باج افزار چیست؟ چگونه با Ransomware مقابله کنیم؟

باج افزار

باج افزار یا Ransomware، همان‌طور که از نامش پیدا است، به بدافزاری گفته می‌شود که طی آن، یک مهاجم سایبری اقدام به باج گیری از کاربران می‌کند.

اولین نسخه باج افزار ها در اواخر دهه 1980 میلادی توسعه یافت و پرداخت هزینه نیز از طریق ایمیل حلزونی انجام شد. امروزه نویسندگان باج افزار ها هزینه بازگردانی فایل‌ها را عمدتا از طریق ارزهای دیجیتالی انجام می‌دهند تا قابل شناسایی و ردیابی نباشند. با پیشرفت روز به روز تکنولوژی و اهمیت حفظ اسناد و منابع اطلاعاتی در سازمان‌ها، شرکت‌های کوچک و یا حتی رایانه‌های شخصی، هکرها نیز بیشتر از گذشته نسبت به آلوده کردن سیستم‌های رایانه‌ای اقدام می‌کنند. چراکه هکر می‌تواند با استفاده از یک باج افزار، تمامی اطلاعات شما را به سرقت برده و در ازای افشا نکردن این اطلاعات در فضای عمومی، از شما باج خواهی کند. اما هکر با چه روشی باج افزار را روی سیستم ما انتقال می‌دهد؟ آیا می‌توان پیش از حمله باج افزار از آن جلوگیری کرد؟ یا می‌توان اطلاعاتی که توسط باج افزار به سرقت رفته را بازگرداند؟

در این مقاله سعی کرده‌ایم انواع باج‌افزارها، روش‌های حمله آن‌ها و روش‌های جلوگیری از حملات باج‌افزارها را به‌طور کامل شرح دهیم.

باج افزار چطور کار می‌کند؟

برای این که بهتر متوجه شوید که باج افزار ها چطور کار می‌کنند، به این مثال توجه کنید:

فرض کنید شخص ناشناسی وارد خانه شما شده و در را قفل کرده است. شما دیگر به اموال و دارایی‌های خود دسترسی ندارید. شخص ناشناس هم فقط در صورتی حاضر به باز کردن قفل در می‌شود که مبلغی را به او پرداخت کنید. در این شرایط چه می‌کنید؟

اولین فکری که در چنین شرایطی به ذهن افراد می‌رسد، این است که به جای پرداخت وجه به باج گیر، از یک کلیدساز کمک بگیرند. اما اگر هیچ کلیدسازی نتواند کلید مناسبی برای باز کردن قفل بسازد چه؟

این دقیقا فرایندی است که باج افزارها طی می‌کنند: هکر سعی می‌کند تا فایل مخرب (باج‌افزار) را در قالب یک ایمیل، sms یا هر پیام‌رسان دیگری به سیستم شما وارد کند. هنگامی که فایل مخرب به سیستم شما انتقال پیدا کرد و شما روی آن کلیک کردید و فایل باز شد، فعالیت باج‌افزار آغاز می‌شود. باج‌افزار به سرعت شروع به در دست گرفتن کنترل سیستم شما (به صورت پنهان) کرده و به منابع اطلاعاتی شما دسترسی پیدا می‌کند. پس از دسترسی کامل به سیستم اطلاعاتی، یک نسخه پشتیبان از تمامی اطلاعات (یا اطلاعاتی خاص) موجود بر رایانه شما تهیه خواهد کرد و برای هکر ارسال می‌کند. در انتها تمامی فایل‌های اطلاعاتی انتقال داده شده را از روی سیستم شما پاک می‌کند و  پیامی با این مضمون روی سیستم شما نمایش داده خواهد شد.

شما به باج افزار آلوده شده‌اید. برای بازگردانی اطلاعات خود، مبلغ **** را به حساب ما واریز کنید! در غیر اینصورت، تمامی اطلاعات شما در بستر عمومی افشا می‌شوند و یا به طور کلی پاک خواهند شد.

