی خود را دارید، حتما برای اعضا و کارمندان شرکت خود به طور منظم جلسات آموزش امنیت فضای آنلاین برگزار کنید تا بتوانید در شرکت خود از حملات فیشینگ و سایر تکنیک های مهندسی اجتماعی در امان باشید.
در صورت آلوده شدن به باج افزار چه باید کرد؟
- دستگاه آلوده را از شبکه جدا کنید: در صورت نگه داشتن سیستم آلوده در شبکه، باج افزار می تواند به تمامی شبکه سازمان سرایت کند و یک فاجعه بزرگ را رقم بزند. برای اطمینان از ایمن ماندن مابقی اطلاعات، درایوهای اشتراکی و سایر دستگاه های موجود در شبکه، ضروری است که دستگاه آلوده را در اسرع وقت از شبکه جدا کنید.
- متوقف کردن انتشار: از آنجا که فایل باج افزار می تواند به سرعت در شبکه منتشر شود، جدا شدن فوری دستگاه آلوده تضمین نمی کند که باج افزار در جاهای دیگر شبکه شما وجود ندارد. برای محدود کردن دامنه آن، باید تمام دستگاه هایی را که رفتار مشکوکی دارند، از جمله سیستم های خارج از محل شرکت یا سازمان اما متصل به شبکه داخلی را جداسازی کرد. خاموش کردن اتصال بی سیم (Wi-Fi، بلوتوث و غیره) در این مرحله نیز ایده خوبی است.
- منبع آلودگی را پیدا کنید: ردیابی آلودگی پس از شناسایی منبع، به مراتب آسان تر می شود. برای انجام این کار، هشدارها و لاگ های نرم افزارهای مانیتورینگ، EDR و غیره را به دقت بررسی کنید. از آنجا که اکثر باج افزارها از طریق لینک ها و پیوست های ایمیل مخرب وارد شبکه می شوند و این امر به تعامل کاربر نیاز دارد، از کارمندان در مورد فعالیت های آنها (مانند باز کردن ایمیل های مشکوک) پرس و جو کنید. سرانجام، نگاهی به تنظیمات و اطلاعات هر فایل نیز می تواند سرنخی برای شما ایجاد کند، شخصی که به عنوان مالک (owner) فایل ذکر شده، احتمالاً منبع آلودگی است. (البته به خاطر داشته باشید که همیشه ممکن است بیش از یک منبع وجود داشته باشد!)
- تشخیص نوع باج افزار: در این مرحله بایستی نوع باج افزاری که با آن سر و کار دارید را متوجه شوید. یک راه استفاده از سرویس جامع و معتبر ID Ransomware است. با آپلود یک نمونه کم حجم از فایل های رمزگذاری شده، نوع باج افزار به شما اعلام خواهد شد. همچنین می توانید از اطلاعات موجود در یادداشت متنی باج افزار استفاده کنید. حتی اگر نسخه باج افزار به طور مستقیم بیان نشده است، با یک سرچ ساده در گوگل، می توانید اطلاعات کافی و مورد نیاز خود را پیدا کنید.
- به سراغ نسخه های پشتیبان و بکاپ بروید: سریعترین و ساده ترین پاسخ به حملات باج افزاری این است که سیستم های خود را از طریق نسخه های پشتیبان بازیابی کنید. در حالت ایده آل و استاندارد، بایستی یک نسخه پشتیبان بروز و پاک از تمامی فایل ها و اطلاعات با اهمیت خود داشته باشید. در این صورت، گام بعدی استفاده از یک اسکنر قدرتمند مانند کیت اضطراری امسی سافت است که همه سیستم ها و دستگاه های آلوده به باج افزار را اسکن و پاکسازی کند، در غیر این صورت رمزگذاری فایل ها ادامه پیدا می کند و نسخه ها پشتیبان شما را هم قفل می کند. پس از، از بین بردن تمام ردپاهای بدافزار، می توانید سیستم خود را با استفاده از فایل های بکاپ بازیابی کرده و مطابق معمول به کار خود برگردید.
