باج افزار چیست ؟

با گرم شدن بازار تکنولوژی مجرم ها هم به این سمت هدایت می شوند. مجرم های اینترنتی بیشتر به عنوان هکر شناخته می شوند. باج افزار یک پلن است که توسط هکر ها ایجاد می شود. نوعی اخاذی است که در زیر به توضیح آن می پردازیم. بعضی از افراد برای محافظت شخصی از اطلاعات خود این مقاله را می خوانند. اما بعضی دیگر هم به دلیل این که یک شرکت بزرگ را راه اندازی کرده اند می خواهند بدانند که چگونه می توان از اطلاعات محافظت کرد. اگر قصد دارید که با باج افزار آشنا شوید می توانید مقاله زیر را به طور دقیق مطالعه کنید.

تعریف باج افزار

Ransomware یا همان باج افزار نوعی بدافزار است . این بد افزار پرونده های قربانی ها را رمزگذاری می کند. سپس مهاجم از قربانی باج می خواهد تا دسترسی به داده ها را پس از پرداخت مبلغی پول بازگرداند.

دستورالعمل هایی برای نحوه پرداخت هزینه برای دریافت کلید رمزگشایی به کاربران نشان داده می شود و روش پرداخت آن هم گاها مشخص نیست!. این هزینه ها می تواند از چند صد دلار تا هزاران دلار باشد که برای مجرمان اینترنتی به شکل بیت کوین قابل پرداخت است.

این شیوه پرداخت با استفاده از ارز دیجیتال می تواند به شدت برای هکر ها مفید باشد. به این دلیل که ارزهای دیجیتال غیر قابل ردیابی وجود دارند (غیر از بیت کوین) که می توان بدون هیچ نشانه ای با آن ها تراکنش انجام داد.

پرداخت به هکرها با ارزهای دیجیتال

باج افزار چگونه کار می کند؟

تعدادی از روش های مختلف وجود دارد که باج افزارها می توانند برای دسترسی به رایانه استفاده کنند. یکی از رایج ترین سیستم ها، هرزنامه فیشینگ است.به معنی  پیوست هایی که از طریق ایمیل به  سمت قربانی می آیند. این لینک ها یا ضمیمه های همراه ایمیل به عنوان فایلی که باید به آنها اعتماد کنند ، ظاهر می شوند.

به محض بارگیری و باز شدن ، می توانند رایانه قربانی را به دست بگیرند و آن را کنترل کنند. خصوصاً اگر دارای ابزارهای مهندسی داخلی باشند که کاربران را فریب داده و اجازه دسترسی اداری را می دهند. برخی دیگر از انواع باج افزارهای تهاجمی ، مانند NotPetya ، بدون نیاز به فریب کاربران ، از حفره های امنیتی برای آلوده کردن رایانه ها سو استفاده می کنند.

چندین مورد وجود دارد که این بدافزار ممکن است به محض تسخیر رایانه قربانی انجام دهد .اما تا کنون رایج ترین اقدام رمزگذاری برخی یا تمام پرونده های کاربر است. اگر جزئیات فنی برای این موضوع را می خواهید ، موسسه Infosec نگاهی عمیق به نحوه رمزگذاری چندین پرونده از باج افزارها دارد.

نکته مهم

اما مهمترین چیزی که باید بدانید این است که در پایان مراحل ، پرونده ها بدون رمز ریاضی که فقط توسط مهاجم شناخته می شود ، قابل رمزگشایی نیستند. به کاربر پیغامی ارائه می شود که توضیح می دهد پرونده های وی اکنون غیرقابل دسترسی هستند.

تنها در صورت پرداخت پول این پرونده ها دوباره بازیابی می شوند. مشخص است که اگر این اطلاعات مهم نباشد، سیستم آن شرکت به این پیام اهمیتی نخواهد داد. ولی اگر اطلاعات مهمی رمز گذاری شده باشند شرکت مجبور است برای جلوگیری از ضرر بیشتر خودش اقدام به پرداخت باج کند!

در برخی از انواع بدافزارها ، مهاجم ممکن است ادعا کند که یک سازمان اجرای قانون است که کامپیوتر قربانی را به دلیل وجود موارد غیر اخلاقی یا نرم افزار سرقت و هک  خاموش می کند . سپس خواستار پرداخت “جریمه” می شود . با این کار احتمال این که افراد این حمله را به مقامات قضایی اعلام کنند فقط پول را پرداخت می کنند و خداحافظ!.