برای مطالعه بیشتر کلیک کنید:

باج افزار

البته این فرایند به این سادگی انجام نمی‌شود و گاهی هکر برای در دست گرفتن سیستم شما، مراحل بسیار پیچیده‌ای را طی می‌کند. و گاهی از روش‌های بسیار پیچیده‌ای استفاده می‌کند تا شما به هیچ عنوان نتوانید به اطلاعات قبلی خود ازطریق recovery و… دسترسی داشته باشید و مجبور به پرداخت باج شوید.

اما نکته مهم این است که روش کار باج افزارها دقیقا به همین سادگی است. یک غفلت کوتاه می‌تواند موجب نصب شدن بدافزار بر روی سیستم شما شود و دسترسی و کنترل آن را به دست مهاجم بسپارد. بعد از آن، تنها کاری که مهاجم باید انجام دهد تا مانع از دسترسی شما به اطلاعاتتان شود، قفل‌کردن اطلاعات خواهد بود.

منظور از قفل کردن اطلاعات، رمزنگاری آن‌هاست. همان‌طور که در مثال بالا مشاهده کردید، کلید رمزگشایی باج افزارها به سادگی در دسترس نیست و مدتی طول می‌کشد تا متخصصان این حوزه، کلید رمزگشایی باج افزارها را پیدا کنند.

البته طبق ادعای متخصصان موجود در این حوزه، تا به حال هیچ یک از قفل‌هایی که باج‌افزارها ایجاد کرده‌اند رمزگشایی نشده است! در برخی موارد نیز مشاهده شده که مهاجم کلیدهای رمزگشایی خود را گم کرده و به این صورت، اطلاعات کاربران برای همیشه ازبین رفته‌اند.

 روش‌های نفوذ باج‌افزارها به سیستم شما

برای این که سیستم شما به باج افزار آلوده شود، چند راه مختلف وجود دارد:

ایمیل‌های اسپم

یکی از رایج‌ترین روش‌های ورود باج‌افزار به سیستم ازطریق ایمیل‌های اسپم مخرب است که برای ارسال بدافزار استفاده می‌شوند. این ایمیل‌ها ممکن است شامل پیوست‌های مخرب مانند فایل‌های PDF یا نوشته‌هایی درقالب Word یا حاوی پیوندهایی به وب‌سایت‌های مخرب باشند.

درحقیقت هکر ازطریق مهندسی اجتماعی (تشویق شما به کلیک روی لینک‌های موجود در ایمیل و دانلود فایل‌های ضمیمه) موفق به وارد کردن باج‌افزار به سیستم شما خواهد شد. 

گاهی مجرمان سایبری و نویسندگان باج افزارها، به جای تشویق کاربران برای کلیک بر روی لینک موردنظر، از نمادهایی مانند پلیس فتا استفاده می‌کنند تا کاربران را ترسانده و مجاب کنند که فایل‌های ضمیمه و آلوده را دانلود کنند. 

گاهی هکرها خودشان را به جای پلیس فتا معرفی می‌کنند تا شما با القای حس ترس، قدرت تفکر را از شما بگیرند و شما را ترغیب به کلیک روی فایل یا لینک مخرب کنند.

هدایت ازطریق تبلیغات مخرب

یکی دیگر از روش‌های آلوده سازی رایج که در اواسط سال 2016 به اوج خود رسید، استفاده از تبلیغات قانونی است! یعنی استفاده از تبلیغات آنلاین مخرب، به منظور توزیع نرم افزارهای مخرب بر روی سیستم افرادی که روی آن تبلیغ کلیک می‌کنند.

