آشنایی با باج افزار و نحوه عملکرد آن
باج افزار (Ransomware) بدافزاری است که از اطلاعات قربانی به عنوان باج استفاده میکند. و دادههای حیاتی کاربر یا سازمان را به گونه ای رمزگذاری میکند که نتوانند به فایلها، پایگاههای داده یا برنامهها دسترسی یابند. باج افزار اغلب برای پخش شدن در شبکه و هدف قرار دادن پایگاه داده و فایلهای سرورها طراحی شده است. بنابراین، میتواند به سرعت کل یک سازمان را فلج کند. این یک تهدید رو به رشد است که تا کنون باعث پرداخت میلیاردها دلار به مجرمان سایبری شده است. همچنین خسارات و هزینه های قابل توجهی را به مشاغل و سازمان های دولتی وارد میکند.
باجافزار چگونه کار میکند؟
باج افزار از رمزگذاری نامتقارن استفاده میکند. این رمزنگاری به گونه ای است که در آن از یک جفت کلید برای رمزگذاری و رمزگشایی یک فایل استفاده میشود. جفت کلیدهای عمومی _ خصوصی به طور منحصر به فرد توسط مهاجم برای قربانی تولید میشود. کلید خصوصی برای رمزگشایی فایلهای ذخیره شده در سرور باج گیرنده است. باج گیرنده کلید خصوصی را تنها پس از پرداخت باج در اختیار قربانی قرار میدهد. بدون دسترسی به کلید خصوصی، رمزگشایی فایلهایی که رمزگذاری شدهاند تقریبا غیرممکن است.
انواع مختلفی از باج افزار وجود دارد. اغلب باج افزارها (و سایر بدافزارها) با استفاده از ایمیلهای اسپم یا از طریق حملات هدفمند توزیع میشوند. بدافزار به یک راه دسترسی برای حمله نیاز دارد، تا کار رمزگذاری را انجام دهد و حضور خود را ثابت کند. علاوه بر آن در صورت موفقیت تا زمانی که وظیفهاش انجام شود، روی سیستم باقی میماند.
پس از دسترسی به سیستم، باج افزار یک باینری مخرب را بر روی سیستم آلوده اجرا میکند. سپس این باینری فایلهای با ارزشی مانند اسناد Microsoft Word، تصاویر، پایگاههای داده و غیره را جستجو و رمزگذاری میکند. این باج افزار همچنین ممکن است از آسیب پذیریهای سیستم و شبکه برای گسترش به سیستمهای دیگر و احتمالاً در کل سازمانها سوء استفاده کند.
هنگامی که فایلها رمزگذاری شدند، باجافزار از کاربر میخواهد که طی 24 تا 48 ساعت برای رمزگشایی فایلها باج بپردازد. در غیر این صورت فایلها و اطلاعات برای همیشه از دست خواهند رفت. اگر از اطلاعات پشتیبانگیری نشده باشد و یا خود آن نسخههای پشتیبان رمزگذاری شده باشند، قربانی به غیر از پرداخت باج برای بازیابی فایلهای شخصی راه دیگری ندارد.
چرا باج افزار ها در حال گسترش هستند؟
حملات باجافزاری و انواع آنها به دلایل مختلفی برای مقابله با فناوریهای پیشگیرانه به سرعت در حال تکامل هستند. دلایلی مانند:
- در دسترس بودن آسان کیتهای بدافزار که میتوان از آنها برای ایجاد نمونههای بدافزار جدید به راحتی استفاده کرد.
- استفاده از تفسیر کنندههای عمومی معروف و خوشنام برای ساخت باجافزار برای تقابل با پلتفرمها برای مثال، Ransom32 از Node.js با بارگذاری جاوا اسکریپت استفاده میکند.
- استفاده از تکنیک های جدید، مانند رمزگذاری کامل هارد دیسک به جای فایل های انتخاب شده
دزدهای امروزی حتی لازم نیست که به فناوری تسلط داشته باشند. بازارهای باجافزار به صورت آنلاین رشد کردهاند و انواع بدافزارها را برای هر کلاهبردار سایبری که بخواهید ارائه میکنند. همچنین ساخت بدافزارها سود بسیار بیشتری برای برنامهنویسان به ارمغان میآورد که اغلب از درآمد پایین خود گلایه دارند.