- ابزارهای رمزگشا را بررسی کنید: در صورت نداشتن بکاپ، شاید هنوز فرصتی برای بازگردانی اطلاعات از دست رفته باشد. ابزارهای رمزگشای زیادی برای انواع خانواده های باج افزاری تولید شده اند که ممکن است بتوانند اطلاعات شما را رمزگشایی کنند. امسی سافت با تولید ابزار رمزگشا برای بیش از 100 خانواده باج افزاری، یکی از رهبران مبارزه با تهدیدات بدافزاری بخصوص باج افزارها است. ابزارهای دیگر رمزگشایی که توسط دیگر شرکت ها و یا اشخاص نیز توسعه داده شده اند را می توانید از طریق وبسایت no more ransom مشاهده و دانلود کنید.
چرا نباید باج بدهیم؟!
زمانی که افراد و یا شرکت ها اطلاعات خود را به کلی از دست رفته می بینند و یا فرآیند ریکاوری و بازگشتن به روال عادی را بسیار پر دردسر و زمانبر ارزیابی می کنند، وسوسه می شوند باج را پرداخت کرده و غائله را ختم کنند. اما توصیه می کنیم به دلایل زیر باج ندهید:
- ممکن است هیچ گاه ابزار رمزگشا را دریافت نکنید:
اینکه پس از پرداخت باج، ابزار رمزگشا را دریافت کنید یا خیر، به اخلاقیات هکرها و مجرمان سایبری بستگی دارد:) موارد بسیاری وجود داشته که افراد و سازمان ها پس از پرداخت باج، هیچ ابزاری دریافت نکرده اند و علاوه بر خسارتی که باج افزار به آن ها تحمیل کرده است، مقدار قابل توجهی ضرر مالی کرده اند.
2. ممکن است ابزار رمزگشا به درستی عمل نکند:
مجرمان سایبری در فرآیند رمزگشایی و ریکاوری اطلاعات متخصص نیستند و صرفا به دنبال گرفتن باج هستند. بنابراین احتمال دارد که ابزار رمزگشای آن ها پر از ایراد و باگ های مختلف باشد. علاوه بر این گاهی در فرآیند رمزگذاری اطلاعات، فایل ها به شکل غیر قابل بازگشتی صدمه می بینند و امکان بازگردانی آن ها دیگر وجود نخواهد داشت. لازم به ذکر است اگر ابزار رمزگشایی دریافت کردید که به درستی عمل نمی کرد، می توانید آن را برای تیم پشتیبانی ما ارسال کنید. تیم تخصصی ما آن را بررسی کرده و در صورت امکان آن را بصورت رایگان برای شما اصلاح می کنند.
3. ممکن است مجددا مورد هدف قرار بگیرید:
با پرداخت باج، خود را به یک هدف ارزشمند برای هکرها تبدیل می کنید. سازمانی که سابقه پرداخت باج را دارد، هدف جذاب تری نسبت به هدف جدیدی است که ممکن است باج را اصلا پرداخت نکند. بنابراین چه چیزی می تواند مانع از حمله مجدد همان گروه در سال های آینده شود؟
4. با پرداخت باج مجرمان سایبری را تشویق به ادامه فعالیت می کنید:
فرضا که پس از پرداخت باج همه چیز خوب پیش برود و شما موفق به بازگردانی فایل ها خود شوید، باید به یاد داشته باشید که در حال تامین مالی فعالیت های مجرمانه هستید. جدا از مفاهیم اخلاقی، این ایده را تقویت می کنید که باج افزار یک مدل تجاری کارآمد است. اگر هیچکس باج را پرداخت نکند، آیا حملات باج افزاری ادامه خواهند داشت؟ با توجه به دستمزد قابل توجه، مجرمان سایبری به ویران کردن کسب و کارها ادامه میدهند و چه بسا این پول برای توسعه گونه های جدید تر و خطرناک تر حملات سایبری صرف شود.
روز خوب و بدون باج افزاری داشته باشید!
برگرفته از:
بدون نظر