باج افزار چیست و چگونه مسیر ورود باج افزارها را مسدود کنیم؟+ فیلم آموزشی

SamSam باج افزاری است که مرکز ماهر به تازگی در مورد آن هشدار داده است. این باج افزار سرور اصلی سازمان‌های خاص مانند بیمارستان‌ها، مراکز بهداشتی و مدارس را مورد هدف قرار می‌دهد اما آنچه که SamSam از قربانیان می‌خواهد شیوه جدیدی از باج خواهی‌ست که هیچ ردی از مهاجمان باقی نمی‌گذارد. این باج افزار از قربانیان بیت کوین درخواست می‌کند.

باج افزار چیست؟

باج افزار (Ransomware) نوعی از بدافزارهای خطرناک هستند که به سیستم‌های افراد، شرکت‌های شخصی و دولتی نفوذ کرده و دسترسی به سامانه یا فایل‌هایی مانند اطلاعات مالی را محدود می‌کنند. روش محدود کردن دسترسی به سامانه یا اطلاعات توسط باج‌افزار، معمولاً از طریق رمزگذاری یا قفل‌گذاری روی فایل‌ها و داده‌ها صورت می‌گیرد. باج افزارها برای اولین بار در روسیه گزارش شدند، اما در حال حاضر شاهد آن هستیم که حملات هکرها در کشورهای زیادی رخ داده است و محدود به منطقه جغرافیایی خاصی نیست.

حمله باج افزار چگونه کار می‌کند؟

عملکرد اغلب باج افزارها شبیه به هم است و تفاوت چندانی با یکدیگر ندارند. باج افزار می‌تواند از طریق لینک‌های فریبنده و جذاب مانند ایمیل، پیامک، وب سایت و غیره به سیستم نفوذ کند. در اغلب موارد افراد به دلیل عدم آگاهی کافی روی لینک‌های آلوده کلیک می‌کنند و راه را برای نفوذ هکر فراهم می‌کنند.

بعد از آنکه سیستم به باج افزار آلوده شد، مهاجم فایل‌ها و اطلاعات موجود در سیستم را رمزگذاری می‌کند و در ازای ارسال کلید رمزگشایی برای کاربر، از او درخواست باج می‌کند. روش‌های رمزگذاری در طول زمان بسیار پیشرفت کرده است و در برخی موارد حتی قابل رمزگشایی نیست. کاربر زمانی که سیستم خود را روشن می‌کند، ممکن است با یک صفحه سیاه یا قرمز رنگ همراه با پیغام اخطار مواجه شود که حتی با راه‌اندازی مجدد سیستم از بین نمی‌رود. در اغلب موارد هکرها یک مهلت زمانی مشخص برای پرداخت وجه مورد نظر خود به قربانی می‌دهند. در صورتی که در آن زمان وجه واریز نشود یا مبلغ را دو برابر می‌کنند یا اطلاعات روی سیستم را پاک می‌کنند.

معرفی مهم‌ترین باج افزارهای مخرب

لیست باج افزارهایی که جهت انجام اقدامات خرابکارانه معرفی شده‌اند بسیار زیاد است؛ در ادامه به چند نمونه از مهم‌ترین موارد مخرب اشاره می‌کنیم.

وستد لاکر (WastedLocker)

wastedlocker توسط یک گروه از مجرمان سایبری بسیار ماهر با نام evil corp ایجاد شد. هدف این Ransomware، آلوده کردن سیستم قربانیان و گرفتن باج بود. از سال 2007 تا به امروز به عنوان یکی از مخرب‌ترین باج افزارها شناخته می‌شود که سر و صدای بسیاری هم در رسانه‌ها به پا کرد. این بدافزار مشخصاً برای حمله به شرکتی خاص طراحی می‌شود. در پیام‌های wastedlocker، قربانی به اسم خطاب می‌شود و تمامی فایل‌های رمزگذاری ‌شده افزونه‌ی garminwasted. دارند.