چرا پیدا کردن باج گیران سایبری بسیار دشوار است؟
استفاده از ارزهای دیجیتال غیر قابل ردیابی برای پرداخت، مانند بیت کوین، دنبال کردن مسیر پول و ردیابی مجرمان را دشوار میکند. به طور فزایندهای، گروههای جرایم سایبری در حال ابداع طرحهای باج افزار برای کسب سود سریع هستند. در دسترس بودن آسان کد منبع باز و پلتفرمهای drag and drop برای توسعه باجافزار، ایجاد انواع باجافزار جدید را تسریع کرده است. به برنامه نویسان تازه کار جاوا اسکریپت نیز کمک میکند تا باجافزار خود را بسازند. به طور معمول، بدافزارهای پیشرفته مانند باج افزارها از نظر طراحی چند شکل دارند، که به مجرمان سایبری اجازه می دهد تا به راحتی امنیت مبتنی بر امضای سنتی را بر اساس هش فایل دور بزنند.
Ransomware as a service یا Raas چیست؟
Ransomware-as-a-service یک مدل اقتصادی جرایم سایبری است که به توسعه دهندگان بدافزار اجازه میدهد تا با ساخت و فروش بدافزارهای تولیدی خود درآمد کسب کنند. با استفاده از این سرویس، مجرمانی که تخصص برنامه نویسی ندارند میتوانند بدافزارها را از برنامه نویسان خریداری کنند و یا درصدی از درآمد خود را به توسعه دهندگان میپردازند. به این شکل خطر زیادی توسعه دهندگان را تهدید نمیکند و مشتریان آنها بیشتر کار را انجام میدهند. برخی از نمونههای باجافزار بهعنوان سرویس از اشتراکها استفاده میکنند. در حالی که برخی دیگر برای دسترسی به باجافزار نیاز به ثبت نام دارند.
چگونه در برابر باج افزارها دفاع کنیم؟
در دنیای مجازی و اینترنت امروز اگر بخواهیم از آسیب دور بمانیم باید باهوش عمل کنیم. بهترین راه پیش بینی خطرات احتمالی و جلوگیری از خطر قبل از وقوع آن است. در مورد باج افزارها نیز همین قانون صدق میکند. بهترین راه این است که از قبل برای این گونه حملات آماده باشیم تا در صورت بروز غافل گیر نشویم و آسیب نبینیم. برای جلوگیری از باج افزار و کاهش آسیب در صورت حمله، نکات زیر را دنبال کنید:
تهیه نسخه پشتیبانی
از دادههای خود نسخه پشتیبان تهیه کنید. بهترین راه برای جلوگیری از تهدید قفل شدن فایلهای حیاتی خود این است که اطمینان حاصل کنید که همیشه نسخههای پشتیبان از آنها، ترجیحاً در فضای Cloud و یک هارد دیسک اکسترنال در اختیار دارید. به این ترتیب، اگر به یک باج افزار آلوده شدید، میتوانید رایانه یا دستگاه خود را پاک کنید و فایلهای خود را از نسخه پشتیبان دوباره نصب کنید. این کار از دادههای شما محافظت میکند و مجبور نمیشوید که با پرداخت باج به نویسندگان بدافزار پاداش دهید. به عبارتی، پشتیبان گیری از باج افزار جلوگیری نمیکند، اما میتواند خطرات را کاهش دهد.
ایمنی نسخه پشتیبان در برابر باج افزار
پشتیبانهای خود را ایمن کنید. اطمینان حاصل کنید که دادههای پشتیبان شما برای اصلاح یا حذف از سیستمهایی که دادهها در آن قرار دارند در دسترس نیستند. باج افزار به دنبال پشتیبان گیری از دادهها می گردد و آنها را رمزگذاری یا حذف میکند تا نتوان آنها را بازیابی کرد، بنابراین از سیستمهای پشتیبان گیری استفاده کنید که اجازه دسترسی مستقیم به فایلهای پشتیبان را نمیدهند.
نرم افزارهای امنیتی برای مقابله با باج افزار
از نرم افزارهای امنیتی استفاده کنید و آن را به روز نگه دارید. اطمینان حاصل کنید که همه رایانهها و دستگاههای شما با نرم افزار امنیتی جامع محافظت میشوند. همه ی نرم افزارهای خود را به روز نگه دارید. زیرا معمولاً در هر به روزرسانی، مشکلات و نقصهای ایمنی برطرف خواهند شد.