اما بیشتر حملات با این تظاهر رخ نمی دهند. همچنین یک نوع دیگر از حمله وجود دارد که leakware یا doxware نامیده می شود. که در آن مهاجم تهدید می کند که داده های حساس را روی هارد دیسک  قربانی منتشر می کند. مگر اینکه مبلغی مشخص شده  پرداخت شود. اما از آنجا که یافتن و استخراج چنین اطلاعاتی پیشنهاد بسیار مشکوکی از طرف  مهاجمان است همان رمز گذاری شیوه ی مرسوم تری برای باج افزار ها خواهد بود!.

چه کسی هدف باج افزار است؟

چندین روش مختلف وجود دارد که مهاجمان سازمانهایی را که با باج افزار در نظر گرفته اند انتخاب می کنند. گاهی اوقات مسئله فرصت است:

به عنوان مثال ، مهاجمان ممکن است دانشگاه ها را هدف قرار دهند .زیرا آنها تمایل به داشتن تیم های امنیتی کوچکتر و یک پایگاه کاربری متفاوت دارند . چون اشتراک گذاری فایل زیادی را انجام می دهد و نفوذ در آنها را آسان تر می کند.

از طرف دیگر ، برخی از سازمان ها اهداف وسوسه انگیزی هستند . زیرا به نظر می رسد که احتمال پرداخت سریع بیشتر است. به عنوان مثال ، آژانس های دولتی یا مراکز درمانی اغلب نیاز به دسترسی فوری به پرونده های خود دارند. شرکتهای حقوقی و سایر سازمانها با اطلاعات حساس ممکن است مایل به پرداخت هزینه باشند تا اخبار مربوط به موارد مختلف را ساکت نگه دارند. این سازمانها ممکن است به طور منحصر به فرد نسبت به حملات  حساس تر باشند.

هدف باج افزار ها چه کسانی هستند ؟

چگونه می توان از این حملات جلوگیری کرد؟

برای جلوگیری از درگیری با باج افزار تعدادی از اقدامات دفاعی وجود دارد که می توانید انجام دهید. این مراحل البته به طور کلی اقدامات امنیتی خوبی هستند . بنابراین پیروی از آنها باعث می شود که دفاع شما در برابر انواع حملات بهبود یابد:

1-سیستم عامل خود را  به روز نگه دارید تا اطمینان حاصل کنید که آسیب پذیری کمتری برای  دارید.

2-نرم افزار ناشناس را نصب نکنید یا به آن امتیازات و دسترسی های مختلف ندهید ، مگر اینکه دقیقاً بدانید که چیست و چه کاری انجام می دهد.

3-یک نرم افزار ضد ویروس نصب کنید که برنامه های مخربی مانند باج افزارها را هنگام ورود آنها و لیست سفید را شناسایی می کند .این  از اجرای برنامه های غیر مجاز جلوگیری می کند.
4- البته ، به طور مکرر و خودکار از پرونده های خود پشتیبان تهیه کنید! با این کار حمله بدافزار متوقف نخواهد شد . اما می تواند آسیب های ناشی از یک حمله را بسیار کمتر کند.

حذف باج افزار

اگر رایانه شما به باج افزار آلوده شده است ، باید کنترل دستگاه خود را دوباره بدست آورید.

مراحل مهم این موارد عبارتند از:

ویندوز 10 را در حالت امن راه اندازی مجدد کنید
نرم افزار ضد ویروس یا همان آنتی ویروس را نصب کنید
سیستم را اسکن کنید تا برنامه باج افزار را پیدا کنید
کامپیوتر را به حالت قبلی برگردانید

اما نکته مهمی که باید بخاطر بسپارید اینجاست: بعد انجام دادن این مراحل می توانید بدافزار را از رایانه خارج کرده و دوباره به کنترل خود برسانید.

دقت داشته باشید که بیرون انداختن باج افزار  پرونده های شما را رمزگشایی نمی کند.بلکه زمینه  تبدیل آنها به پرونده های غیرقابل خواندن است . اگر بدافزار کاملاً پیچیده باشد ، رمزگشایی آنها بدون دسترسی به کلیدی که مهاجم در اختیار دارد از نظر ریاضی غیرممکن است. در واقع با حذف بدافزار ، با پرداخت دیه ای که به مهاجمین درخواست کرده اند ، امکان بازیابی پرونده های خود را ندارید.