یکی از قربانیان برجسته این باج‌گیری تا به امروز شرکت گارمین (Garmin) است. گارمین یک شرکت فناوری آمریکایی است که در سال 1989 فعالیت خود را در زمینه‌ی دستگاه‌های جی پی اس آغاز کرده است. این شرکت در 23 جولای 2020 به وسیله بدافزار WastedLocker مورد حمله قرار گرفت و در نتیجه بسیاری از خدمات آن در سراسر جهان مختل شد. به طوری که کاربران خلبان هم قادر به دانلود نقشه‌های گارمین روی دستگاه‌های خود نبودند. طبق گزارشات، باج 10 میلیون دلاری درخواست شده بود.

دوپل پیمر (DoppelPaymer)

DoppelPaymer بدافزاری از نوع باج‌افزار است که برای جلوگیری از دسترسی قربانیان به پرونده‌های آن‌ها از طریق رمزگذاری طراحی شده است. تحقیقات نشان می‌دهد که مجرمان از DoppelPaymer در حملات هدفمند استفاده می‌کنند. یعنی آن‌ها شرکت‌ها یا صنایع خاصی را مورد هدف قرار می‌دهند و معمولاً به دنبال نفوذ در کل شبکه هستند (به عنوان مثال، تمام رایانه‌های مورد استفاده در یک شرکت خاص). این Ransomware پسوند “.locked” را به نام هر فایل رمزگذاری شده اضافه می‌کند. به عنوان مثال، “1.jpg” به “1.jpg.locked” تبدیل می‌شود. تمام پیام‌های باج، حاوی متن یکسانی است که بیان می‌کند قربانیان نباید:

• رایانه‌های خود را خاموش یا راه‌اندازی مجدد کنند.

• پرونده‌های رمزگذاری شده یا پیام‌های باج را تغییر نام دهند یا حذف کنند.

• با استفاده از نرم‌افزارهای دیگر سعی کنند پرونده‌ها را بازیابی کنند.

• زیرا انجام این اقدامات ممکن است منجر به از دست دادن دائمی اطلاعات شود.

• پونی فینال (Pony Final)

در تاریخ 27 می سال 2020، تیم امنیتی مایکروسافت در یک رشته توییت به سازمان‌های سراسر جهان هشدار داد که در برابر نوع جدیدی از باج‌افزار، تدابیر امنیتی اتخاذ کنند. این باج‌افزار که PonyFinal نام داشت، مبتنی بر جاوا بود. هدف Pony Final بیشتر بیمارستان‌ها و موسسات خدمات بهداشتی و سلامت است.

این بدافزار از نوع باج افزارهای مبتنی بر انسان (Human-operated) است. یعنی مهاجمین از آسیب‌پذیری‌ امنیت اطلاعات سیستم‌های موردنظر سوءاستفاده می‌کنند. نقطه‌ی نفوذ معمولاً یک حساب کاربری در سرور مدیریت سیستم است که باند PonyFinal با استفاده از حملات brute-force که رمزعبورهای ضعیف را حدس می‌زند، از آن عبور می‌کند.

رویل (REvil)

برای اولین بار در آوریل 2019 باج‌افزار REvil کشف شد. مهاجمان از روش‌های مختلفی برای آلوده کردن سیستم‌ قربانیان خود استفاده می‌کنند. آن‌ها می‌توانند با شناسایی نقاط آسیب‌پذیر رایانه اقدام به کاشت Ransomware کنند یا از روش‌های دیگری مانند فیشینگ کمک بگیرند.

