هکرها هر روز روشهای جدیدتری برای آسیب زدن به ما پیدا می‌کنن. حفاظت از اطلاعات و دارایی‌های شبکه ما یکی از وظایفی است که باید بسیار به آن اهمیت بدهیم. چرا که بسیاری از کارهای ما بر بستر شبکه و اینترنت انجام می‌شوند و اگر آنها آسیب جدی ببینند به معنای این است که کسب و کار ما آسیب دیده است. از همان روز راه اندازی شبکه در یک شرکت باید تمهیداتی فراهم شود تا با انواع ویروسها مقابله گردد.

با وجود کاهش باج افزار ها، اما آنها هنوز هم تهدیداتی جدی به شمار می‌روند. در این مقاله همه چیزهایی که شما باید در مورد باج افزار ها و نحوه عملکرد آنها بدانید، آمده است.

 

معنای باج افزار

باج افزار ها گونه ای از بدافزارها هستند و  زمانی که کامپیوتر شما را در اختیار بگیرند، به شکل مخربی عمل می کنند و معمولا از دسترسی شما به داده های خودتان جلوگیری می نمایند. مهاجم از قربانی باج خواهی می کند و قول می دهد – همیشه صادق نیستند! – که هنگام پرداخت مبلغ، دسترسی به داده ها را برای فرد ممکن سازد.

به کاربران دستورالعملی نشان داده می شود که چگونه پس از پرداخت مبلغ، داده های خود را رمزگشایی کنند. مبلغ باج می تواند از چند صد تا هزاران دلار تعیین شود و به صورت بیت کوین به مجرمین سایبری پرداخت می گردد.

 

باج افزار ها چگونه عمل می کنند

باج افزار ها به چند طریق می توانند به یک کامپیوتر دسترسی پیدا کنند. یکی از راه های معمول از طریق پیوست هرزنامه های ایمیل می باشد، که در آن باج افزار به شکل فایلی قابل اعتماد برای شما نمایان می شود. زمانی که آنها دانلود و باز شوند، می توانند کنترل کامپیوتر قربانی را در اختیار گیرند، خصوصا اگر آنها درون خود یک ابزار مدیریت اجتماعی داشته باشند که کاربر را فریب داده و مجاب کنند تا برایشان اجازه دسترسی مدیریتی صادر کند. برخی دیگر، به صورت مستقیم عمل می کنند مانند NotPetya که با ورود از حفره های امنیتی، سیستم را، بدون نیاز به فریب کاربر، آلوده می سازند.

بعد از اینکه کنترل کامپیوتر قربانی در اختیار این بدافزار قرار بگیرد، ممکن است چند کار انجام دهد، اما معمول ترین کاری که انجام می دهد رمزنگاری برخی یا همه فایل های کاربر است. مهمترین چیز دانستن این نکته است که بعد از پایان فرایند رمزنگاری، امکان رمزگشایی بدون کلیدی که فقط در اختیار مهاجم است وجود ندارد. در این مرحله برای کاربر پیغامی نشان داده می شود مبنی بر اینکه اکنون فایل های شما غیر قابل دسترسی می باشد و فقط زمانی رمزگشایی می شود که قربانی برای مهاجم بیت کوین غیر قابل رهگیری پرداخت نماید.

در برخی شکل های این بدافزار، مهاجم خود را به جای یک مامور حقوقی یا امنیتی جا می زند که کامپیوتر قربانی را به علت وجود تصاویر مستهجن یا نرم افزارهای دزدی مورد هدف قرار داده و درخواست پرداخت “جریمه” از کاربر می نماید، که از این طریق احتمال گزارش حمله به مقامات رسمی توسط کاربر کمتر گردد. اما اکثر حمله ها به این شکل ظاهرسازی نمی کنند. اگرچه مدلی دیگر هم هست که به آن doxware یا leakware گفته می شود و در آن مهاجم تهدید می کند که در صورتی که مبلغ باج پرداخت نشود اقدام به انتشار عمومی و گسترده اطلاعات حساس کامپیوتر قربانی می کند. اما از آنجا که یافتن و دسترسی به چنین اطلاعاتی نیاز به مهارت زیادی از جانب مهاجمین دارد، روش رمزنگاری در باج افزارها متداول ترین شیوه مورد استفاده می باشد.

