باج افزار چیست؟

تاریخ انتشار مطلب: 2021/07/13
باج افزار (ransomware) نوعی بدافزار است که با رمزگذاری اطلاعات، از دسترسی کاربران به فایل های شخصی جلوگیری می کند و برای رمزگشایی اطلاعات و دسترسی مجدد به سیستم، از کاربران باج گیری می کند. امروزه اغلب باج افزارها از طریق رمز ارزها و یا کارت اعتباری پرداخت می شوند و مهاجمان همه انواع کاربران از جمله کاربران خانگی، شرکت های کوچک و متوسط و حتی سازمان ها بسیار بزرگ را مورد هدف قرار می دهند.
باج افزار چیست؟

باج افزار (ransomware) نوعی بدافزار است که با رمزگذاری اطلاعات، از دسترسی کاربران به فایل های شخصی جلوگیری می کند و برای رمزگشایی اطلاعات و دسترسی مجدد به سیستم، از کاربران باج گیری می کند. امروزه اغلب باج افزارها از طریق رمز ارزها و یا کارت اعتباری پرداخت می شوند و مهاجمان همه انواع کاربران از جمله کاربران خانگی، شرکت های کوچک و متوسط و حتی سازمان ها بسیار بزرگ را مورد هدف قرار می دهند. امروزه برخی از تولید کنندگان باج افزار، باج افزار خود را به عنوان سرویس، به هکرها و یا حتی افراد معمولی تحت عنوان RaaS (ransomware as a service) می فروشند.

باج افزارها چگونه کار می کنند؟

باج افزارها از رمزنگاری نوع نامتقارن استفاده می کنند. این رمزنگاری از یک جفت کلید برای رمزگذاری و رمزگشایی یک فایل استفاده می کند. جفت کلید عمومی/خصوصی توسط فرد مهاجم، برای هر قربانی به صورت منحصربفرد ایجاد می شود و کلید خصوصی که برای رمزگشایی فایل استفاده می شود، در سرور مهاجم ذخیره می گردد. تنها پس از دریافت مبلغ باج، کلید خصوصی در دسترس قربانی قرار می گیرد، البته متاسفانه باید بگوییم که همیشه هم اینگونه نیست! بدون دسترسی به کلید خصوصی، رمزگشایی اطلاعات تقریباً غیرممکن است.

انواع مختلفی از خانواده های باج افزاری وجود دارد. غالباً باج افزارها با استفاده از ایمیل های مخرب، کِرک کردن نرم افزارها و حملات هدفمند فیشینگ توزیع می شوند. پس از نفوذ باج افزار به یک سیستم، فایل آلوده تا زمان اجرا بر روی سیستم باقی می ماند.

باج افزار پس از نفوذ موفق به سیستم، با اجرای یک کد مخرب، فایل های با ارزشی مانند اسناد مایکروسافت (شامل وُرد و اِکسل و …)، فایل های تصویری، دیتابیس و غیره را جستجو و رمزگذاری می کند. همچنین قادر است تا با اکسپلویت آسیب پذیری های شبکه،  به کل سیستم های شبکه منتقل شده و آن ها را آلوده کند.

پس از رمزگذاری اطلاعات، قربانی مدت زمان محدودی فرصت دارد تا با پرداخت باج، ابزار رمزگشا را از مجرمان دریافت کند در غیر این صورت اطلاعات او برای همیشه از بین می روند. اگر نسخه پشتیبان (بکاپ) از اطلاعات وجود نداشته باشد و یا آن ها هم رمزگذاری شده باشند، قربانی راهی جز پرداخت باج ندارد.

چگونه به باج افزار آلوده می شویم؟

آلوده شدن به باج افزار از طریق روش های مختلفی امکان پذیر است. یکی از متداول ترین روش ها، ایمیل های آلوده و مخرب است. این ایمیل ها شامل پیوست های PDF یا اسناد Word آلوده هستند و یا اینکه می توانند حاوی لینک هایی به وبسایت های مخرب باشد. این روش از انواع تکنیک های فیشینگ استفاده می کند تا کاربران را ترغیب به باز کردن ایمیل و کلیک بر روی فایل پیوست کند.