احتیاط
مرور ایمن را تمرین کنید. مراقب باشید کجا کلیک میکنید. به ایمیلها و پیامهای متنی افرادی که نمیشناسید پاسخ ندهید و فقط برنامهها را از منابع مطمئن دانلود کنید. این مهم است زیرا نویسندگان بدافزار اغلب از مهندسی اجتماعی استفاده میکنند تا شما را وادار به نصب فایل های خطرناک کنند.
اتصال ایمن
فقط از شبکههای امن استفاده کنید. از استفاده از شبکههای Wi-Fi عمومی خودداری کنید. زیرا بسیاری از آنها ایمن نیستند و مجرمان سایبری میتوانند استفاده از اینترنت شما را زیر نظر بگیرند. در عوض، نصب VPN را در نظر بگیرید، که بدون توجه به جایی که میروید، اتصال ایمن به اینترنت را برای شما فراهم میکند.
پیگیری آخرین اخبار باج افزارها
اخبار جدید را پیگیری کنید. در جریان آخرین تهدیدات باج افزار باشید تا بدانید که باید مراقب چه چیزی باشید. در صورتی که به یک باج افزار آلوده شدید و از همه فایلهای خود نسخه پشتیبان تهیه نکردید، بدانید که برخی از ابزارهای رمزگشایی توسط شرکتهای فناوری برای کمک به قربانیان در دسترس هستند.
آموزش
اجرای یک برنامه آگاهی امنیتی برای هر یک از اعضای سازمان خود باعث میشود بتوانند از Fishing و سایر حملات جلوگیری کنند. پس تمرینات و آزمایشات منظم را برای اطمینان از رعایت آموزش انجام دهید.
9 مرحله برای پاسخ به حملات باج افزاری
اگر در پیشگیری و رعایت نکات ذکر شده دیر عمل کردید و یا اخطارها را جدی نگرفتید و مورد حمله قرار گرفتید. یا حتی اگر مشکوک هستید که مورد حمله باج افزار قرار گرفتهاید، مهم است که سریع عمل کنید. خوشبختانه، چندین مرحله وجود دارد که میتوانید انجام دهید تا بهترین شانس ممکن را برای به حداقل رساندن آسیب و بازگشت سریع به تجارت معمول داشته باشید.
۱. ایزوله دستگاه آلوده به باج افزار
دستگاه آلوده را ایزوله کنید، زیرا باج افزاری که یک دستگاه را مورد حمله قرار میدهد اهمیت کمتری دارد. اما باج افزاری که همه دستگاههای شرکت شما را آلوده کند، یک فاجعه بزرگ است و میتواند شما را برای همیشه از کار بی کار کند. تفاوت بین این دو اغلب به زمان واکنش باز میگردد. برای اطمینان از ایمنی شبکه، درایوهای اشتراکگذاری و سایر دستگاهها، ضروری است که دستگاه آسیبدیده را در اسرع وقت از شبکه، اینترنت و سایر دستگاهها جدا کنید. هر چه زودتر این کار را انجام دهید، احتمال آلوده شدن دستگاههای دیگر کمتر میشود.
۲. جلوگیری از گسترش باج افزار
از آنجا که باج افزار به سرعت حرکت میکند و دستگاه دارای باج افزار لزوما بیمار صفر نیست. جداسازی فوری دستگاه آلوده تضمین نمیکند که باج افزار در جای دیگری از شبکه شما وجود نداشته باشد. برای محدود کردن مؤثر دامنه آن، باید همه دستگاههایی را که رفتار مشکوکی دارند، از جمله دستگاههایی که خارج از محل کار میکنند، از شبکه جدا کنید. خاموش کردن اتصال بی سیم (Wi-Fi، بلوتوث و غیره) در این مرحله نیز ایده خوبی است.