 

چه کسی مورد هدف باج‌افزارها قرار می‌گیرد؟

مهاجمین چندین شیوه متفاوت برای انتخاب سازمانی که هدف حمله باج افزارها قرار دهند دارند. گاهی بنا به موقعیت آن را انتخاب می کنند: به طور مثال، مهاجمین ممکن است دانشگاه ها را هدف قرار دهند زیرا آنها تیم های امنیتی کوچکتری دارند و تعداد زیادی از دانشجویانی دارند که فایل های بسیاری را به اشتراک گذاشته اند، که همین راه را برای نفوذ ساده تر می سازد.

از سویی دیگر، برخی سازمان ها به این علت که به سهولت بیشتری باج را می پردازند مورد عنوان هدف قرار می گیرند. برای مثال، نمایندگی های دولتی یا تجهیزات پزشکی به صورت لحظه ای نیاز به دسترسی به فایل های خود دارند. موسسات حقوقی و سازمان هایی که اطلاعات حساسی دارند بیشتر تمایل دارند تا مبلغ باج را پرداخت کنند تا از درز اخبار و اطلاعاتشان جلوگیری کنند و به همین جهت این سازمان ها نسبت به درز اطلاعاتشان به شیوه Leakware بسیار حساس هستند.

اما احساس نکنید شما به علت اینکه در این زیرمجموعه ها قرار ندارید، در امان هستید: همانگونه که ما اشاره کردیم، برخی باج افزار ها به صورت خودکار و پیوسته در سراسر اینترنت پخش می گردند.

شما باید حتماً از شرکتی که پشتیبانی و نگهداری شبکه را برایتان انجام می‌دهد بخواهید که هر کاری که لازم است را برای مقابله با باج‌افزارها انجام دهند. این مطالبه میسر نخواهد شد مگر با یک قرارداد خدمات شبکه که به دقت نوشته شده باشد و به امضای شما و شرکت پشتیبانی شبکه رسیده باشد.

چگونه از ورود باج افزار ها جلوگیری کنیم؟

می توانید با چند اقدام دفاعی از آلوده شدن به باج افزار ها جلوگیری نمایید. این ها اقدامات امنیتی عمومی هستند که در صورت رعایت آنها دفاع شما در برابر انواع حملات قوی تر خواهد شد:

  • سیستم عامل خود را بروز رسانی کنید. این کار باعث می شود تا حفره های امنیتی کمتری جهت نفوذ داشته باشید.
  • تا زمانیکه از عملکرد و منبع یک نرم افزار مطمئن نشده اید، از نصب و دادن امتیازات مدیریتی به آن خودداری نمایید.
  • یک آنتی ویروس نصب کنید، که هنگام ورود برنامه های مخرب مانند باج افزار ها آنها را شناسایی کند و از اجرای برنامه هایی که هنوز تایید نشده اند در وهله اول جلوگیری کند.
  • و البته، از فایل های خود به طور مرتب و خودکار پشتیبان تهیه کنید! این کار از حمله بدافزارها جلوگیری نمی کند، اما می تواند اثرات مخرب حمله را به طور چشمگیری کاهش دهد.

پاک کردن باج‌افزارها

اگر کامپیوتر شما توسط باج افزار آلوده شده است، شما می بایست کنترل سیستم خود را مجددا بدست آورید.