یکی دیگر از روش های آلوده شدن به باج افزار دانلود از وبسایت های نامعتبر و کرک کردن نرم افزارهاست. کرک کردن کاری غیر اخلاقی و البته غیرقانونی است. (به جز ایران البته) مجرمان سایبری از این فرصت استفاده کرده و با آلوده کردن فایل کرک به انواع بدافزارها و خصوصا باج افزار، اطلاعات کاربران را رمزگذاری می کنند. اینجا در امسی سافت زیاد می شنویم که پس از اجرای فایل کرک، اطلاعات کاربر رمزگذاری شده و تمامی آن ها را برای همیشه از دست داده است.

 یکی دیگر از روش های محبوب، Malvertising یا استفاده از تبلیغات آنلاین برای توزیع باج افزار است که معمولا نیازی هم به تعامل کاربر ندارد. هنگام وبگردی (حتی سایت های معتبر) می توان کاربر را بدون نیاز به هیچ تعاملی به سرورهای آلوده هدایت کرد. این سرورها جزئیات مربوط به سیستم قربانی و حتی مکان آنها را فهرست بندی می کنند و سپس می توانند به راحتی سیستم مورد نظر را آلوده کنند. این روش معمولا از صفحات وب نامرئی برای انجام کارهای خود استفاده می کند و کیت اکسپلویت از طریق این صفحات به سیستم نفوذ کرده و می تواند آن را آلوده کند. همه این فرآیندها بدون اطلاع کاربر اتفاق می افتد، به همین دلیل است که اغلب به این نوع حملات، drive-by-download می گویند.

 

چگونه به باج افزار آلوده می شویم؟

باج افزار به عنوان یک سرویس (RaaS) چیست؟

Ransomware-as-a-Service یک سرویس و البته یک مدل اقتصادی جرایم اینترنتی است، که به توسعه دهندگان باج افزار اجازه می دهد تا بدون نیاز به توزیع باج افزار، کسب درآمد کنند. روش کار معمولا به این صورت است که افراد غیر متخصص، در حالیکه درصدی از درآمد خود را با توسعه دهندگان باج افزار شریک می شوند، باج افزار خود را که کاملا قابلیت سفارشی کردن تنظیمات و مشخصات آن را دارند خریداری کرده و اقدام به توزیع و انتشار آن می کنند. در این حالت ریسک توسعه دهندگان و عاملان اصلی بسیار کمتر شده و در واقع مشتریان آنها بیشتر کار را انجام می دهند. برخی از این سرویس ها از طریق خرید اشتراک قابل استفاده هستند، در حالی که برخی دیگر به ثبت نام نیاز دارند.

چگونه از حملات باج افزاری جلوگیری کنیم؟

برای جلوگیری از حملات باج افزاری و یا کاهش صدمات پس از حمله، حتما نکات زیر را در نظر بگیرید:

  • بکاپ گیری منظم از اطلاعات:

بهترین راه برای مقابله با باج افزارها، بکاپ گیری منظم از اطلاعات مهم خود در یک فضای ابری و یک هارد اکسترنال است. به این ترتیب، در صورت آلوده شدن به باج افزار، می توانید سیستم عامل خود را به سرعت تعویض کرده و نسخه های پشتیبان خود را بازگردانی کنید.

  • ایمن سازی فایل های بکاپ (نسخه های پشتیبان):

اطمینان حاصل کنید که نسخه های پشتیبان شما در یک حافظه ایمن هستند و قابل دسترسی توسط افراد غیر مجاز نیست. بسیاری از انواع باج افزارها به دنبال پیدا کردن فایل های بکاپ و رمزگذاری یا حذف آن ها هستند تا امکان بازیابی اطلاعات وجود نداشته باشد. بنابراین از سیستم های بکاپ گیری استفاده کنید که اجازه دسترسی مستقیم به فایل های بکاپ را نمی دهند.

  • آنتی ویروس معتبر و بروز استفاه کنید:

اطمینان حاصل کنید که تمامی کامپیوترها و دستگاه های شما توسط یک آنتی ویروس معتبر و با کیفیت محافظت می شوند. همچنین تمامی آنتی ویروس ها، سیستم عامل ها و نرم افزارهای دیگر خود را بروز نگه دارید، چرا که بروزرسانی ها شامل انواع پَچ های امنیتی هستند که در ارتقا امنیت سیستم بسیار موثرند. ترجیحا بروزرسانی خودکار را فعال کنید و یا از نرم افزارهای Patch Management استفاده کنید.