حقایق و ارقام باج افزار

Ransomware یا همان باج افزار تجارت بزرگی است. پول زیادی در باج افزار وجود دارد . از ابتدای شروع اینترنتی شدن همه مشاغل به سرعت بازار گسترش یافت. در سال 2017 ، باج افزار 5 میلیارد دلار زیان به همراه داشت. هم از نظر دیه پرداخت شده و هم هزینه و زمان. این میزان 15 برابر نسبت به سال 2015 است. در سه ماهه اول سال 2018 ، فقط یک نوع نرم افزار باج افزار ، SamSam ، یک میلیون دلار باج جمع کرد.

برخی از بازارها بخصوص به مستعد این بدافزار ها  و پرداخت باج هستند. بسیاری از حملات  با اهمیت در بیمارستان ها یا سایر سازمان های پزشکی رخ داده است که اهداف وسوسه انگیزی را ایجاد می کند:

چون مهاجمان می دانند که با داشتن زندگی واقعی در تعادل ، این شرکت ها به راحتی با پرداخت نسبتاً کم برای از بین رفتن مشکل رو به رو می شوند. تخمین زده شده است که 45 درصد از حملات  سازمانهای بهداشتی را هدف قرار می دهند . برعکس ، 85 درصد از آلودگی های مخرب در سازمانهای بهداشتی از طریق همین بد افزار ها هستند.

یکی دیگر از زمینه های محبوب این بد افزار ها بخش خدمات مالی است. همانطور که ویلی ساتون به طور صریح اظهار داشت پول درآوردن در آن است. تخمین زده شده است که 90 درصد موسسات مالی در سال 2017 مورد حمله  قرار گرفتند.

راه قاطع برای جلوگیری از حملات وجود دارد؟

نرم افزار ضد بدافزار شما لزوماً از شما محافظت نمی کند. Ransomware به طور مداوم توسط توسعه دهندگان خود در حال نوشته شدن  و دستکاری است. بنابراین امضاهای آن اغلب توسط برنامه های ضد ویروس معمول گیر نمی افتد. در حقیقت ، حدود 75 درصد از شرکت هایی که قربانی باج افزار می شوند ، از حفاظت از نقطه پایانی به روز در دستگاه های آلوده استفاده می کنند.

Ransomware مانند گذشته شیوع ندارد. اگر می خواهید کمی خبر خوب داشته باشید ، این است که تعداد حملات باج افزار پس از گسترده شدن در اواسط دهه 10 ، با کاهش روبرو شده است . اگرچه تعداد اولیه به اندازه کافی زیاد بود اما هنوز هم باقی مانده است. اما در سه ماهه اول سال 2017 ، حملات باج افزار 60 درصد از بارهای مخرب را تشکیل می دهد. اکنون به 5 درصد رسیده است.

جلوگیری از حمله ی باج افزار ها

 آیا حملات آن در حال کاهش است؟

از بسیاری جهات ، این یک تصمیم اقتصادی مبتنی بر ارز مجرم اینترنتی است. یعنی بیت کوین باعث شده است که این اقدام راحت تر شود. اما بسیاری از افرادی که می خواهند برای استفاده از اطلاعات شخصی خود به این حملات پول پرداخت کنند نمی دانند چگونه با بیت کوین پرداخت خود را انجام دهند. ضمن این که از چند سال پیش بیت کوین هم قابل ردیابی شده است. به همین دلیل این حملات نمی تواند برای هکر ها بدون ریسک باشد.

کاهش در این نوع حملات  با افزایش بدافزار موسوم به رمزنگاری ، که کامپیوتر قربانی را آلوده می کند و از قدرت محاسبه آن برای ایجاد بیت کوین بدون دانستن مالک ، مطابقت دارد. این یک مسیر شسته و رفته برای استفاده از منابع شخص دیگری برای به دست آوردن بیت کوین است . باعث می شود بسیاری از مشکلات در بدست آوردن باج را دور بزند . فقط به دلیل یک حمله سایبری جذابتر شده است .زیرا قیمت بیت کوین در اواخر سال 2020 افزایش یافت.

بنابراین حملات دیگری از باج افزار ها صورت نمی گیرد؟

این بدان معنا نیست که تهدید پایان یافته است. دو نوع مختلف از مهاجمان باج افزار وجود دارد: حملات “کالایی” که سعی می کنند کامپیوترها را با حجم زیاد آلوده کنند . شامل به اصطلاح “باج افزار به عنوان سرویس” هستند . و یا گروه های هدفمندی که بر بخشها و سازمانهای بازار آسیب پذیر تمرکز دارند. اگر در دسته دوم باشید ، باید بسیار بیشتر مراقب باشید . چون احتمال حمله به شما بیشتر است.