مهمترین اقدامات عبارتند از:

  • راه اندازی مجدد سیستم و رفتن به حالت ایمن (safe mode)
  • نصب ضد بدافزار
  • اسکن کردن سیستم جهت یافتن برنامه باج افزار
  • بازگرداندن کامپیوتر به حالت قبل

یک نکته مهم را به ذهن خود بسپارید: اگرچه انجام این اقدامات می تواند منجر به حذف باج افزار از کامپیوتر شما و بازگرداندن کنترل سیستم شود، اما باعث رمزگشایی فایل های شما نمی شود. تا آن زمان فایل ها به فایل های غیرقابل خواندن تبدیل شده اند، و اگر این بدافزار خیلی پیچیده باشد، به طور منطقی رمزگشایی از آن فایل ها بدون داشتن کلیدی که در اختیار مهاجم است، برای هیچکس امکان پذیر نمی باشد. در واقع با حذف بد افزار، شما امکان بازیابی فایل های خود را از طریق پرداخت باج درخواستی مهاجمین از دست می دهید.

 

 

حقایق و آمارهایی از باج افزار

باج افزار تجارتی بزرگ به شمار می رود. مبالغ بسیار هنگفتی در باج افزار رد و بدل می شود و بازار آن از آغاز دهه جدید میلادی گسترش بسیار زیادی داشته است. در سال 2017 باج افزار ها باعث ضرر 5 میلیارد دلاری شدند، هم به جهت مبالغ پرداخت شده و هم از جهت زمانی که بابت خنثی نمودن حملات از بین رفته است. یعنی رشدی 15 برابری نسبت به سال 2015. در چهارماهه اول سال 2018 تنها یک نوع از باج افزار ها به اسم SamSam مبلغ یک میلیون دلار دریافت کرد.

برخی بازارها نسبت به باج افزار ها آسیب پذیرتر هستند – همینطور نسبت به پرداخت باج

بسیاری از حملات گسترده باج افزارها در بیمارستان ها یا مراکز پزشکی به وقوع پیوسته است، که اهدافی وسوسه انگیز به شمار می روند: مهاجمان می دانند که وقتی صحبت از مرگ و زندگی باشد، این سازمان ها به احتمال بیشتری مبالغ باج را پرداخت می کنند تا مشکلشان حل شود. تخمین زده می شود که 45 درصد حملات باج افزاری در مراکز مرتبط با سلامت اتفاق می افتد، و برعکس، 85 درصد بدافزارهایی که در مراکز سلامت وجود دارند از نوع باج افزار ها می باشند. برویم سراغ صنعت وسوه انگیز دیگری؟ بخش های مالی که آنطور که ویلی ساتن می‌گوید، جاهایی هستند که پول در آنجا هست. تخمین زده می شود که در سال 2017 حدود 90 درصد موسسات مالی مورد هدف باج افزار ها قرار گرفته اند.

نرم افزار ضد بد افزار شما الزاما از شما محافظت نمی کند.

باج افزار ها به صورت پیوسته توسط سازنده های آنها نوشته و پیچیده تر می شوند، و در نتیجه نشانه های آنها توسط برنامه های آنتی ویروس معمولی قابل شناسایی نیستند. در واقع چیزی در حدود 75 درصد شرکت ها که قربانی باج افزار ها شده اند، نرم افزارهای آنتی ویروس به روز شده ای بر روی سیستم های مورد استفاده کاربران خود که آلوده شده اند، داشته اند.

باج افزار ها آنقدرها هم شایع نیستند.

اما یک خبر خوب، این را بخوانید: تعداد حملات باج افزار ها ، بعد از گستردگی فراوان در اواسط دهه 2010، رو به کاهش است، گرچه تعداد اولیه آنها آنقدر زیاد بوده که هنوز هم وجود دارند. اما در چهارماهه اول سال 2017، میزان حملات باج افزار ها 60 درصد کل حملات بدافزارها بود که الان به 5 درصد کاهش یافته است.

