مقاله

باج افزار چیست و راه های مقابله با آن کدامند؟

باج افزار نوعی بد افزار مخرب است که دسترسی کاربران را از طریق قفل کردن صفحه سیستم، و یا قفل کردن فایل‌های کاربران محدود می‌کند. مگر تا زمانیکه هزینه ایی را به عنوان جریمه برای باز کردن آنها بپردازند.

باج افزار نوع جدیدی از بدافزارها می باشد که از نوعی الگوریتم برای رمز نگاری مستحکم فایل‌ها و اطلاعات سیستم کاربر استفاده می کند و کاربر را مجبور به پرداخت باج و یا مبلغ درخواستی به صورت آنلاین می‌کند.

شاخص مبالغ و پرداختی‌های باج افزار، به لطف کارکردهای پولی بی پشتوانه، و نرخ ارز دیجیتال بیت کوین، مشخص می‌شود. برخی از باج افزارهای جدید پرداخت هزینه‌های خود را از طریق گیفت کارتهای آیتیونز و یا آمازون ارایه می‌دهند.

لازم به ذکر است پرداخت باج ، ضمانت بازگشایی رمز و یا در اختیار گذاشتن ابزاری برای بازگرداندن فایل ها و یا دسترسی به سیستم آلوده را، به کاربر نمی‌دهد.

اهداف باج افزار ها:

رشد باج افزارها در طی دو سال گذشته باعث شده تا تهدیدی برای افراد و شرکت‌ها به حساب بیاید. فعالیت یا عملکرد باج افزارها به لحاظ تاریخی، نوعی غریزه‌ی فرصت طلبانه‌ایی بود که هرکسی را با ایمیل‌های مشکوک، اسپم ها، Exploit ها و بد افزارها آلوده می‌کند. اما بسیاری از مجرمان سایبری در اهداف خود انتخاب‌های بیشتری دارند و تکنیک‌های خود را برای آلوده کردن کسب و کارها و سازمان‌ها با یکدیگر تطابق می‌دهند. سازمانهای هدفمند، سودمندی منصفانه و به جا با میزان آلودگی کاربران فردی مقایسه می‌کنند زیرا باج افزار برای هر دستگاهی می‌تواند تنظیم شود.

علاوه بر این، آلودگی های باج افزارها میتواند منافع تجاری را به خطر بیاندازد. و مجرمان سایبری آنها را مجبور به پرداخت هزینه های از دست رفته کنند. اکثر  سازمان‌ها، اسناد، پایگاه داده ها و سیستم های اطلاعاتی خود را اداره می‌کنند و در بعضی مواقع آنها تعهدات قانونی برای مدیریت و حفاظت از داده های کاربران، را بر عهده می‌گیرند.

این دلایل باعث افزایش فشار برروی سازمان می‌شود تا بتدریج آلودگی‌های باج افزار را به سرعت رفع کنند و جرایم (باج) را پرداخت کنند. طبق مطالعات صورت گرفته، مشخص شده است که اکثر سازمان‌ها در نهایت باج را پرداخت می‌کنند. طبق یک پژوهش صورت گرفته در سال ۲۰۱۷ از شرکت مخابراتی استرالیا به نام  Telstra، مشخص شده است که ۵۷ درصد از کسب و کارها در منطقه ی آسیا و پاکستان که با آلودگی های باج افزار ها روبرو بودند در نهایت اقدام به پرداخت باج کرده اند.

پژوهش مشابه دیگری در سال ۲۰۱۶ نشان داد که ۷۰ درصد از سازمان‌ها مجبور به پرداخت باج شده اند. اما برخی برآوردها، محافظه کارانه تر هستند. در طی یک نظر سنجی در سال ۲۰۱۸ مشخص شده است که ۴۰ درصد از شرکت‌ها مجبور به پرداخت باج شده اند. (که نیمی از آنها، توانستند اطلاعات را باز دریافت کنند.)

در حالیکه دانستن مقدار هزینه‌های صورت گرفته توسط باج افزارها مشکل است اما طبق برآوردهای صنعت باج افزار، اکنون میلیاردها دلار صرف آسیب رساندن به شرکت ها شده است. برخی از هم خانواده‌های باج افزارها موفق شده اند تا میلیون‌ها یا حتی صدها میلیون دلار درآمد را برای مجرمان اینترنتی فراهم کنند. این ارقام نشان دهنده‌ی نوع تجارت و روش سودآوری از طریق اخاذی آنلاین باج افزارها می‌باشد که کمک می‌کند تا مشخص شود که باج افزارها در ۲ سال گذشته، تهدیدی آشکار برای افراد و سازمانها و شرکت ها بوده اند.

تاثیرات و مکانیسم باج افزار:

ممکن است کاربران با ابزارهای متفاوتی با تهدید این بد افزار مواجه شوند. باج افزارها می‌توانند هنگامیکه کاربران به طور ناخواسته از وب سایت مخربی دیدن می‌کنند و یا هنگامیکه که یک برنامه‌ی آلوده را دانلود می‌کنند، ممکن است بروی سیستم آنها بارگیری شود. راه‌های متفاوتی برای دسترسی باج افزارها به سیستم وجود دارد که برخی از آنها توسط ضمیمه‌ی ویروسی که در ایمیل‌های اسپم یا فیشینگ (هرزنامه ها) وجود دارد، در این حالت به محض کلیک کردن بروی لینک دریافتی، سیستم‌های آسیب پذیر آلوده باج افزار می‌شوند.