این کار به گونه‌ای انجام می‌شود تا شما هنگام بازدید از سایت‌های قانونی، به سمت سایت‌های غیرقانونی و جانبی هدایت شوید و اطلاعاتتان در این سایت‌ها (به منظور استفاده‌های خرابکارانه) ذخیره می‌شود. Malvertising ها اغلب از یک iframe آلوده یا المنت صفحه وب نامرئی استفاده می‌کنند تا اقدام خرابکارانه خود را انجام دهند. Iframe کاربر را به یک صفحه تقلبی هدایت می‌کند و کد مخرب را از طریق اکسپلویت کیت سیستم، به سیستم قربانی منتقل می‌کنند. 

در اینجا روش انجام این کار توسط هکر مهم نیست! مهم این است که شما نباید بر روی هر تبلیغ ظاهرشونده (pop-up) که بر روی صفحه نمایش‌تان ظاهر می‌شود کلیک کنید. چراکه گاهی این تبلیغات حاوی لینک‌های مخربی هستند که شما بدون اطلاع وارد آن‌ها شده و اجازه دسترسی به سیستم خود را به افراد مخرب خواهید داد. آن‌ها نیز به راحتی باج‌افزار را وارد سیستم شما خواهند کرد و حمله باج‌افزار شروع خواهد شد.

انواع باج افزار

به طور کلی، باج افزار ها به سه دسته کلی تقسیم می‌شوند که عبارتند از:

Scareware (ترس افزار)

این دسته از باج افزار ها خطرناک نیستند. مثلا شما ممکن است روی سیستم خود یک پیام پاپ آپ دریافت کنید که ادعا می‌کند یک بدافزار کشف‌شده و تنها راه خلاص شدن از آن، پرداخت هزینه است. اگر هیچ کاری نکنید، احتمالا پاپ آپ‌های بیشتری دریافت می‌کنید اما در نهایت فایل‌های شما امن خواهند ماند. پس در این مواقع حتماً اول درمورد واقعی بودن بدافزار نام‌برده و ماهیت آن جستجو کنید.

Screen Lockers (قفل‌کننده صفحه)

اگر به این نوع از باج افزار ها آلوده شوید، با پیامی روی صفحه نمایش مواجه خواهید شد به این معنی که تمام فعالیت‌های کامپیوتر شما متوقف شده است. پس از راه اندازی مجدد سیستم، پنجره‌ای با اندازه کامل ظاهر می‌شود که اغلب همراه با نماد FBI و وزارت دادگستری آمریکا است و نشان می‌دهد که فعالیت غیرقانونی بر روی کامپیوتر شما شناسایی شده و شما باید بابت فعالیت‌های غیرقانونی مانند جرایم سایبری و …، هزینه‌ای پرداخت کنید.

Encrypting Ransomware (باج‌افزار رمزگذار)

این باج‌افزار یکی از بدترین انواع آن است. کار این باج‌افزار این است که فایل‌ها را رمزگذاری می‌کند و در پی آن خواستار پرداخت هزینه برای رمزگشایی و بارگذاری مجدد فایل‌ها می‌شود.

دلیل این که این نوع از باج افزارها بسیار خطرناک‌اند، این است که بعد از این که مهاجمان فایل‌های شما را رمزگذاری کردند، هیچ نرم‌افزار امنیتی قادر به بازیابی و بازگردانی فایل‌های شما نخواهد بود. تنها راه این است که هزینه را پرداخت کنید و حتی در صورت پرداخت هزینه نیز تضمینی برای بازگردانی فایل‌ها نخواهد بود. (پس برای جلوگیری از وقوع چنین فاجعه‌ای، حتما باید نکاتی را برای پیشگیری رعایت کنید)

روش‌های جلوگیری و حذف باج افزار

همان‌طور که گفتیم، بسیاری از باج افزارها حتی بعد از پرداخت باج نیز کلید رمزگشایی را در اختیار شما قرار نمی‌دهند و این یعنی فایل‌های شما برای همیشه از دست خواهند رفت. با توجه به این موضوع، راه حل چیست؟

توجه کنید که بهترین راهکار پیشگیری است. برای این که قربانی بدافزارها نشوید، نیاز به هیچ دانش فنی، زمان یا هزینه‌های گزاف ندارید. فقط کافی است کمی دقت کنید، وارد سایت‌های جعلی نشوید و روی هر لینکی کلیک نکنید.