باج افزار ها رو به کاهش هستند؟

پشت پرده این افول چیست؟ یکی از عوامل تاثیرگذار بُعد اقتصادی مساله است که آن هم به نوع واحد پول مورد استفاده مجرمین سایبری، بیت کوین، برمی گردد. پرداخت باج توسط قربانی همیشه قطعی نیست؛ آنها ممکن است تصمیم به پرداخت نگیرند، یا حتی اگر بخواهند پرداخت کنند، ممکن است با بیت کوین آشنایی چندانی نداشته باشند که بتوانند این کار را انجام دهند.

همانگونه که کسپرسکی اشاره کرده، افول باج افزار ها همگام شده با جهش بدافزارهای استخراج بیت کوین، که کامپیوتر قربانی را آلوده می کنند و از منابع آن جهت خلق (یا استخراج، آنطور که بین این افراد رایج است) بیت کوین استفاده می کنند بدون اینکه حتی آن کاربر (مالک) متوجه این امر گردد. استفاده از منابع دیگران برای دریافت بیت کوین راهی بسیار شسته رفته است و بیشتر سختی های باج خواهی را نیز ندارد، و این روش با توجه به نرخ جهشی بیت کوین در سال 2017 جذاب تر هم شده است.

اگرچه این به معنای پایان تهدیدها نیست. بارکلی توضیح می دهد که ما با دو نوع متفاوت از مهاجمین باج افزاری روبرو هستیم: دسته اول که از باج افزار به عنوان یک سرویس استفاده می کنند و با حجم بالا سعی در آلوده کردن کامپیوترها دارند؛ اما دسته دوم گروه های هدف را شناسایی می کنند و به دنبال بخش های آسیب پذیر و سازمان ها هستند. اگر در دسته دوم قرار دارید باید خیلی هوشیار باشید، اینکه باج افزارها از دوران اوج خود فاصله گرفته اند در اینجا خیلی اهمیتی ندارد.

با توجه به کاهش نرخ بیت کوین در سال 2018، تحلیل سود و زیان توسط مهاجمین صورت می پذیرد. استفاده از باج افزار ها یا بدافزارهای استخراج بیت کوین به تصمیم مهاجمین بستگی دارد. این مطلب را استیو گرابمن، مدیر واحد تکنولوژی شرکت مک آفی بیان می کند. “طبیعی است که با کاهش نرخ ارزهای رمزنگاری شده، شاهد بازگشت باج افزار ها باشیم.”

آیا باید باج را پرداخت نمایید؟

اگر سیستم شما با یک بدافزار آلوده شده باشد، و شما اطلاعات حیاتی خود را از دست داده باشید و حتی نتوانید آنها را از طریق فایل های پشتیبان، بازیابی کنید، آیا باید باج را پرداخت نمایید؟

از دید تئوری، اکثر نمایندگان حقوقی به شما توصیه می کنند که مبلغ باج را پرداخت ننمایید، چون به طور منطقی این کار شما هکرها را نسبت به خلق باج افزار های بیشتر تشویق می کند. بسیاری از سازمان ها هنگام مواجهه با بدافزارها برای گرفتن بهترین تصمیم اقدام به تحلیل سود و زیان می کنند، و مبلغ درخواست شده را با ارزش داده های رمزنگاری شده می سنجند. بنا بر تحقیقی که از جانب ترند میکرو صورت پذیرفته، اگرچه 66 درصد از شرکت ها عدم پرداخت باج را به عنوان یک اصل مطرح کرده اند، اما در عمل 65 درصد هنگام آسیب دیدن باج را پرداخت کرده اند.

مهاجمین باج افزار قیمت ها را پایین نگه می دارند، معمولا بین 700 تا 1300 دلار، مبلغی که شرکت ها توان پرداخت آن را در مدت کوتاهی داشته باشند. بعضی از بدافزارهای پیچیده تر به طور خاص کشوری که کامپیوتر آلوده شده در آن واقع شده را بررسی می کنند و با توجه به وضع اقتصادی آن کشور مبلغ باج را تعیین می کنند، مبلغ بیشتری از شرکت هایی که در کشورهای ثروتمند هستند طلب می کنند و مبلغ کمتر هم از آنها که در مناطق فقیر قرار دارند.