  • وبگردی ایمن را تمرین کنید:

مراقب باشید که کجا کلیک می کنید. ایمیل ها و پیام های ناشناس و مشکوک را باز نکنید. نرم افزارهای مورد نیاز خود را تنها از وبسایت ها و منابع معتبر دانلود کنید. لطفا این مورد را بسیار جدی بگیرید چرا که استفاده از تکنیک های مهندسی اجتماعی و فیشینگ، برای ترغیب کاربران به دانلود و نصب بدافزار بسیار رایج شده است.

  • فقط از شبکه های ایمن استفاده کنید:

ترجیحا از شبکه های Wi-Fi عمومی خودداری کنید، بسیاری از آنها ایمن نیستند و هکرها می توانند به راحتی به اطلاعات شما دسترسی پیدا کنند. حتما از یک VPN معتبر و با کیفیت استفاده کنید، که به شما امکان اتصال ایمن به اینترنت را در هر نوع شبکه ای می دهد.

  • اطلاعات خود را بروز کنید:

سعی کنید دانش پایه امنیت سایبری را بیاموزید و اطلاعات خود را در این حوزه بروز نگه دارید. در صورت تمایل می توانید از مطالب وبلاگ ما که در تلاش هستیم تا آخرین مقالات در حوزه امنیت اطلاعات و بدافزارها را به زبان ساده با کاربران به اشتراک بگذاریم، بازدید کنید. برای اطلاع از آخرین ابزارهای رمزگشا تولید شده توسط امسی سافت، می توانید به صفحه باج افزار امسی سافت مراجعه کنید. همچنین برای اطلاع از آخرین اخبار و ابزارهای رمزگشای باج افزار ها، می توانید از وبسایت معتبر no more ransom بازدید کنید.

  • برگزاری جلسات و دوره های آموزشی در شرکت و سازمان:

در صورتی که کسب و کار و شرکت شخصی خود را دارید، حتما برای اعضا و کارمندان شرکت خود به طور منظم جلسات آموزش امنیت فضای آنلاین برگزار کنید تا بتوانید در شرکت خود از حملات فیشینگ و سایر تکنیک های مهندسی اجتماعی در امان باشید.

چگونه از حملات باج افزاری جلوگیری کنیم؟

 

 در صورت آلوده شدن به باج افزار چه باید کرد؟

  1. دستگاه آلوده را از شبکه جدا کنید: در صورت نگه داشتن سیستم آلوده در شبکه، باج افزار می تواند به تمامی شبکه سازمان سرایت کند و یک فاجعه بزرگ را رقم بزند. برای اطمینان از ایمن ماندن مابقی اطلاعات، درایوهای اشتراکی و سایر دستگاه های موجود در شبکه، ضروری است که دستگاه آلوده را در اسرع وقت از شبکه جدا کنید.
  2. متوقف کردن انتشار: از آنجا که فایل باج افزار می تواند به سرعت در شبکه منشتر شود، جدا شدن فوری دستگاه آلوده تضمین نمی کند که باج افزار در جاهای دیگر شبکه شما وجود ندارد. برای محدود کردن دامنه آن، باید تمام دستگاه هایی را که رفتار مشکوکی دارند، از جمله سیستم های خارج از محل شرکت یا سازمان اما متصل به شبکه داخلی را جداسازی کرد. خاموش کردن اتصال بی سیم (Wi-Fi ، بلوتوث و غیره) در این مرحله نیز ایده خوبی است.
  3. منبع آلودگی را پیدا کنید: ردیابی آلودگی پس از شناسایی منبع، به مراتب آسان تر می شود. برای انجام این کار، هشدارها و لاگ های نرم افزارهای مانیتورینگ، EDR و غیره را به دقت بررسی کنید. از آنجا که اکثر باج افزارها از طریق لینک ها و پیوست های ایمیل مخرب وارد شبکه می شوند و این امر به تعامل کاربر نیاز دارد، از کارمندان در مورد فعالیت های آنها (مانند باز کردن ایمیل های مشکوک) پرس و جو کنید. سرانجام، نگاهی به تنظیمات و اطلاعات هر فایل نیز می تواند سرنخی برای شما ایجاد کند، شخصی که به عنوان مالک (owner) فایل ذکر شده، احتمالاً منبع آلودگی است. (البته به خاطر داشته باشید که همیشه ممکن است بیش از یک منبع وجود داشته باشد!)
  4. تشخیص نوع باج افزار: در این مرحله بایستی نوع باج افزاری که با آن سر و کار دارید را متوجه شوید. یک راه استفاده از سرویس جامع و معتبر ID Ransomware است. با آپلود یک نمونه کم حجم از فایل های رمزگذاری شده، نوع باج افزار به شما اعلام خواهد شد. همچنین می توانید از اطلاعات موجود در یادداشت متنی باج افزار استفاده کنید. حتی اگر نسخه باج افزار به طور مستقیم بیان نشده است، با یک سرچ ساده در گوگل، می توانید اطلاعات کافی و مورد نیاز خود را پیدا کنید.
  5. به سراغ نسخه های پشتیبان و بکاپ بروید: سریعترین و ساده ترین پاسخ به حملات باج افزاری این است که سیستم های خود را از طریق نسخه های پشتیبان بازیابی کنید. در حالت ایده آل و استاندارد، بایستی یک نسخه پشتیبان بروز و پاک از تمامی فایل ها و اطلاعات با اهمیت خود داشته باشید. در این صورت، گام بعدی استفاده از یک اسکنر قدرتمند ماند کیت اضطراری امسی سافت است که همه سیستم ها و دستگاه های آلوده به باج افزار را اسکن و پاکسازی کند، در غیر این صورت رمزگذاری فایل ها ادامه پیدا می کند و نسخه ها پشتیبان شما را هم قفل می کند. پس از، از بین بردن تمام ردپاهای بدافزار، می توانید سیستم خود را با استفاده از فایل های بکاپ بازیابی کرده و مطابق معمول به کار خود برگردید.
  6. ابزارهای رمزگشا را بررسی کنید: در صورت نداشتن بکاپ، شاید هنوز فرصتی برای بازگردانی اطلاعات از دست رفته باشد. ابزارهای رمزگشای زیادی برای انواع خانواده های باج افزاری تولید شده اند که ممکن است بتوانند اطلاعات شما را رمزگشایی کنند. امسی سافت با تولید ابزار رمزگشا برای بیش از 100 خانواده باج افزاری، یکی از رهبران مبارزه با تهدیدات بدافزاری بخصوص باج افزارها است. ابزارهای دیگر رمزگشایی که توسط دیگر شرکت ها و یا اشخاص نیز توسعه داده شده اند را می توانید از طریق وبسیات no more ransom مشاهده و دانلود کنید.

