باج افزار یا Ransomware، همانطور که از نامش پیدا است، به بدافزاری گفته میشود که طی آن، یک مهاجم سایبری اقدام به باج گیری از کاربران میکند.
اولین نسخه باج افزار ها در اواخر دهه 1980 میلادی توسعه یافت و پرداخت هزینه نیز از طریق ایمیل حلزونی انجام شد. امروزه نویسندگان باج افزار ها هزینه بازگردانی فایلها را عمدتا از طریق ارزهای دیجیتالی انجام میدهند تا قابل شناسایی و ردیابی نباشند. با پیشرفت روز به روز تکنولوژی و اهمیت حفظ اسناد و منابع اطلاعاتی در سازمانها، شرکتهای کوچک و یا حتی رایانههای شخصی، هکرها نیز بیشتر از گذشته نسبت به آلوده کردن سیستمهای رایانهای اقدام میکنند. چراکه هکر میتواند با استفاده از یک باج افزار، تمامی اطلاعات شما را به سرقت برده و در ازای افشا نکردن این اطلاعات در فضای عمومی، از شما باج خواهی کند. اما هکر با چه روشی باج افزار را روی سیستم ما انتقال میدهد؟ آیا میتوان پیش از حمله باج افزار از آن جلوگیری کرد؟ یا میتوان اطلاعاتی که توسط باج افزار به سرقت رفته را بازگرداند؟
در این مقاله سعی کردهایم انواع باجافزارها، روشهای حمله آنها و روشهای جلوگیری از حملات باجافزارها را بهطور کامل شرح دهیم.
باج افزار چطور کار میکند؟
برای این که بهتر متوجه شوید که باج افزار ها چطور کار میکنند، به این مثال توجه کنید:
فرض کنید شخص ناشناسی وارد خانه شما شده و در را قفل کرده است. شما دیگر به اموال و داراییهای خود دسترسی ندارید. شخص ناشناس هم فقط در صورتی حاضر به باز کردن قفل در میشود که مبلغی را به او پرداخت کنید. در این شرایط چه میکنید؟
اولین فکری که در چنین شرایطی به ذهن افراد میرسد، این است که به جای پرداخت وجه به باج گیر، از یک کلیدساز کمک بگیرند. اما اگر هیچ کلیدسازی نتواند کلید مناسبی برای باز کردن قفل بسازد چه؟
این دقیقا فرایندی است که باج افزارها طی میکنند: هکر سعی میکند تا فایل مخرب (باجافزار) را در قالب یک ایمیل، sms یا هر پیامرسان دیگری به سیستم شما وارد کند. هنگامی که فایل مخرب به سیستم شما انتقال پیدا کرد و شما روی آن کلیک کردید و فایل باز شد، فعالیت باجافزار آغاز میشود. باجافزار به سرعت شروع به در دست گرفتن کنترل سیستم شما (به صورت پنهان) کرده و به منابع اطلاعاتی شما دسترسی پیدا میکند. پس از دسترسی کامل به سیستم اطلاعاتی، یک نسخه پشتیبان از تمامی اطلاعات (یا اطلاعاتی خاص) موجود بر رایانه شما تهیه خواهد کرد و برای هکر ارسال میکند. در انتها تمامی فایلهای اطلاعاتی انتقال داده شده را از روی سیستم شما پاک میکند و پیامی با این مضمون روی سیستم شما نمایش داده خواهد شد.
شما به باج افزار آلوده شدهاید. برای بازگردانی اطلاعات خود، مبلغ **** را به حساب ما واریز کنید! در غیر اینصورت، تمامی اطلاعات شما در بستر عمومی افشا میشوند و یا به طور کلی پاک خواهند شد.
برای مطالعه بیشتر کلیک کنید:
البته این فرایند به این سادگی انجام نمیشود و گاهی هکر برای در دست گرفتن سیستم شما، مراحل بسیار پیچیدهای را طی میکند. و گاهی از روشهای بسیار پیچیدهای استفاده میکند تا شما به هیچ عنوان نتوانید به اطلاعات قبلی خود ازطریق recovery و… دسترسی داشته باشید و مجبور به پرداخت باج شوید.
اما نکته مهم این است که روش کار باج افزارها دقیقا به همین سادگی است. یک غفلت کوتاه میتواند موجب نصب شدن بدافزار بر روی سیستم شما شود و دسترسی و کنترل آن را به دست مهاجم بسپارد. بعد از آن، تنها کاری که مهاجم باید انجام دهد تا مانع از دسترسی شما به اطلاعاتتان شود، قفلکردن اطلاعات خواهد بود.
منظور از قفل کردن اطلاعات، رمزنگاری آنهاست. همانطور که در مثال بالا مشاهده کردید، کلید رمزگشایی باج افزارها به سادگی در دسترس نیست و مدتی طول میکشد تا متخصصان این حوزه، کلید رمزگشایی باج افزارها را پیدا کنند.
