باج افزار چیست؟ و انواع آن
باج افزار چیست؟
باج افزار یا همان « Ransomware » نوعی حمله بدافزار است که در آن مهاجم دادههای قربانی را قفل و رمزگذاری میکند و سپس برای باز کردن قفل و رمزگشایی دادهها درخواست پرداخت پولی به عنوان باج میکند.
این نوع حمله از آسیب پذیریهای انسانی، سیستمی، شبکهای و نرم افزاری برای آلوده کردن دستگاه قربانی استفاده میکند؛ که میتواند یک رایانه، چاپگر، تلفن هوشمند و … باشد.
نمونه های از حمله باج افزارها
هزاران نوع بدافزار وجود دارد. در زیر چند نمونه از بدافزارها را که تأثیرات جهانی دارند و باعث آسیب گسترده شدهاند، آوردهایم.
واناکرای (Wannacry)
WannaCry باج افزاری است که از یک آسیب پذیری در پروتکل SMB ویندوز استفاده میکند و دارای مکانیزم خود انتشار است که به آن اجازه میدهد تا ماشینهای دیگر را آلوده کند. هدف واناکرای بیشتر سیستمهای سازمانی و اداری میباشد که حاضرند برای اطلاعات با ارزش خود، مبالغ هنگفتی بپردازند. این باج افزار تنها در صورت پرداخت بیت کوین (پول اینترنتی غیر قابل ردیابی) به مبلغ 300 دلار، کلید رمزگشایی را در اختیار کاربر قرار میدهد. در سال 2017 WannaCry به سرعت در 150 کشور گسترش یافت، 230،000 کامپیوتر را تحت تأثیر قرار داد و خسارت تقریبی 4 میلیارد دلار را متحمل شد.
سربر (Cerber)
Cerber یک باج افزار به عنوان سرویس (RaaS) است و برای مجرمان سایبری که حملاتی را انجام میدهند و غنیمت خود را با توسعه دهنده بدافزار گسترش داده شده بدست میآورند، میباشد. Cerber در حالی که فایلها را رمزگذاری میکند بی صدا اجرا میشود و ممکن است سعی کند از اجرای آنتی ویروس و ویژگیهای امنیتی ویندوز جلوگیری کند تا کاربران از بازیابی سیستم جلوگیری کنند. وقتی با موفقیت فایلها را روی دستگاه رمزگذاری میکند، یک یادداشت باج در تصویر زمینه دسکتاپ نمایش میدهد.
لاکی (Locky)
Locky قادر است 160 نوع پرونده را رمزگذاری کند، در درجه اول پروندههایی که طراحان، مهندسان و آزمایش کنندگان از آنها استفاده میکنند. این توزیع ابتدا توسط کیتهای فیشینگ توزیع میشد مهاجمان ایمیلهایی را ارسال میکنند که کاربر را ترغیب میکند تا یک فایل Microsoft Office Word یا Excel با ماکروهای مخرب یا یک فایل ZIP را که پس از دانلود، بدافزار را نصب میکند، باز کند.
رمزنگار (Cryptolocker)
Cryptolocker در سال 2017 منتشر شد و بیش از 500,000 رایانه را تحت تأثیر قرار داد. معمولاً رایانهها را از طریق ایمیل، سایت های اشتراک فایل و بارگیریهای محافظت نشده آلوده میکند. این باج افزار نه تنها فایلهای موجود در ماشین محلی را رمزگذاری میکند، بلکه میتواند درایوهای شبکه را اسکن کرده و پروندههایی را که اجازه نوشتن در آنها را دارد رمزگذاری میکند. انواع جدید Crypolocker قادر به جلوگیری از آنتی ویروس و فایروالهای قدیمی است.
(NotPetya و Petya)
Petya باج افزاری است که با دسترسی به (Master File Table) دستگاهی را آلوده کرده و کل دیسک سخت را رمزگذاری میکند. این باعث میشود که کل دیسک غیرقابل دسترسی باشد، اگرچه پروندههای واقعی رمزگذاری نشدهاند. این باج افزار فقط رایانه های ویندوزی را تحت تأثیر قرار می دهد.
پتیا از کاربر میخواهد موافقت کند تا به او اجازه دهد تغییرات در سطح سرپرست ایجاد کند. پس از موافقت کاربر، رایانه را مجدداً راه اندازی میکند، صفحه خرابی سیستم جعلی را نشان میدهد در حالی که شروع به رمزگذاری دیسک در پشت صحنه میکند. سپس اعلان باج را نشان میدهد.