هنگامیکه بد افزار بروی سیستم‌های آسیب پذیر اجرا می‌شود، می‌تواند صفحه کلید رایانه را قفل کند و به رمز نگاری فایل‌های از پیش تعیین شده بپردازد. در نخستین گام، تصویری تمام صفحه روی سیستم آلوده نمایش داده می‌شود، که در اعلانی نامحسوس به قربانیان  می‌فهماند که سیستم قفل شده است و تا هنگامیکه پرداخت باج را انجام ندهند قربانیان نمی‌توانند به سیستم خود دسترسی داشته باشند.

این مکانیسم و نحوه‌ی عملکرد، نشان دهنده‌ی  پرداخت باج توسط کاربران را نشان می‌دهد.

گام دوم، باج افزار به محض در برگرفتن سیستم، مانع دسترسی کاربران به فایل‌های مهم و حیاتی، هم چون : اسناد و مدارک، و برنامه های گسترده (وب) می‌شود.

باج افزارها با ایجاد رعب و وحشت و تهدیدات مکرر، به نوعی ترس افزار هم شناخته می‌شوند که کاربران را مجبور به پرداخت باج می‌کند. این باج افزار نوعی بدافزار است که به جای ضبط سیستم آلوده و یا رمز نگاری فایل‌ها، نتایج اسکن ویروس جعلی را نشان می‌دهد.( کاربر فکر میکند که سیستم دچار ویروس شده است).

تاریخچه و سیر تکاملی باج افزار:

در حالیکه باج افزارها از سال ۱۹۸۹ وجود داشته اند، اما در چند سال گذشته، شاهد افزایش مداوم هم خانواده‌های باج افزارها بوده‌ایم که مورد استفاده‌ی مجرمان سایبری برای انجام حملات آنها بود. تنها یک نوع از هم خانواده‌های باج افزار در سال ۲۰۱۲ کشف شد و در سال ۲۰۱۶ حدود ۲۰۰ نوع جدید آن کشف شد و در سال ۲۰۱۷ این رویه با ظهور ۳۴۳ نوع جدید ادامه پیدا کرد. این موضوع نمایانگر افزایش ۶۲ درصدی باج افزارها در سال‌های گذشته بوده است.

2018-05-13_14-45-39 باج افزار چیست و راه های مقابله با آن کدامند؟

در سال ۲۰۰۵ تا ۲۰۰۶ در روسیه، گونه‌ی جدیدی از باج افزار شناسایی شد، که این باج افزار با فشرده سازی فایل‌ها، با استفاده از کلمه‌ی عبور ذخیره شده برروی سیستم کاربر از وی باج خواهی می‌کند. همچنین این باج افزار فایل متنی را تحت عنوان مبلغ باج (جریمه) به کاربر نشان می‌دهد که می‌تواند با پرداخت آن فایل‌ها را بازیابی کند.

در نخستین سال‌ها، باج افزارها به طور خاص فایل‌هایی را که دارای فرمت ها مثل:DOC-XLS-JPG-ZIP-PDF و سایر فرمت‌ها بودند را رمز نگاری می‌کردند.

در سال ۲۰۱۱ ترند میکرو – Trend Micro ( یکی از شرکتهای بزرگ ارایه دهنده ی محصولات نرم افزاری امنیتی و ضد ویروسی) گزارشی را تحت عنوان پیامک‌های تهدید برانگیز باج افزار، منتشر کرد. و از کاربران دارای سیستم آلوده درخواست کرد تا سیستم‌های خود را در برابر این پیامک‌ها (با نصب نرم افزار امنیتی) ایمن کنند.

با کشف TROJ-RANSOMQOWA، این تروجان به طور مکرر برای کاربران صفحه‌ی باج افزاری را نشان می‌داد تا آنها با شماره گیری، شماره‌ای مشخص مبلغ را پرداخت کنند.

ransom_edited-min باج افزار چیست و راه های مقابله با آن کدامند؟

یکی دیگر از گزارش‌های قابل توجه این شرکت شامل: نوعی باج افزار است که قسمت MBR ( قسمتی از حافظه ی جانبی سیستم است که وظیفه ی اجرا و راه اندازی سیستم عامل را به صورت غیر مستقیم بر عهده دارد.) را مختل و آلوده می‌کند و مانع بارگذاری سیستم عامل می‌شود.

به منظور اجرای این روند، باج افزار نسخه‌ی اصلی (اورجینال) MBR را کپی و آن را توسط کد‌های رمز نگاری مخرب، بازنویسی می‌کند. و سپس سیستم را مجبور به راه اندازی مجدد می‌کند تا تاثیرات مخرب آن ثبت شود و پس از آن پیامی حاوی (IN RUSSIAN) را به کاربر نشان می‌دهد و مجددا سیستم را راه اندازی می‌کند.