روز خوب و بدون باج افزاری داشته باشید!

برگرفته از:

What Is Ransomware?

All about ransomware attacks

مطالب بیشتری بخوانید.

آیا واقعا نیازی به خرید آنتی ویروس و یا VPN هست؟

آیا واقعا نیازی به خرید آنتی ویروس و یا VPN هست؟

چرا برای خرید آنتی ویروس و حفاظت از اطلاعات دیجیتال و کامپیوتر خود باید هزینه کنید؟ آیا این هدر دادن پول است؟ به طور کلی می توان گفت که پاسخ منفی است و این هزینه کاملا ضروری و منطقی به نظر می رسد. بسته به سیستم عاملی که از آن استفاده می کنید، داشتن یک آنتی ویروس شخص ثالث (مستقل از آنتی ویروس های پیش فرض سیستم عامل)، ایده خوبی است و حتی در برخی موارد یک ضرورت به حساب می آید.

بروزرسانی خودکار سیستم عامل و نرم افزارها با ابزارهای بروزرسانی خودکار

بروزرسانی خودکار سیستم عامل و نرم افزارها با ابزارهای بروزرسانی خودکار

بطور کلی کامپیوترهایی که بروزرسانی خودکار آن ها فعال است و بصورت پیوسته بروز می شوند، در برابر حملات سایبری و بدافزارها، بسیار ایمن تر از سیستم های بروز نشده و قدیمی هستند. ابزارهای بسیار کارآمدی برای طیف مختلف کاربران وجود دارد که می توانند سیستم عامل ها و برنامه ها را بصورت خودکار بروز نگه داشته و امنیت لازم را فراهم کنند.

نسخه 2021.7: بهبود پنل مدیریت حوادث آنتی ویروس امسی سافت

نسخه 2021.7: بهبود پنل مدیریت حوادث آنتی ویروس امسی سافت

در نسخه جدید پنل مدیریت حوادث آنتی ویروس امسی سافت، موارد شناسایی شده و فرآیند های مشکوک را با جزئیات بیشتری می توانید بررسی و تحلیل کنید. همچنین اگر مشخص شود که برنامه ای ایمن و معتبر است، می توانید به راحتی و تنها با یک کلیک، آن را در لیست استثنات قرار دهید.

نظرات

بدون نظر

ارسال نظر

نشانی ایمیل شما منتشر نخواهد شد.