ویروس اصلی Petya خیلی موفقیت آمیز نبود، اما یک نوع جدید، به نام NotPetya توسط آزمایشگاه های کسپرسکی، خطرناک تر بود. NotPetya مجهز به مکانیسم انتشار است و بدون دخالت انسان قادر به گسترش است.
NotPetya در ابتدا با استفاده از درب پشتی در نرم افزار حسابداری که به طور گسترده در اوکراین استفاده میشود، گسترش یافت و بعداً از آسیب پذیری های EternalBlue و EternalRomance در پروتکل SMB ویندوز استفاده کرد. NotPetya نه تنها (Master File Table) بلکه سایر پروندههای موجود در هارد دیسک را نیز رمزگذاری میکند. در حالی که دادهها را رمزگذاری میکند، به گونه ای به آنها آسیب میزند که نمیتوان آنها را بازیابی کرد. کاربرانی که باج را پرداخت میکنند در واقع نمیتوانند اطلاعات خود را پس بگیرند.
گند کراب(GandCrab)
باج افزار GandCrab برای اولین بار در ژانویه سال 2018 مشاهده شد، نوعی بدافزار است که فایل های قربانیان را رمزگذاری میکند و برای دسترسی مجدد به دادههای آنها درخواست پرداخت باج میکند. GandCrab رایانههای شخصی که دارای Microsoft Windows هستند و مصرف کنندگان خانگی را هدف قرار میدهد. رمزگشاییهایی رایگان امروزه برای اکثر نسخه های GrandCrab در دسترس هستند.
باج افزارها چگونه کار میکنند؟
بعد از اینکه دستگاهی در معرض کد مخرب قرار گرفت، حمله باج افزار به شرح زیر انجام می شود. باج افزار تا زمان آسیب پذیری دستگاه میتواند روی دستگاه خاموش باقیبماند و فقط در این صورت یک حمله را اجرا میکند.
- Infection: باج افزار مخفیانه بارگیری و روی دستگاه نصب می شود.
- Execution: باج افزار اسکن و نقشه برداری را برای انواع پرونده های هدف گرفته شده، از جمله پرونده های ذخیره شده محلی و سیستم های قابل دسترسی در شبکه، اسکن میکند. برخی از حملات باج افزار همچنین پروندهها و پوشههای پشتیبان را حذف یا رمزگذاری میکنند.
- Encryption: باج افزار مبادله کلید را با سرور Command and Control انجام میدهد، با استفاده از کلید رمزگذاری همه پروندههای کشف شده در مرحله اجرا را رمزگذاری میکند. همچنین دسترسی به دادهها را قفل میکند.
- User Notification: باج افزار فایلهای دستورالعملی را با جزئیات روند پرداخت برای رمزگشایی اضافه میکند، سپس از آنها برای نمایش باج به کاربر استفاده می کند.
- Cleanup: باج افزار معمولاً خودش را خاتمه میدهد و حذف میکند و فقط پروندههای دستورالعمل پرداخت باقی میماند.
- Payment: قربانی به یک لینک که دستورالعمل های پرداخت در آن قرار دارد، مراجعه میکند، که قربانی را به یک صفحه وب با اطلاعات اضافی در مورد نحوه پرداخت مورد نیاز میبرد. سرویسهای پنهان TOR اغلب برای کپسوله سازی و مبهم سازی این ارتباطات استفاده میشود تا از شناسایی توسط نظارت بر ترافیک شبکه جلوگیری شود.
- Decryption: پس از پرداخت باج توسط قربانی، معمولاً از طریق آدرس بیت کوین مهاجم، ممکن است قربانی رمز، رمزگشایی را دریافت کند. با این حال، هیچ تضمینی برای تحویل کلید طبق وعده داده شده وجود ندارد.
محافظت در برابر باج افزار
در اینجا چندتا از بهترین روشها برای کمک به شما در جلوگیری و محافظت در برابر گسترش باج افزارها در سازمان شما وجود دارد:
فایل پشتیبانی اطلاعات
به طور منظم از داده های خود در یک هارد اکسترنال پشتیبان تهیه کنید (سه نسخه پشتیبان تهیه کنید در دو رسانه مختلف با یک نسخه پشتیبان تهیه شده در یک مکان جداگانه). در صورت امکان، دیسک سخت را از دستگاه جدا کنید تا از رمزگذاری اطلاعات پشتیبان جلوگیری شود.