چگونگی گسترش باج افزارها

در حالیکه باج افزارها از سال ۱۹۸۹ وجود داشته اند، اما در چند سال گذشته، شاهد افزایش مداوم هم خانواده‌های باج افزارها بوده‌ایم که مورد استفاده‌ی مجرمان سایبری برای انجام حملات آنها بود. تنها یک نوع از هم خانواده‌های باج افزار در سال ۲۰۱۲ کشف شد و در سال ۲۰۱۶ حدود ۲۰۰ نوع جدید آن کشف شد و در سال ۲۰۱۷ این رویه با ظهور ۳۴۳ نوع جدید ادامه پیدا کرد. این موضوع نمایانگر افزایش ۶۲ درصدی باج افزارها در سال‌های گذشته بوده است.

2018-05-13_14-56-52 باج افزار چیست و راه های مقابله با آن کدامند؟

تعدادی از انواع مختلف و منحصر به فرد آن برای حامیان باج افزار (یعنی مجرمان سایبری) بسیار قابل توجه است. زیرا انواع مختلف باج افزار ها دارای ویژگی‌هایی هستند که  می‌تواند کمتر یا بیشتر موثر باشند. برای مثال : بسیاری از انواع باج افزارها تلاش می‌کنند که قربانیان را تحت فشار قرار بدهند.

اما برخی از آنها مانند Jigsaw و BitKangoroo حتی با انتخاب کردن فایل‌ها در مدت زمان کم به حذف آنها می‌پردازد و احساس اضطراب و نگرانی از پرداخت باج را به قربانیان تزریق می‌کنند. یکی از دلایل افزایش توسعه‌ی باج افزارها علاوه بر مجبوبیت آنها در نزد مجرمان، میزان پشتیبانی دریافت شده از سوی مجرمان سایبری است.

دسترسی به باج افزارها به عنوان ارایه دهنده‌ی خدمات مانند Cerber و Satan و منابع پژوهش باز مانند Hidden Tear-EDA باعث شده است که باج افزارها برای مجرمان مورد استفاده قرار بگیرد تا از منابع و مهارت‌های خود برای توسعه‌ی نرم افزارهای مخرب بهره مند شوند. روند سالانه این گرایش نشانگر افزایش قابل توجهی از انواع مختلف باج افزارها می‌باشد. اما با یک نگاه دقیق تر به  مطالعات صورت گرفته در سال ۲۰۱۷ متوجه می‌شویم که این قسم فعالیت‌ها با نزدیک شدن به پایان سال کاهش یافته است.

 

شیوع و گسترش باج افزارها در خارج از روسیه:

باج افزارهای مخرب، نخستین بار در کشور روسیه طراحی شد. اما به دلیل محبوبیت و سودمندی خالص آن برای مجرمان،  به خصوص در دنیای کسب و کار، مسیر تدریجی خود را به سراسر اروپا و کشورهای دیگر آغار کرد.

در سال ۲۰۱۲ شاهد شیوع گسترده‌ی باج افزار های مخرب در سراسر اروپا و آمریکای شمالی بوده‌ایم.

مورد مشابه دیگر TROJ-RANSOM.BOVE می‌باشد که موج حمله‌ی مجرمان را افزایش داده است، ابن باج افزار مجرمان و هکرها را قادر ساخته تا با به نمایش گذاشتن پیغامی جعلی، خود را شبیه به سازمان اجرای قانون و یا پلیس محلی نشان بدهند، تا بتوانند کل سیستم کاربر را با نشان دادن صفحه‌ی RANSOMWARE.POLICE گرفتار و جبران خسارت کنند.

large_ransomware_kovter_01-min باج افزار چیست و راه های مقابله با آن کدامند؟

در طول این مدت تاکتیک‌های متفاوتی برای شیوع و گسترش باج افزار مورد استفاده قرار می‌گیرد. در سال ۲۰۱۲ شاهد حمله‌ی مجرمان به وب سایت یک فروشگاه محبوب در فرانسه بودیم که توسط TROJ RANSOM.BOVE مورد حمله قرار گرفته بود.

نتایج قطره‌ایی این نوع تاکتیک‌ها، تاثیرات گسترده‌ایی در فرانسه و ژاپن داشته است تا جاییکه، باعث شده تا بسیاری از بانک‌ها، فروشگاه‌ها و یا مراکز خرید در برابر این نوع تاکتیک‌ها مانند پیام جعلی آژانس پلیس فرانسه تحت عنوان ژاندارمری ملی ، جبران خسارت کنند.

افزایش باج افزارهای پلیسی و روتون:

REVETON – روتون:

این نوع از باج افزارها قابل توجه به نظر می‌رسد که از جانب یک منبع معتبر قانونی می‌باشد و کاربران به انجام فعالیت‌های غیر قانونی و یا مخرب آنلاین محکوم می‌کند. که در اینصورت روتون برای کاربران ایالات متحده آمریکا، لوگوی پلیس FBI را نمایش می‌دهد.