۳. ارزیابی خسارت
برای اینکه بدانید کدام دستگاهها آلوده شدهاند، فایلهای رمزگذاریشده اخیر را که پسوندهای عجیب دارند را بررسی کنید. به دنبال نامهای عجیب و غریب در گزارش و سوابق فایلها بگردید. کاربرانی که در باز کردن فایلها مشکل دارند را بررسی کنید. اگر دستگاههایی را پیدا کردید که کاملاً رمزگذاری نشدهاند، باید آنها را ایزوله و خاموش کنید تا از حمله و از آسیب بیشتر و از دست رفتن دادهها جلوگیری شود. لیستی جامع از همه سیستمهای آسیبدیده، از جمله دستگاههای ذخیرهسازی شبکه، فضای ذخیرهسازی ابری، فضای ذخیرهسازی هارد اکسترنال (از جمله درایوهای USB)، لپتاپها، تلفنهای هوشمند و هر عامل احتمالی دیگر تهیه کنید. انجام این کارها ادامه هرگونه فرآیند رمزگذاری را متوقف میکند. همچنین از آلودگی دستگاههای اضافی در حین انجام اصلاح جلوگیری میکند.
۴. پیدا کردن بیمار صفر
ردیابی عفونت به محض شناسایی منبع بسیار آسان تر میشود. برای انجام این کار، هشدارهایی را که ممکن است از آنتی ویروس، ضد بدافزار، EDR یا هر پلتفرم نظارتی فعال شما آمده باشد، بررسی کنید. از آنجایی که اکثر باج افزارها از طریق لینکهای ایمیل مخرب و پیوستها وارد شبکه میشوند، نیاز به تایید نهایی کاربر دارد. پرسیدن از افراد در مورد فعالیتهای آنها (مانند باز کردن ایمیلهای مشکوک) و آنچه که متوجه شدهاند نیز میتواند مفید باشد. در نهایت، نگاهی به ویژگیهای خود فایلها نیز میتواند سرنخی محسوب شود.
۵. شناسایی باجافزار
قبل از اینکه جلوتر بروید، مهم است که کشف کنید با کدام نوع باج افزار سروکار دارید. یکی از راهها بازدید از No More Ransom است. این سایت مجموعهای از ابزارها را برای کمک به شما در آزاد سازی دادههایتان دارد، کافی است یکی از فایلهای رمزگذاریشده خود را آپلود کنید. سپس این ابزار برای یافتن موردی مشابه، شروع به اسکن میکند. هنگامی که باج افزار را شناسایی کردید و کمی تحقیقات سریع در مورد رفتار آن انجام دادید، باید در اسرع وقت به همه کارمندانی که تحت تأثیر قرار نگرفتند هشدار دهید تا بدانند چگونه علائم آلوده شدن خود را تشخیص دهند.
۶. گزارش باج افزار به پلیس
اول از همه، باج افزار خلاف قانون است و مانند هر جرم دیگری، باید به مقامات مربوطه گزارش شود. ثانیاً، «ممکن است مجریان قانون بتوانند از مراجع قانونی و ابزارهایی استفاده کنند که برای اکثر سازمانها در دسترس نیست». میتوان از مشارکت با مجریان قانون بین المللی برای کمک به یافتن دادههای سرقت شده یا رمزگذاری شده استفاده کرد و عاملان آن را به دست عدالت سپرد.
۷. ارزیابی نسخههای پشتیبان
سریع ترین و ساده ترین راه برای انجام این کار این است که سیستمهای خود را با استفاده از یک نسخه پشتیبان بازیابی کنید. در حالت ایدهآل، یک نسخه پشتیبان غیر آلوده و کامل خواهید داشت که شاید به اندازه کافی مفید باشد. اگر چنین است، گام بعدی استفاده از یک راه حل آنتی ویروس، ضد بدافزار برای اطمینان از پاک شدن همه سیستمها و دستگاههای آلوده از باجافزار است .
در غیر این صورت سیستم شما را قفل میکند و فایلهای شما را رمزگذاری میکند و احتمالاً نسخه پشتیبان شما را خراب میکند. هنگامی که همه آثار بدافزار از بین رفت، میتوانید سیستمهای خود را بازیابی کنید. پس از تأیید اینکه همه دادهها بازیابی شدهاند و همه برنامهها و فرآیندها به طور معمول پشتیبانگیری و به طور معمول اجرا میشوند، به حالت عادی بازگردید. متأسفانه، بسیاری از سازمانها تا زمانی که به نسخه پشتیبان نیاز نداشته باشند، اهمیت ایجاد و نگهداری نسخه پشتیبان را درک نمیکنند.