همچنین به جهت تشویق قربانیان برای پرداخت سریع قبل از فکر کردن به موضوع، تخفیفاتی هم برای این افراد در نظر می گیرند. به طور کلی، مبلغی که تعیین می شود آنقدر بالا هست که مجرم مدت زمانی را صرف آن کند، و از طرفی به اندازه ای پایین هست که معمولا پرداخت آن برای قربانی ارزانتر از بازیابی یا ساخت دوباره اطلاعات از دست رفته باشد. با توجه به این موضوع، برخی شرکت ها به تازگی در طراحی های امنیتی خود بخشی را هم به پرداخت مبلغ باج ها اختصاص می دهند. برای مثال، بعضی از شرکت های بزرگ بریتانیایی که با ارزهای دیجیتالی سر و کاری ندارند، مقداری بیت کوین به جهت پرداخت مبلغ باج ها ذخیره کرده اند.

به چند نکته توجه کنید و به خاطر بسپارید افرادی که در این زمینه با آنها برخورد دارید، مجرم هستند. اول، آنچه شبیه باج افزار است ممکن است داده های شما را در واقع رمزنگاری نکرده باشد، قبل از اینکه پولی به کسی پرداخت کنید مطمئن شوید که با بدافزارهایی که برای ترساندن و فریب دادن استفاده می شوند سر و کار ندارید. و دوم، پرداخت وجه به مهاجمین به منزله بازپس گیری فایل هایتان نیست. گاهی مجرمین به محض دریافت پول، فرار می کنند، در حالیکه ممکن است کلید صحیح رمزگشایی را نیز نساخته باشند. اما چنین بدافزارهایی به سرعت مشهور می شوند و نمی توانند درآمدزایی داشته باشند. پس در بیشتر مواقع – گری ساکرایدر، از بخش تکنولوژی امنیت شرکت Arbor Networks تخمین می زند حدود 65 تا 70 درصد مواقع – داده های شما بازگردانده می شود.

 

 

نمونه هایی از باج افزار ها

اگرچه ما از دهه 90 شاهد حضور باج افزار ها بوده ایم، اما آنها در 5 سال اخیر رشد چشمگیری داشته اند و علت اصلی آن نیز دسترسی به روش های پرداختِ بدون ردیابی مانند بیت کوین می باشد. بعضی از بدترین حملات عبارتند از:

  • CryptoLocker ، حمله ای که در سال 2013 رخ داد و باعث آغاز عصر جدیدی در باج افزارها شد و بالای 500 هزار سیستم را آلوده کرد.
  • TeslaCrypt ، که فایل های بازی را هدف قرار داد و در دوران حضورش پیوسته در حال ارتقا بود.
  • SimpleLocker ، اولین حمله گسترده باج افزار ها با تمرکز روی دستگاه های قابل حمل (گوشی های هوشمند، تبلت ها و …)
  • WannaCry ، که به صورت خودکار از یک کامپیوتر به کامپیوتری دیگر با استفاده از EternalBlue ، کدهایی که برای شناسایی و کشف حفره های امنیتی توسط NSA (آژانس امنیت ملی آمریکا) نوشته شده بود و سپس توسط هکرها دزدیده شد، منتقل می شد.
  • NotPetya ، هم از EternalBlue بهره برد و احتمالا بخشی از حمله سایبری روسیه علیه اوکراین می باشد.
  • Lockey ، که در سال 2016 منتشر و پخش گردید و به لحاظ ساختاری مشابه بدافزار Dridex عمل می کند.

و این لیست طولانی تر هم خواهد شد. حتی در همین زمانیکه این مقاله در حال جمع آوری می باشد، موج جدیدی از باج افزار ها ، با عنوان BadRabbit ، در حال گسترش میان شرکت های رسانه ای شرق اروپا و آسیا می باشد. مساله مهم این است که شما با دنبال کردن موارد ذکر شده بتوانید از خود مراقبت نمایید.