برای اینکه باج افزار در نزد کاربران عملکرد مناسبی داشته باشد، روتون از موقعیت جغرافیایی افراد سو استفاده می‌کند و سپس باتوجه به آن لوگوی پلیسی مربوط به آن منطقه را نشان می‌دهد، به عنوان مثال کاربران مبتلا در ایالات متحده آمریکا، پیام یا هشداری از جانب باج افزار در غالب FBI دریافت می‌کنند، در حالیکه کسانی که در فرانسه هستند این پیام باج افزاری را در غالب لوگوی ژاندارمری ملی دریافت می‌کنند.

reveton-ransomware-min باج افزار چیست و راه های مقابله با آن کدامند؟

تنوع عملکرد روتون و روش پرداخت‌های متفاوت با حملات اولیه‌ی آن مقایسه می‌شود. هنگامیکه سیستم کاربر به یکی از انواع روتون‌ها آلوده شود، کاربران از طریق اتصالات پولی  MONEYPACK, UKASH, PAYSAFECARD باج را پرداخت می‌کنند. این تنوع پرداختی موجب می‌شود که مجرمان باج افزار، یا ناشناس باقی بمانند. زیرا معمولا UKASH و PAYSAFECARD غیر قابل ردیابی هستند.

در سال ۲۰۱۲ انواع متنوع روتون در نسخه های جدید و تاکتیک‌های هوشمندانه رو نمایی شد و در طول دوره ی آن شرکت ترند میکرو گزارش فصل دوم سال ۲۰۱۲ خود را منتشر کرد که در آن به نوعی از باج افزار که به ضبط صوتی زبان مادری قربانیان و ارایه ی گواهی دیجیتال جعلی اشاره شده بود.

سیر تکاملی و نحوه عملکرد

در اواخر سال ۲۰۱۳ نوع دیگری از باج افزار رونمایی شد که به رمزنگاری درایوهای سیستم قربانی دسترسی پیدا می‌کرد و آنها را قفل می‌کرد. با رمزنگاری فایلها کاربران مجبور به پرداخت باج می‌شدند، اما با پرداخت باج هم این ضمانت وجود ندارد که فایلها باز پس گرفته شوند. با توجه به نحوه ی عملکرد این باج افزار، اینبار همانند نسخه های قبلی  CRYPTO-RANSOMWARE از کابران دارای سیستم مبتلا درخواست پرداخت باج را در قبال دریافت کد رمز گشایی فایلها را دارند.

قابل توجه است که CRYPTO LOCKER از الگوریتم RSA.2048 برای رمز نگاری استفاده می‌کنند. طبق پژوهش های صورت گرفته مشخص شده است که اکثر باج افزارها از الگوریتم AES+RSA استفاده می‌کنند.

RSA نوعی کلید نامتقارن است بدان معنا که از ۲ کلید استفاده می‌کند: یک کلید برای رمزنگاری فایل‌ها و داده‌ها و دیگری برای رمز گشایی آنها استفاده می‌شود. (یک کلید کلید عمومی و دیگری که توسط کاربر حفظ می‌شود کلید خصوصی نام دارد.)

AES هم از همان دو کلید نامتقارن برای رمز نگاری و رمز گشایی فایل و داده ها استفاده می‌کند. در این میان، طبق پژوهش های صورت گرفتهCRYPTO LOCKER از الگوریتم AES استفاده می‌کند.

AES برای رمز نگاری و رمزگشایی بد افزارها نگاشته شده است، با این حال این کلید با کلید عمومی  RSAکه در بدافزار جاسازی شده است رمز نگاری می‌شود بدان معنا که ، شخصی که کلید خصوصی را دارد، میتواند عملیات رمز گشایی را انجام دهد.

locky-ransomware-100649480-orig-min باج افزار چیست و راه های مقابله با آن کدامند؟

تحقیقات اخیر حاکی از آنست که هرزنامه ها هم در کنار CRYPTO LOCKER قرار می‌گیرند. پیام‌های اسپم یا هرزنامه‌ها شامل ضمیمه‌های مخربی است که متعلق به TROJ-UPATRE که عضوی از خانواده‌ی باج افزارها است به حساب می آید، که با عملکردی ساده ، فایل‌ها در حجمی کوچک که نوعی ZBOT است بارگیری می‌کند و سپس باج افزار CRYPTO-LOCKER را به کار می اندازد.

در اواخر سال ۲۰۱۳ نوع دیگری از CRYPTO-LOCKER گسترش پیدا کرد. که به نام‌های CRYPTO-CRILOCK, WORM-CRILOCK.A شناخته شد. همانطور که از نامش پیداست این نوع ویروس می‌تواند همچون کرم در سیستم تکثیر شود. که این مورد در بدافزارهای مشابه دیده نمی‌شود. بدان معنا که این بد افزار می‌تواند به آسانی در مقایسه با سایر باج افزارها، همچون کرم تمام سیستم را در بگیرد. نوع جدید آن برای آلوده کردن سیستم به دانلود بد افزاری همچون CRILOCK متکی نیستند.

اما با استفاده از روش P2P ( فایل هایی که به اشتراک گذاشته می‌شوند در یک رایانه بزرگ مرکزی به نام سرور ذخیره می‌شود و هنگامیکه آدرس را در مرورگر تایپ می‌کنید فایل‌های مربوطه جهت نمایش به رایانه ی شما منتقل میشوند.) فایل در یک سرور ذخیره نمی‌شود. این فایل می‌تواند از رایانه ی دیگری که دارای نسخه ی پشتیبان از فایل است برای شما ارسال شود.

نوع دیگر باج افزار به سرعت در غالب یک تصویر برای رمزنگاری فایلها قرار می‌گیرد. باج افزار CRYPTO-RANSOMWARE به عنوان CRYPTO-DEFENCE و یا CRYPTO –BIT هم معرفی می‌شود.