مهاجمین از این Ransomware برای رمزگذاری سیستم‌های تجاری بسیار مهم استفاده می‌کنند و مبلغ هنگفتی را به‌عنوان باج برای رمزگشایی درخواست می‌کنند. مهاجمین در صورت برآورده نشدن مطالبات، تهدید می‌کنند که داده‌های سرقتی قربانیان خود را در وب سایت Happy Blog به حراج خواهند گذاشت. این سیستم از یک تایمر شمارش معکوس استفاده می‌کند که نشان می‌دهد چه زمانی افشای داده‌ها صورت خواهد گرفت تا قربانیان خود را بیشتر تحت فشار قرار دهند. نمونه‌ای از پیامی که از سمت باند REvil به قربانیان ارسال می‌شود، در ادامه آورده شده است:

دلیل موفقیت باج افزارها چیست؟

نتایج گزارشات نشان می‌دهد که دلیل موفقیت باج افزارها این است که اغلب سیستم‌ها در برابر حملات مخرب هیچگونه محافظتی ندارند. علت این بی‌توجهی آن است که اغلب قربانیان هرگز تصور نمی‌کردند که قربانی باج‌افزارها شوند. سازمان‌های امنیتی مدام با انتشار بیانه‌های مرتبط با باج افزارها، هشدار می‌دهند. به همین دلیل است که سازمان‌ها باید برای جلوگیری از رمزگذاری شدن فایل‌ها توسط Ransomware، وقت و هزینه لازم را صرف کنند. در غیر این صورت، مجبور به پرداخت مبلغی چند برابر به باندهای مهاجم خواهند شد تا اطلاعات خود را بازیابی کنند.

روش‌های پیشگیری از ورود باج افزارها به سیستم

با توجه به این که در باج‌ افزارها از الگوریتم‌های بسیار قوی برای آلوده کردن سیستم کاربر استفاده می‌شود، بازیابی سیستم آلوده، مشکلات و هزینه فراوانی را با خود به همراه خواهد داشت. به همین دلیل پیشگیری از آلوده شدن به باج افزارها، بهترین راه مقابله است. برخی از مهم‌ترین راهکارهای حفاظت از سیستم‌ در مقابل Ransomware عبارتند از:

• اجتناب از باز کردن ایمیل‌های اسپم یا لینک‌های درون آن‌ها

• کلیک نکردن روی لینک‌های مخرب

• عدم دانلود فایل از سایت‌های نامعتبر و باز کردن آن

• پاسخ ندادن به ایمیل‌هایی که حاوی درخواست برای ارسال اطلاعات شخصی مانند نام کاربری، پسورد یا جزئیات حساب بانکی است.

• باز نکردن پیوست‌ ایمیل‌های مشکوک

• عدم دریافت فایل از منابع نامعتبر

• پشتیبان‌گیری منظم

• نصب و به روز کردن ضدویروس‌ها

• غیرفعال کردن و محدود کردن اجرای اسکریپت‌های غیرضروری

• استفاده از آپدیت‌های آنلاین برای سرورهای ویندوزی و کلاینت‌های کامپیوتری

• غیرفعال کردن ریموت دسکتاپ در زمان‌هایی که نیازی به آن نیست.

• خودداری از کلیک روی تبلیغات و وب‌سایت‌هایی با منبع ناشناس

چگونه کامپیوتر خود را برای خرید و فروش ارزهای دیجیتال ایمن کنیم؟

حملات Ransomware با هدف سرقت ارزهای دیجیتال به این صورت است که رمز کامپیوتر یا کیف پول ارز دیجیتال کاربر توسط مهاجمین از سیستم برداشته می‌شود. پس از آنکه رمزها توسط مهاجمین تغییر پیدا کرد، کاربر توسط مهاجمین مجبور به پرداخت باج می‌شود.

اگر در حوزه ارزهای دیجیتال فعال هستید، اولین چیزی که باید رعایت کنید این است که امنیت سایبری خود را بازبینی کنید. تنها در این صورت است که می‌توانید در مقابل حملات باج افزارها ایمن بمانید. شما برای حفظ سرمایه خود باید از کلید خصوصی و کلمات بازیابی خود به خوبی محافظت کنید. اگر بتوانید این کار را به درستی انجام دهید، احتمال قربانی شدن شما توسط باج افزارها به میزان قابل توجهی کاهش پیدا می‌کند.