البته طبق ادعای متخصصان موجود در این حوزه، تا به حال هیچ یک از قفلهایی که باجافزارها ایجاد کردهاند رمزگشایی نشده است! در برخی موارد نیز مشاهده شده که مهاجم کلیدهای رمزگشایی خود را گم کرده و به این صورت، اطلاعات کاربران برای همیشه ازبین رفتهاند.
روشهای نفوذ باجافزارها به سیستم شما
برای این که سیستم شما به باج افزار آلوده شود، چند راه مختلف وجود دارد:
ایمیلهای اسپم
یکی از رایجترین روشهای ورود باجافزار به سیستم ازطریق ایمیلهای اسپم مخرب است که برای ارسال بدافزار استفاده میشوند. این ایمیلها ممکن است شامل پیوستهای مخرب مانند فایلهای PDF یا نوشتههایی درقالب Word یا حاوی پیوندهایی به وبسایتهای مخرب باشند.
درحقیقت هکر ازطریق مهندسی اجتماعی (تشویق شما به کلیک روی لینکهای موجود در ایمیل و دانلود فایلهای ضمیمه) موفق به وارد کردن باجافزار به سیستم شما خواهد شد.
گاهی مجرمان سایبری و نویسندگان باج افزارها، به جای تشویق کاربران برای کلیک بر روی لینک موردنظر، از نمادهایی مانند پلیس فتا استفاده میکنند تا کاربران را ترسانده و مجاب کنند که فایلهای ضمیمه و آلوده را دانلود کنند.
گاهی هکرها خودشان را به جای پلیس فتا معرفی میکنند تا شما با القای حس ترس، قدرت تفکر را از شما بگیرند و شما را ترغیب به کلیک روی فایل یا لینک مخرب کنند.
هدایت ازطریق تبلیغات مخرب
یکی دیگر از روشهای آلوده سازی رایج که در اواسط سال 2016 به اوج خود رسید، استفاده از تبلیغات قانونی است! یعنی استفاده از تبلیغات آنلاین مخرب، به منظور توزیع نرم افزارهای مخرب بر روی سیستم افرادی که روی آن تبلیغ کلیک میکنند.
این کار به گونهای انجام میشود تا شما هنگام بازدید از سایتهای قانونی، به سمت سایتهای غیرقانونی و جانبی هدایت شوید و اطلاعاتتان در این سایتها (به منظور استفادههای خرابکارانه) ذخیره میشود. Malvertising ها اغلب از یک iframe آلوده یا المنت صفحه وب نامرئی استفاده میکنند تا اقدام خرابکارانه خود را انجام دهند. Iframe کاربر را به یک صفحه تقلبی هدایت میکند و کد مخرب را از طریق اکسپلویت کیت سیستم، به سیستم قربانی منتقل میکنند.
در اینجا روش انجام این کار توسط هکر مهم نیست! مهم این است که شما نباید بر روی هر تبلیغ ظاهرشونده (pop-up) که بر روی صفحه نمایشتان ظاهر میشود کلیک کنید. چراکه گاهی این تبلیغات حاوی لینکهای مخربی هستند که شما بدون اطلاع وارد آنها شده و اجازه دسترسی به سیستم خود را به افراد مخرب خواهید داد. آنها نیز به راحتی باجافزار را وارد سیستم شما خواهند کرد و حمله باجافزار شروع خواهد شد.
انواع باج افزار
به طور کلی، باج افزار ها به سه دسته کلی تقسیم میشوند که عبارتند از:
Scareware (ترس افزار)
این دسته از باج افزار ها خطرناک نیستند. مثلا شما ممکن است روی سیستم خود یک پیام پاپ آپ دریافت کنید که ادعا میکند یک بدافزار کشفشده و تنها راه خلاص شدن از آن، پرداخت هزینه است. اگر هیچ کاری نکنید، احتمالا پاپ آپهای بیشتری دریافت میکنید اما در نهایت فایلهای شما امن خواهند ماند. پس در این مواقع حتماً اول درمورد واقعی بودن بدافزار نامبرده و ماهیت آن جستجو کنید.
Screen Lockers (قفلکننده صفحه)
اگر به این نوع از باج افزار ها آلوده شوید، با پیامی روی صفحه نمایش مواجه خواهید شد به این معنی که تمام فعالیتهای کامپیوتر شما متوقف شده است. پس از راه اندازی مجدد سیستم، پنجرهای با اندازه کامل ظاهر میشود که اغلب همراه با نماد FBI و وزارت دادگستری آمریکا است و نشان میدهد که فعالیت غیرقانونی بر روی کامپیوتر شما شناسایی شده و شما باید بابت فعالیتهای غیرقانونی مانند جرایم سایبری و …، هزینهای پرداخت کنید.
Encrypting Ransomware (باجافزار رمزگذار)
این باجافزار یکی از بدترین انواع آن است. کار این باجافزار این است که فایلها را رمزگذاری میکند و در پی آن خواستار پرداخت هزینه برای رمزگشایی و بارگذاری مجدد فایلها میشود.