تهاجم سرقتی سیستم دارایی های دیجیتال:

در این حالت باج افزار به سرعت شروع به ترکیب عناصر با یکدیگر می‌کند. در سال ۲۰۱۴ شرکت ترند میکرو دو نمونه از باج افزارهای جدید را معرفی کرد: BITCRYPT, TROJ-CRYBIT.A, TROJ-CRYBIT.B

BITCRYPT برای هر فایل رمزنگاری شده ، پیغام متنی حاوی پرداخت باج را به زبان انگلیسی نشان می‌دهد. و BITCRYPT2 از یادداشت های چند جانبه در ۱۰ زبان استفاده می‌کند.

CRIBIT از الگوریتم RSA2048 و AES و RSA1024 برای رمز نگاری فایل‌ها استفاده می‌کنند. استفاده از الگوریتم AES برای رمزنگاری فایلها می‌باشد و پرداخت باجها بر اساس شاخص بیت کوین BITCOIN انجام می‌شود.

نوع دیگری از بد افزار به نام FAREIT وجود دارد که اطلاعات سیستم را به سرقت می‌برد. TSPY-FAREIT.B که با بارگیری TROJ-CRIBIT.B صورت می‌گیرد.

باج افزار FAREIT میتواند به سرقت اطلاعات دارایی های دیجیتال و کیف پول اینترنتی شما بپردازد.که شامل WALLET.DAT.BITCOIN و  WALLET.MULTIBITاست.

این فایل‌ها حاوی اطلاعات مهمی از سوابق تراکنش‌ها وتنظیمات حساب کاربری می‌باشد.

به کار بردن بسته‌ی نفوذی ANGLER یا ماهیگیر:

این بسته‌ی نفوذی صفحات حاوی این آلودگی، کلیدها و اطلاعات لازم برای اجرای این سو استفاده از سوی کار گذاران را در هر باری که صفحه‌ها اجرا می‌شوند باز خوانی می‌کند. در سال ۲۰۱۵ بسته نفوذی ANGLER یکی  از محبوب ترین بسته های نفوذی بود که برای گسترش باج افزارها استفاده می‌شد. و برای استفاده در مجموعه‌ی بد افزارهای مخرب، و مهاجم، در بین رسانه‌های محبوبی هم چون: وب سایت های خبری و سایت های محلی بسیار قابل توجه بود.

با به روز رسانی بسته‌ی نفوذی ANGLER  این باج افزار برای آسیب رساندن به Adobe Flash ، اقدام به بارگیری محموله های مخرب می‌کند. لازم به ذکر است که تیم هکر PAWN.storm leak از این بسته برای حمله ی سایبری خود استفاده می‌کردند. این برنامه به دلیل انسجام آسانی که دارد یکی از منتخب ترین برنامه‌ها برای گسترش باج افزارها است.

حمله باج افزاری با استفاده از پاورشل:

نوع جدیدی از باج افزار Poshcoder است که قابلیت این را دارد که Windows Power Shell (یک بستر برنامه نویسی برای اجرای خودکار فرامین و وظایف مدیریتی سیستم و برنامه‌ها را بر عهده  دارد.) را برای رمزنگاری فایل‌ها در اختیار بگیرد.

Windows Power Shell در ورژن‌های جدید و ویندوزهای ۷ به بالا دیده می‌شود. که مجرمان سایبری اغلب از آن برای تهدیدهای نامحسوس بروی سیستم و یا شبکه ، سو استفاده می‌کنند.

Posh Coder از الگوریتم AES و RSA4096 کلید عمومی برای رمز نگاری فایل‌ها استفاده می‌کند و بعد از آنکه تمامی فایل‌های سیستم رمز نگاری شد به کاربر تصویری از قفل سیستم را نشان می‌دهد.

cryptolocker3 باج افزار چیست و راه های مقابله با آن کدامند؟

آلوده شدن فایل‌های حیاتی توسط باج افزار:

در حالیکه باج افزارهای نامحسوس ممکن است توسط مهاجمان سایبری مشهود و عمومی شود اما این بدان معنا نیست که دیگر باج افزارهای مخرب از نظرها ناپدید شوند. باج افزارهای پلیسی که لوگوی پلیس آن منطقه را کپی می‌کردند، همچنان شاهد قفل شدن سیستم‌های آلوده رایانه‌ها هستند.

تغییر یک فایل برای مجرمان سایبری می‌تواند سودمند باشد. زیرا می‌تواند میزان اجرای کدهای مخربی که بستگی به میزان افزایش استفاده از فایل های آلوده را دارد نیز به همراه داشته باشد. این باج افزار معمولا برای آلوده کردن سیستم ویندوز های یک فایل قانونی برای مجرمان سایبری میتواند سودمند باشد. زیرا میتواند میزان اجرای کدهای مخربی که بستگی به میزان افزایش استفاده از فایل های آلوده را دارد نیز به همراه داشته باشد. باج افزار معمولا فایل user32.dll را که یک فایل حیاتی می باشد را نیز آلوده می‌کند.