یکی دیگر از راهکارهای موثر، استفاده از آنتی ویروس‌های اورجینال و دریافت آپدیت لحظه‌ای آن‌ها است. با این که برخی از باج افزار ها حتی با وجود آنتی ویروس نیز سیستم را آلوده می‌کنند، غالب این باج افزار ها در مواجهه با آنتی ویروس‌های به‌روز و اورجینال حذف می‌شوند.

راهکار دوم، استفاده از سیستم‌های بکاپ‌گیری منظم است. این راهکار به این منظور استفاده می‌شود که اگر سیستم دچار حمله شد و فایل‌ها رمزنگاری شدند، بتوان آخرین نسخه بکاپ را بازگردانی کرد. با این روش، شما همیشه یک نسخه سالم از فایل‌ها را در اختیار دارید و این باعث می‌شود که در صورت حمله نیز فایل‌ها را از دست ندهید.

راهکار بعدی، احتیاط در مواقع برخورد با لینک‌ها و نرم افزارهای ناآشنا است. یکی از روش‌هایی که مهاجمین از طریق آن اقدام به ایجاد اخلال در سیستم شما می‌کنند، استفاده از لینک‌های آلوده و نرم افزارهای آلوده است. شما باید در مواجهه با این دسته از تهدیدات بسیار هوشیار باشید و بر روی نرم افزارهای ناشناس و لینک‌ها کلیک نکنید.

حذف باج افزار، امکان‌پذیر یا نه؟

نکته مهم درباره حذف باج افزار این است که همیشه امکان حذف آن وجود ندارد! دلیل هم این است که حذف باج افزار، نیاز به انتشار کلید رمزگشایی دارد و در صورتی که کلید رمزگشایی منتشر نشود، نمی‌توان باج افزار را حذف کرد. (این کلید فقط در دست کسی است که آن را ساخته)

اما اگر می‌خواهید باج افزار را از رایانه شخصی ویندوز خود حذف کنید، اخبار خوب و بدی برای شما داریم. خبر خوب این است که این موضوع ساده نیست، اما ممکن است. خبر بد هم این است که این موضوع همیشه ممکن نیست. برنامه‌ها و حملات باج افزار به‌طور مداوم پیچیده‌تر می‌شوند. در نتیجه، قربانیان برای حذف باج افزار از رایانه خود و بازیابی فایل‌هایشان، با مشکلات بیشتری روبه‌رو هستند.

نکته‌ای که حتما باید ذکر شود، این است که بسته به نوع حمله، حذف باج افزار از ساده تا غیرممکن متفاوت خواهد بود. به عنوان مثال، حملات scareware برنامه‌های نرم‌افزاری مخرب را نصب می‌کنند که می‌توانید در عرض چند دقیقه، آن را حذف کنید.

اما رایج‌ترین نوع حملات که اقدام به کد و رمزنگاری فایل‌ها می‌کنند، بسیار ترسناک و دشوار هستند. در این نوع از حملات، حتی اگر شما قادر به حذف باج‌افزار باشید، هنوز هم برای دسترسی به فایل‌ها، نیاز به رمزگشایی داده‌های خود دارید. یعنی به زبان ساده، بازیابی اطلاعات باج افزار در این مورد امکان‌پذیر نخواهد بود.

با توجه به نکات گفته شده، در صورتی که قربانی حمله بدافزار شدید، اقدامات زیر را انجام دهید:

  • بلافاصله دستگاه آلوده را از اینترنت و دستگاه‌های دیگر جدا کنید.
  • نوع حمله باج افزاری را شناسایی کنید.
  • با استفاده از نرم افزارهایی که در سایت‌های معتبر وجود دارند (در صورت انتشار) اقدام به حذف باج افزار از روی سیستم کنید.
  • فایل های آلوده خود را ریکاوری و بازیابی کنید.

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.