دلیل این که این نوع از باج افزارها بسیار خطرناکاند، این است که بعد از این که مهاجمان فایلهای شما را رمزگذاری کردند، هیچ نرمافزار امنیتی قادر به بازیابی و بازگردانی فایلهای شما نخواهد بود. تنها راه این است که هزینه را پرداخت کنید و حتی در صورت پرداخت هزینه نیز تضمینی برای بازگردانی فایلها نخواهد بود. (پس برای جلوگیری از وقوع چنین فاجعهای، حتما باید نکاتی را برای پیشگیری رعایت کنید)
روشهای جلوگیری و حذف باج افزار
همانطور که گفتیم، بسیاری از باج افزارها حتی بعد از پرداخت باج نیز کلید رمزگشایی را در اختیار شما قرار نمیدهند و این یعنی فایلهای شما برای همیشه از دست خواهند رفت. با توجه به این موضوع، راه حل چیست؟
توجه کنید که بهترین راهکار پیشگیری است. برای این که قربانی بدافزارها نشوید، نیاز به هیچ دانش فنی، زمان یا هزینههای گزاف ندارید. فقط کافی است کمی دقت کنید، وارد سایتهای جعلی نشوید و روی هر لینکی کلیک نکنید.
یکی دیگر از راهکارهای موثر، استفاده از آنتی ویروسهای اورجینال و دریافت آپدیت لحظهای آنها است. با این که برخی از باج افزار ها حتی با وجود آنتی ویروس نیز سیستم را آلوده میکنند، غالب این باج افزار ها در مواجهه با آنتی ویروسهای بهروز و اورجینال حذف میشوند.
راهکار دوم، استفاده از سیستمهای بکاپگیری منظم است. این راهکار به این منظور استفاده میشود که اگر سیستم دچار حمله شد و فایلها رمزنگاری شدند، بتوان آخرین نسخه بکاپ را بازگردانی کرد. با این روش، شما همیشه یک نسخه سالم از فایلها را در اختیار دارید و این باعث میشود که در صورت حمله نیز فایلها را از دست ندهید.
راهکار بعدی، احتیاط در مواقع برخورد با لینکها و نرم افزارهای ناآشنا است. یکی از روشهایی که مهاجمین از طریق آن اقدام به ایجاد اخلال در سیستم شما میکنند، استفاده از لینکهای آلوده و نرم افزارهای آلوده است. شما باید در مواجهه با این دسته از تهدیدات بسیار هوشیار باشید و بر روی نرم افزارهای ناشناس و لینکها کلیک نکنید.
برای مطالعه بیشتر کلیک کنید:
حذف باج افزار، امکانپذیر یا نه؟
نکته مهم درباره حذف باج افزار این است که همیشه امکان حذف آن وجود ندارد! دلیل هم این است که حذف باج افزار، نیاز به انتشار کلید رمزگشایی دارد و در صورتی که کلید رمزگشایی منتشر نشود، نمیتوان باج افزار را حذف کرد. (این کلید فقط در دست کسی است که آن را ساخته)
اما اگر میخواهید باج افزار را از رایانه شخصی ویندوز خود حذف کنید، اخبار خوب و بدی برای شما داریم. خبر خوب این است که این موضوع ساده نیست، اما ممکن است. خبر بد هم این است که این موضوع همیشه ممکن نیست. برنامهها و حملات باج افزار بهطور مداوم پیچیدهتر میشوند. در نتیجه، قربانیان برای حذف باج افزار از رایانه خود و بازیابی فایلهایشان، با مشکلات بیشتری روبهرو هستند.
نکتهای که حتما باید ذکر شود، این است که بسته به نوع حمله، حذف باج افزار از ساده تا غیرممکن متفاوت خواهد بود. به عنوان مثال، حملات scareware برنامههای نرمافزاری مخرب را نصب میکنند که میتوانید در عرض چند دقیقه، آن را حذف کنید.
اما رایجترین نوع حملات که اقدام به کد و رمزنگاری فایلها میکنند، بسیار ترسناک و دشوار هستند. در این نوع از حملات، حتی اگر شما قادر به حذف باجافزار باشید، هنوز هم برای دسترسی به فایلها، نیاز به رمزگشایی دادههای خود دارید. یعنی به زبان ساده، بازیابی اطلاعات باج افزار در این مورد امکانپذیر نخواهد بود.
با توجه به نکات گفته شده، در صورتی که قربانی حمله بدافزار شدید، اقدامات زیر را انجام دهید:
- بلافاصله دستگاه آلوده را از اینترنت و دستگاههای دیگر جدا کنید.
- نوع حمله باج افزاری را شناسایی کنید.
- با استفاده از نرم افزارهایی که در سایتهای معتبر وجود دارند (در صورت انتشار) اقدام به حذف باج افزار از روی سیستم کنید.
- فایل های آلوده خود را ریکاوری و بازیابی کنید.