آلوده کردن فایل‌های حیاتی و مهم می‌تواند به عنوان یک روش تخریبی در نظر گرفته شود. زیرا می‌تواند با استفاده از ابزار نظارت اجرایی، مانع شناسایی شود و در لیست سفید ( لیستی از موجودیت ها که مجوز معینی برای اجرا دارند و توسط سیستم پذیرفته شده اند) قرار بگیرند. علاوه بر این پاکسازی فایل های حیاتی در ویندوز مانند user32.dll باعث می‌شود تا مراقبت‌های ویژه ایی که در یک سیستم فراهم شده است در هم شکسته شود، که این موضوع می‌تواند مانع رویت شدن ابزار پاکسازی شود و روال اجرایی بارگیری باج افزار اتمام یابد.

بعد از این روال صفحه نمایش رایانه ی آلوده را قفل میکند و تصویری ازپیام پلیسی برای هزینه ایی که باید بابت باج، کاربر بپردازد را نمایش می‌دهد. درعرض چندین سال، باج افزار های تهدید برانگیز از رشد چشمگیری برخوردار بوده اند.

ransowmare-families-f-secure-1-min باج افزار چیست و راه های مقابله با آن کدامند؟

کاربران روسی برای حملات سایبری خود از باج افزارهای تهدید برانگیز استفاده می‌کردند و همین موضوع باعث شد تا این باج افزارها در چندین کشور اروپایی و آمریکای شمالی گسترش یابد. با یک نمونه تجاری مناسب و طرح پرداختی (باج) که نامحسوس بودن را برای مجرمان فراهم می‌کند انتظار می‌رود که در سال‌های آینده توسعه‌ی باج افزار‌ها به شدت بالا رود. بنابراین بسیار مهم است که کاربران نحوه‌ی عملکرد باج افزار و طریقه ی ایمن ماندن از آن را بدانند.

رمزنگاری فایل‌ها:

پیش از این گفته شد که باج افزارهای مخرب فایل‌هایی را که دارای پسوندهای DOC,XLS,JPG,ZIP,PDF هستند را برای رمزنگاری مورد هدف قرار می‌دهند. مجرمان سایبری بسیاری از فایل‌های حیاتی دیگر مانند: پایگاه داده‌ها، فایل‌های CAD، فایل‌های مربوط به وبسایت، فایل‌های SQL، فایل‌های مربوط به مالیات، و فایل‌های حافظه‌ی مجازی، مورد هدف قرار می‌دهند.

گسترش باج افزارهای مدرن:

پس از انتقال باج افزارهای مخرب در کشورهای مختلف، بدافزارهای اخاذی دیگری به تکامل رسیدند.که شامل ویژگی‌های جدیدی همچون: تایمر شمارش معکوس، افزایش مقدار باز پرداختی در طول زمان، و گسترش آلودگی شبکه و سرور بودند. طبق آخرین تحولات مشخص شده است که عملکرد تهدید برانگیز با ویژگی های جدیدی همراه شده است مانند: ارایه سیستم‌های پرداختی جدید آسانی که در صورت عدم پرداخت باج پاکسازی فایل‌ها صورت می‌گیرد.

باج افزار لاکی – LOCKY

این باج افزار در فوریه سال ۲۰۱۶ کشف شد. LOCKY در گسترش باج افزار نقش بسزایی دارد. برای اولین بار در فایب وردWORD دیده میشود که میتواند به محض اجرا ویروس باجگیر را از اینترنت بارگیری کند. و سپس به صورت نقطه ایی شروع به هک کردن آدوب فلش و یا هارد ویندوز کند. LOCKY به عنوان یکی از باج افزار های فعال و به روز رسانی شده به حساب می آید که فایل های کپی شده (Shadow Copies) و بک آپ (نسخه ی پشتیبان موجود بر روی سیستم به صورت لوکال) را حذف می‌کند، به همین دلیل بک آپ گرفتن آنها بی فایده است. LOCKY همچنین به دلیل حملات مکرر خود به زیر ساخت های یک بدافزار بدنام به حساب می‌آید.

باج افزار پتیا – PETYA

این نوع باج افزار به جای رمزنگاری فایل‌ها، امکان دسترسی کامل به سیستم را با استفاده از حمله به زیرساخت‌های دیسک و درایو، غیر ممکن می‌سازد و اولین بار در مارچ ۲۰۱۶ کشف شد. این باج افزار رکورد MBR را آلوده می‌کند و از طریق سرویس های ذخیره سازی مانند Dropbox دوباره نویسی می‌کند.

باج افزار سربر – CERBER

هنگامیکه این باج افزار در اوایل ماه مارچ ۲۰۱۶ کشف شد دارای ویژگی هایی همچون: بازخوانی (صدا) در پیام اخاذی بود. CERBER دارای تنظیم پیکر بندی فایل است و این موضوع باعث می‌شود که توزیع کنندگان آن را قانع سازد تا اجزای آن را تغییر دهند. یکی دیگر از ویژگی‌های این بدافزار این است که در مارکت‌های زیرزمینی دارک وب به فروش میرسد. سربر معمولا به دلیل استفاده ایی که در حملات نامحسوس میلیون ها کاربر مایکروسافت۳۶۵ دارد، شناخته شده است.