مدیریت Path
سیستم عامل و برنامه های نصب شده را به روز نگه دارید و وصله های امنیتی را نصب کنید. اسکنهای آسیب پذیری را برای شناسایی آسیب پذیریهای شناخته شده و رفع سریع آنها انجام دهید.
مدیریت و کنترل برنامه
ایجاد کنترل های دستگاه که به شما این امکان را میدهد که برنامه های کاربردی نصب شده روی دستگاه را به یک دستگاه کنترل مرکزی متصل کنید. تنظیمات امنیتی مرورگر را افزایش دهید، Adobe Flash و سایر افزونه های آسیب پذیر مرورگر را غیرفعال کنید و برای جلوگیری از مراجعه کاربران به سایتهای مخرب از فیلتر وب استفاده کنید. ماکروها را در پردازش کلمات و سایر برنامههای آسیب پذیر غیرفعال کنید.
محافظت از ایمیل
کارمندان را برای شناسایی ایمیلهای مهندسی اجتماعی آموزش دهید و تمریناتی را برای آزمایش اینکه آیا کارمندان قادر به شناسایی و جلوگیری از فیشینگ هستند، انجام دهید. با استفاده از محافظت در برابر هرزنامه و فناوری حفاظت از نقطه پایانی، ایمیل های مشکوک را به طور خودکار مسدود کرده و در صورت کلیک کاربر بر روی آنها، پیوندهای مخرب را مسدود کنید.
دفاع از شبکه
برای جلوگیری از ارتباط باج افزار با مراکز فرماندهی و کنترل، از دیوار آتش یا فایروال برنامه وب (WAF)، سیستم های جلوگیری از نفوذ یا تشخیص نفوذ (IPS /IDS) و سایر کنترل ها استفاده کنید.
چگونه میتوان باج افزار ها را حذف کرد و آن جلوگیری کرد
اگر آلودگی باج افزار را در شبکه خود مشاهده کردید، در اینجا اقدامات فوری که باید برای کاهش تهدید انجام دهید وجود دارد:
- جدا کردن: شناسایی ماشین های آلوده، قطع ارتباط از شبکهها و قفل کردن درایوهای مشترک برای جلوگیری از رمزگذاری.
- بررسی کنید: ببینید چه نسخههای پشتیبان برای داده های رمزگذاری شده موجود است. بررسی کنید که با چه سختی از باج افزارها ضربه خورده اید و آیا رمزگشاییها در دسترس هستند. بدانید که آیا پرداخت باج گزینه مناسبی است.
-
بازیابی: اگر ابزار رمزگشایی در دسترس نیست، داده های خود را از نسخه پشتیبان تهیه کنید. در بیشتر کشورها، مقامات پرداخت باج را توصیه نمیکنند، اما این ممکن است در برخی موارد شدید گزینه مناسبی باشد. از روش های استاندارد برای حذف باج افزار یا پاک کردن و تصویربرداری مجدد از سیستم های آسیب دیده استفاده کنید.
- تقویت: اولین بار را درس عبرت قرار دهید و برای درک چگونگی آلودگی سیستمهای داخلی و جلوگیری از رشد مجدد اجرا کنید. آسیب پذیریهای اصلی یا فقدان اقدامات امنیتی را که به مهاجمین اجازه ورود میدهد، شناسایی کرده و آنها را اصلاح کنید.
- ارزیابی: به محض عبور از بحران، ارزیابی آنچه اتفاق افتاده مهم است. چگونه باج افزار با موفقیت اجرا شد؟ کدام آسیب پذیری نفوذ را امکان پذیر کرده است؟ چرا فیلتر آنتی ویروس یا ایمیل از کار افتاد؟ آلودگی تا کجا گسترش یافته است؟ آیا امکان پاک کردن و نصب مجدد ماشین های آلوده وجود داشت و آیا می توانستید با موفقیت از نسخه پشتیبان تهیه کنید؟ به نقاط ضعف در وضعیت امنیتی خود بپردازید تا برای حمله بعدی آمادگی بیشتری داشته باشید.
درباره فائزه تقی پور
فائزه تقی پور هستم دانشجوی کارشناسی شبکه کامپیوتری حدود یک سالی هست که نویسنده ام و دارای مهارت ها و مدرک دوره های +MCSA, CCNA ,Network هستم.
نوشته های بیشتر از فائزه تقی پور
دیدگاهتان را بنویسید