۸. تحقیق در مورد گزینههای رمزگشایی باج افزار
در مورد گزینههای رمزگشایی خود تحقیق کنید. اگر پشتیبان گیری مناسبی از فایلهای خود نکردهاید، هنوز این شانس وجود دارد که بتوانید دادههای خود را پس بگیرید. تعداد فزایندهای از کلیدهای رمزگشایی رایگان را میتوان در No More Ransom پیدا کرد. اگر باجافزاری که با آن سروکار دارید در دسترس باشد (با فرض اینکه تاکنون تمام آثار بدافزار را از سیستم خود پاک کردهاید)، میتوانید از کلید رمزگشایی برای باز کردن قفل دادههای خود استفاده کنید. با این حال، حتی اگر به اندازه کافی خوش شانس باشید که یک رمزگشا پیدا کنید، اما هنوز کارتان تمام نشده است. زیرا رمزگشایی میتواند ساعتها یا روزها طول بکشد و کار شما را متوقف کند.
۹. شروع دوباره
متأسفانه، اگر هیچ نسخه پشتیبان قابل اجرا ندارید و نمیتوانید یک کلید رمزگشایی را پیدا کنید، تنها گزینه شما ممکن است کاهش ضرر و شروع از صفر باشد. بازسازی فرآیندی سریع یا کم هزینه نخواهد بود، اما هنگامی که گزینههای دیگر خود را تمام کردید، بهترین کاری است که میتوانید انجام دهید.
چرا نباید باج بدهیم؟
ممکن است تسلیم شدن در برابر باج خواهی وسوسه انگیز باشد. اما چندین دلیل وجود دارد که این ایده خوبی نیست. زیرا :
- ممکن است هرگز کلید رمزگشایی دریافت نکنید. زمانی که درخواست باج افزاری را پرداخت میکنید، قرار است در ازای آن یک کلید رمزگشایی دریافت کنید. اما ممکن است باج گیر کلید رمزگشایی را به شما ندهد.
- ممکن است باج گیران پول بیشتری درخواست کنند. آنها میدانند که اطلاعات شما اهمیت زیادی برایتان دارد که حاضر به پرداخت باج شدهاید. پس ممکن است مجدادا در خواست پول بیشتر بکنند.
- بسیاری موارد اتفاق افتادهاست که باج گیران کلید رمزگشایی را دادند. اما پس از رمزگشایی فایلها خراب و غیر قابل استفاده بودند.
- ممکن است تبدیل به هدف مجدد باج گیران شوید. زیرا با پرداخت باج، آنها وسوسه میشوند که دوباره به سراغ شما بیایند.
- حتی اگر همه چیز به نحوی خوب به پایان برسد، شما همچنان از فعالیتهای مجرمانه حمایت مالی میکنید. پیش خود میگویید که باج را پرداخت و یک کلید رمزگشای خوب دریافت میکنید و همه چیز را دوباره راه اندازی میکنید. اما وقتی باج میپردازید، در حال تامین مالی فعالیتهای مجرمانه هستید.
سخن آخر
باج افزارها یکی از راهها برای سواستفاده از مردم در دنیای مدرن است. با پیشرفت تکنولوژی همه چیز تغییر کرد. متاسفانه دنیای جرم و جنایت هیچوقت از پیشرفت عقب نمیماند و همیشه از به روزترین و پیشرفتهترین ابزار برای اجرای اهداف خود استفاده میکند. اما با کمی درایت همیشه میتوانید یک قدم از سواستفاده گران جلوتر باشید. باج گیری با استفاده از باجافزارها شاید کار خلاقانهای به نظر برسد که مجرمان با استفاده از آن به خواستههای خود میرسند و دستگیر نمیشوند. اما اگر کمی محتاط باشید و همیشه احتمال خطر را بدهید، با تهیه یک نسخه پشتیبان ساده از دادههای حساس خود میتوانید از موفقیت آنها جلوگیری کنید. همیشه راه حل به آن پیچیدگی که ما تصور میکنیم نیست. فقط باید کمی آینده نگر باشیم.
اولین دیدگاه را اضافه کنید.