باج افزار سم سم – SAMSAM

این باج افزار نیز در سال ۲۰۱۶ در ماه مارچ رونمایی شد. SAMSAM پس از حمله به سرورهایی که آخرین وصله‌های آسیب پذیری‌های منتشر شده را دریافت نکرده بودند نصب می‌شود و به جای نشان دادن آدرس های مخرب و ایمیل های اسپم برای آسیب رساندن به سیستم های دیگر استفاده می‌شود.

باج افزار JIGSAW

اولین نوع JIGSAW در آپریل ۲۰۱۶ نمایان شد که چندین تاکتیک موثر و تهدید برانگیز را با روشی نوین (ابداعی) ترکیب می‌کند. یک تصویر برگرفته از فیلم ترسناک اره (SAW) به همراه یک پیام هشدار دهنده ی ترسناک توسط این بدافزار فرستاده می‌شود.این باج افزار از تایمر شمارش معکوس استفاد می‌کند و اگر پرداخت در ظرف مدت معلوم انجام نشود JIGSAW پرونده ها را یکی پی از دیگیری پاک می‌کند. نوعی دیگر JIGSAW دارای یک ویژگی پشتیبانی چت است که اجازه می‌دهد قربانیان، با مهاجمان اینترنتی تماس برقرار کنند.

بزرگترین حملات تا به امروز:

اگرچه برنامه‌ی باج افزارها مجموعا جدید نیستند اما آنها هنوز هم توسط کاربران استفاده میشوند. برای مثال نوع دیگر باج افزارها واناکرای است که به صورت اورجینال توسط آدرس‌های مخرب Dropbox در هرز نامه‌ها جاسازی شده است. واناکرای با استفاده از آسیب پذیری سرویس SMB حمله می‌کند. تا به امروز یکی از بزرگترین حمله‌های باج افزار به شمار می‌رود.

پس از تقریباً یکسال، ما شاهد افزایش ۷۵۲% ای باج افزارها و موارد مشابه دیگر آن بوده ایم.

Ransomware-Roundup-min باج افزار چیست و راه های مقابله با آن کدامند؟نقشه تقسیم حملات باج افزاری انجام شده از ژانویه ۲۰۱۶ تا مارس ۲۰۱۷

 

واناکرای بزرگترین حمله باج افزاری جهان:

در ماه مه سال ۲۰۱۷ Wannacry یکی از محبوب ترین باج افزارها در میان مجرمان سایبری بود که در حال حاضر به عنوان بزرگترین، باج افزار در تاریخ شناخته شده است. در حالیکه موج اولیه‌ی این آلودگی به سرعت کشف شد، اما به طور باور نکرنی توسط یک Kill switch متوقف شد.

به لحاظ تاریخی، تهدیدهای باج افزارها، از طریق اسپم، استفاده از Exploit ها و یا بد افزارها گسترش پیدا کرده است. این امکانات فرصت را برای گسترش باج افزارها فراهم می‌کند. اما Wannacry مانند یک کرم رایانه‌ایی از طریق پورت‌های آسیب پذیر SMB پخش می‌شد و دستگاه را آلوده میکرد و سپس به طور خودکار در میان شبکه‌ها گسترش پیدا میکرد تا باعث آلودگی بیشتری شود و به سرعت گسترش پیدا کند.

این تفاسیر می‌تواند بیانگر این باشد که چرا در ماه مه گذشته، اکثر سازمان‌ها به این ویروس آلوده شده اند؟

ریشه کن کردن این کرم ها Worms‌ بسیار کار مشکلی است و تعدادی از دستگاه‌های حاوی این ویروس در نتیجه ی اقدامات مکرر، تلاش کرده اند که آلودگی را در شبکه های اطراف گسترش دهند و مشکلات IT را برای سازمان‌ها بوجود بیاورند.

این همان دلیلی است که نشان می‌دهد چرا تهدیدات Downadup/Confiker Worm که تقریبا در ۱۰ سال پیش، با آن روبرو شده ایم، هم چنان تلاش می‌کنند تا میلیون ها دستگاه را سالانه آلوده کنند. همانطور که در نمودار پایین مشاهده مشاهده می‌کنیم، گسترش شیوع Wannacry در بالاترین اندازه درنمودار F-Secure قرار دارد که نمایانگر غالب بودن این بدافزار نسبت به باج افزارهای دیگر است. تا پایان سال ، ۹ عدد از ۱۰ گزارش تشخیص باج افزار به Wannacry بر می‌گردد. شیوع مداوم Wannacry ممکن است موجب تعجب شود.

2018-05-13_15-21-03 باج افزار چیست و راه های مقابله با آن کدامند؟

بدون در نظر گرفتن رمزنگاری فایل‌ها، این بدافزار تاثیرات کم و قابل توجهی را بروی قربانیان داشته است، اما این نسخه همچنان به دلیل استفاده از پهنای باند Worms به منظور آسیب رساندن به قربانیان به از کار افتادگی و قطع برق سرویس‌ها می‌پردازد.

اکثریت گزارشهایی که در سال ۲۰۱۷ در خصوص این باج افزار کشف شده از کشور های آسیایی، بوده است. اما گزارشهای اخیر، شیوع آلودگی های Wannacry در ایالات کنتیکت و کارولینای شمالی را تصدیق می‌کند که این باج افزار در سایر نقاط جهان نیز برای مجرمان، فعال و سودمند بوده است.