استیو گروبمن ، مدیر ارشد فناوری در McAfee ، می گوید: در نهایت ، استفاده از بدافزار مخرب یک تصمیم تجاری برای مهاجمان است. “با پایین آمدن قیمت ارزهای رمزنگاری شده ، طبیعی است که بازگشت به روش های قبلی برای باج گیری وجود داشته باشد.”

آیا باید هزینه تعیین شده بعد از هک شدن را پرداخت کنید؟

اگر سیستم شما به بدافزار آلوده شده است ، و داده های حیاتی خود را از دست داده اید که نمی توانید از نسخه پشتیبان تهیه کنید ، آیا باید هزینه گفته شده توسط هکر را پرداخت کنید؟

پرداخت هزینه به هکرها چگونه است ؟

هنگام صحبت تئوری ، اکثر آژانس های اجرای قانون از شما می خواهند که به مهاجمان باج افزار پرداخت نکنید. با این منطق که این کار فقط هکرها را به ایجاد باج افزار بیشتر ترغیب می کند.

با این اوصاف ، بسیاری از سازمان هایی که خود را مبتلا به بدافزار می دانند ، به سرعت از فکر “سود بیشتر” منصرف می شوند و شروع به انجام تجزیه و تحلیل هزینه و سود می کنند و هزینه گفته شده را با ارزش داده های رمزگذاری شده برآورد می کنند. طبق تحقیقات Trend Micro ، در حالی که 66 درصد شرکت ها می گویند که هرگز به عنوان اصل باج نمی دهند ، اما در عمل 65 درصد با ضربه مواجه می شوند.

تصور کنید که مقدار زیادی اطلاعات مختلف از مشتریان دارید که نمی توانید آن ها را بازیابی کنید. در صورتی که این اطلاعات را از دست بدهید ممکن است هزار دلار ضرر کنید. اما مبلغی که این بدافزار برای شما تعیین کرده است 800 دلار است. مشخص است که در این شرایط بسیاری از شرکت ها تصمیم می گیرند که هزینه ی گفته شده را پرداخت کنند.

مهاجمان Ransomware قیمت ها را نسبتاً پایین نگه می دارند . معمولاً بین 700 تا 1300 دلار . چون این مبلغی است که شرکت ها معمولاً می توانند در مدت کوتاهی پرداخت کنند.

نکته جالب که وجود دارد این است که این حملات در کشور های ثروتمند بیشتر انجام می شود. چون کسی که برای این حمله زمان می گذارد می خواهد که از پرداخت پول بیشتر اطمینان داشته باشد.

مبالغ مورد نیاز برای پرداخت در حملات چقدر است؟

برای اقدام سریع اغلب تخفیف هایی در نظر گرفته می شود تا قربانیان را ترغیب به پرداخت سریع قبل از این که در مورد آنها زیاد فکر کنید کند. به طور کلی ، قیمت به گونه ای تنظیم می شود که به اندازه کافی بالا باشد تا ارزش این حمله را داشته باشد . اما به اندازه کافی پایین است که قربانی بتواند آن را در مدت کوتاهی و بدون دردسر پرداخت کند.

با توجه به این نکته ، برخی از شرکت ها در حال ایجاد نیاز احتمالی پرداخت در برنامه های امنیتی خود هستند: به عنوان مثال ، برخی از شرکت های بزرگ انگلستان مقداری بیت کوین را به عنوان ذخیره اضافی برای پرداخت باج نگه می دارند.

در اینجا باید چند نکته جالب را بخاطر بسپارید ، بخاطر داشته باشید که افرادی که با آنها سر و کار دارید ، مجرم هستند.

اول

باید مطمئن شوید که باج افزار در واقع داده های شما را رمزگذاری کرده باشد. نه این که صرفا یک پیام برای شما ارسال شده باشد. قبل از ارسال هرگونه پول برای کسی ، اطمینان حاصل کنید که با یک هکر برای پرداخت سر و کار ندارید.

دوم

پرداخت به مهاجمان تضمین نمی کند که پرونده های خود را پس بگیرید. بعضی اوقات مجرمان فقط پول را می گیرند و اجرا می کنند و ممکن است حتی قابلیت رمزگشایی در بدافزار را نداشته باشند. اما این نوع بدافزاری به سرعت شهرت پیدا می کند و درآمدزا نخواهد بود ،. بنابراین در بیشتر موارد ( گری سوکرایدر ، تکنسین اصلی امنیت در Arbor Networks ، حدود 65 تا 70 درصد از حملات را تخمین می زند)  اطلاعات شما بازیابی می شود .