خلاص شدن از این بدافزار بسیار مشکل است اما سازمان‌ها می‌توانند با تنظیمات مجدد، از شیوع گسترش و تهدیدهای آنها جلوگیری کنند و راههای نفوذی را مسدود کنند. در خصوص این باج افزار باید گفت که: Wannacry مانع پذیرش ترافیک‌های ورودی از پورت‌های ۱۳۵-۱۳۷-۱۳۸-۴۴۵ می‌شود (مگر اینکه برای سرور خاصی باشد) و همچنین ترافیک های خروجی سرور ها را مسدود می‌کند.

2018-05-13_15-37-46 باج افزار چیست و راه های مقابله با آن کدامند؟

نصب وصله‌های امنیتی یکی دیگر از اقدامات پیشگیرانه‌ی کلیدی است اما با وجود ادامه یافتن Wannacry براساس گزارشات کشف شده، مشخص شده است که حتی فقدان دستگاه های وصله نشده ی آسیب پذیر نیز نمی‌تواند مانع نفوذ و حملات آسیب پذیر SMB و شیوع Wannacry و Notpetya شود.

آینده ی باج افزارها:

اگر باج افزارها در چندین سال آینده دچار تغییر و تحول شوند اصلا جای تعجب نیست. در اصطلاح آنها می‌توانند بدافزارهایی را تولید کنند که کل زیر ساخت ها را غیر فعال کنند. (این موضوع وضعیتی بحرانی نه تنها برای دنیای کسب و کار بلکه برای شهرها و یا دیگر ملل‌ها به حساب می آید.) تا زمانیکه مبلغ باج خواهی پرداخت شود.

مجرمان سایبری ممکن است به زودی دست به حمله های سیستم های کنترل صنعتی ICS و سایر زیر ساخت های حیاتی، نه تنها برای بدست آوردن شبکه‌ها بلکه برای در بر گرفتن اکو سیستم‌ها بزنند. یک منطقه‌ی کلیدی صنعتی نیز می‌تواند هدف بزرگی برای سیستم های پرداخت مجرمان سایبری به حساب آید. هماهنطور که در سال ۲۰۱۶ به حمل و نقل حوزه‌ی خلیج فارس که در آن کیوسک هایی برای پرداخت خدمات حضور داشت، توسط باج افزارها و مجرمان سایبری مورد هدف قرار گرفتهه بود.

ما حتی صدمات وارد شده باج افزارها را به بیمارستان‌ها و شرکت های حمل و نقل دیده ایم. اما چه چیزی باعث می‌شود که مهاجمان را از صدمه وارد کردن به اهداف بزرگتر مثل: صنعت روبات سازی، که در بخش تولید در حال گسترش هستند و یا زیر ساخت هایی که امروزه شهرهای هوشمند را به یکدیگر متصل کند، باز دارد؟

اخاذی های آنلاین مجبور می‌کنند تا سرورها و رایانه‌هایی را که حفاظت کمتری برای اتصال دارند را گروگان بگیرند، که شامل دستگاه های هوشمندانه و یا زیر ساخت های مهم و حیاتی و سهولت ایجاد تهدید و سود حاصل از آن به مجرمان سایبری این اطمینان را میدهد که در آینده نیز این روند ادامه خواهد یافت.

بیت کوین:

برخلاف برخی باج افزارها که برای باج خواهی خود مبلغ زیادی را مطالبه می‌کنند، اکثر باج افزارها معمولا از سال ۲۰۱۶ به بعد بین ۰٫۵ تا ۵ بیت کوین در ازای رمز گشایی درخواست می‌کنند. شاخص بیت کوین برای مجرمان سایبری به ۲ دلیل از اهمیت خاصی برخوردار است: برخی از آنها باز پرداخت را افزایش می‌دهند و برخی مدت زمان تایید تراکنش‌ها و کارمزدها که بعضا گران و ترسناک هستند را درنظر می‌گیرند.

در نتیجه زمان بیشتری برای عدم پرداخت‌ها سپری می‌شود. نرخ ارز بیت کوین همچنان در حال افزایش است. درژانویه ۲۰۱۶ یک بیت کوین معادل ۴۳۱ دلار آمریکا بود. ارزش بیت کوین به طور چشمگیری در حال افزایش است و از آن پس در پایان سال ۲۰۱۷ به نزدیک ۲۰ هزار دلار هم رسیده است.

راههای ممانعت از باج افزارها:

lockymail-min باج افزار چیست و راه های مقابله با آن کدامند؟یک ایمیل که حاوی باج افزار لاکی می باشد.

۱- از باز کردن ایمیل ها ی تایید نشده و یا لینک های جاسازی شده در آن خودداری کنید.

۲- از فایل های مهم خود نسخه ی پشتیبان بگیرید. از قانون ۳۲۱ استفاده کنید.۳ نسخه ی پشتیبان را در ۲ رسانه‌ی مختلف همراه با ۱ بکاپ در محل جداگانه و ترجیحا خارج از شبکه.

۳-  به طور منظم نرم افزارها، برنامه‌ها و آنتی ویروس‌های خود را بروز رسانی کنید.

دیدگاهتان را بنویسید