در حالی که باج افزار از دهه 90 به لحاظ فنی وجود داشته است . فقط در پنج سال گذشته یا تقریباً به دلیل در دسترس بودن روش های استخراج غیرقابل ردیابی مانند بیت کوین ، از بین رفته است. برخی از بدترین مجرمان این موارد بوده اند:

حمله های معروف اب باج افزار

حمله های تاریخی

CryptoLocker ، حمله سال 2013 ، عصر مدرن باج افزار را راه اندازی کرد و تا 500000 دستگاه را  آلوده کرد.

تسلا کریپت پرونده های مختلفی را هدف قرار داده و در طول دوره خود داری  پیشرفت مداوم در هک  بوده است.

SimpleLocker اولین حمله گسترده باج افزار بود که بر روی دستگاه های تلفن همراه متمرکز بود.

WannaCry با استفاده از EternalBlue ساخته شد. این حمله به عنوان  سو استفاده ای که توسط NSA ساخته شد و سپس توسط هکرها به سرقت رفت شناخته می شود. ضمن این که به طور خودکار از رایانه ای به رایانه دیگر گسترش یافت.

NotPetya همچنین از EternalBlue استفاده کرده و احتمالاً بخشی از حمله سایبری به اوکراین علیه کشور ها بوده است.

لاکی در سال 2016 شروع به گسترش کرد و “از نظر حمله مانند نرم افزار معروف بانکی دریدکس بود.”(حملات مرتبط با فیشینگ)

Leatherlocker اولین بار در سال 2017 در دو برنامه اندرویدی: Booster & Cleaner و Wallpaper Blur HD کشف شد. به جای رمزگذاری فایل ها ، برای جلوگیری از دسترسی به داده ها ، صفحه اصلی را قفل می کند.

Wysiwye هم در سال 2017 کشف شد . وب را برای سرورهای باز Remote Desktop Protocol (RDP) اسکن می کند. سپس تلاش می کند تا اطلاعات RDP را برای پخش در سراسر شبکه بدزدد.

Cerber وقتی اولین بار در سال 2016 ظاهر شد ، بسیار کارآمد بود. در ژوئیه همان سال 200 هزار دلار به مهاجمان سود داد. از آسیب پذیری مایکروسافت برای آلوده کردن شبکه ها استفاده کرد.

BadRabbit در سال 2017 در سراسر شرکت های رسانه ای در اروپای شرقی و آسیا گسترش یافت.

sam sam(یکی از مشهور ترین ها)

سام سام از سال 2015 فعالیت خود را آغاز کرده و در درجه اول سازمان های بهداشتی را هدف قرار داده است.

ریوک برای اولین بار در سال 2018 ظاهر شد و در حملات هدفمند علیه سازمان های آسیب پذیر مانند بیمارستان ها مورد استفاده قرار می گیرد. این اغلب در ترکیب با بدافزارهای دیگر مانند TrickBot استفاده می شود.

Maze یک گروه باج افزار نسبتاً جدید است که در صورت عدم پرداخت قربانی برای رمزگشایی آن ، اطلاعات سرقت شده را برای عموم منتشر می کند.

RobbinHood یکی دیگر از انواع EternalBlue است که در سال 2019 شهر بالتیمور ، مریلند را به زانو درآورد.

GandCrab ممکن است پردرآمدترین باج افزار تاکنون باشد. توسعه دهندگان آن ، که این برنامه را به مجرمان اینترنتی فروخته اند. از ژوئیه 2019 بیش از 2 میلیارد دلار پرداخت قربانیان را ادعا می کنند.

Sodinokibi سیستم های Microsoft Windows را هدف قرار داده و همه پرونده ها را به جز فایل های پیکربندی رمزگذاری می کند. مربوط به GandCrab است.

Thanos جدیدترین باج افزار در این لیست است که در ژانویه 2020 کشف شد. به عنوان یک باج افزار به عنوان سرویس فروخته می شود .این اولین بدا فزاری است که از RIPlace استفاده می کند و می تواند اکثر روشهای ضد باج افزار را دور بزند.

این لیست طولانی تر می شود. برای محافظت از خود نکات ذکر شده در اینجا را دنبال کنید.