باج افزارها: سوال و جواب

تاریخچه باج افزار

1989: اولین باج افزار شناخته شده، 1989 AIDS Trojan(که به عنوان PC Cyborg نیز شناخته می‌شود) به وسیله Joseph Popp نوشته شد.
2005: در ماه مه، باج افزار اخاذی پدیدار شد
2006: تا اواسط 2006، کرم‌هایی همچون Gpcode، TROJ.RANSOM.A، Archineus، Krotten، Cryzip، و MayArchive استفاده از طرح‌های رمزنگاری RSA پیچیده‌تر، با سایزهای کلید افزایشی را شروع کردند
2011: کرم باج افزاری تقلیدگرِ پیغام فعال‌سازی محصولات ویندوز پدیدار شد
2013: یک کرم باج افزاری براساس اکسپلویت کیت Stamp.EK و کرم باج افزاری خاص سیستم عامل Mac وارد صحنه شد. CryptoLocker در چهار ماه گذشته از امسال حدود 5 میلیون دلار اخاذی کرده است.
2015: انواع مختلف در پلت فرم‌های متعدد باعث آسیب‌های عمده می‌شوند.

انواع باج افزار

  • باج افزار رمزنگاری

این نوع باج افزار پوشه‌ها(اسناد، صفحات گسترده، تصاویر، و ویدئوها) و فایل‌های شخصی را رمزنگاری می‌کند.

فایل‌های آسیب دیده زمانیکه رمزگذاری شده‌اند حذف می‌شوند، و کاربران عموما با یک فایل متنی با دستورالعمل پرداخت پول در فولدر مشابه با فایل های ناپدید شده مواجه می‌شوند.

ممکن است تنها زمانی این مسئله را بفهمید که بخواهید یکی از این فایل‌ها را باز کنید.

اغلب نرم افزارهای رمزنگاری و البته نه همه آنها یک "صفحه قفل" را نشان می‌دهند:

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • باج افزار قفل صفحه- WinLocker

این باج افزار صفحه کامپیوتر را قفل کرده و درخواست باج می‌کند.

این باج افزار یک تصویر تمام صفحه را نشان می‌دهد که سایر پنجره‌ها را بلوکه می‌کند.

هیچ فایل شخصی رمز نمی‌شود.

Polyransom2

  • باج افزار MBR(Master Boot Record)

MBR بخشی ازهارد کامپیوتر است که به سیستم عامل اجازه بوت شدن را می‌دهد

باج افزار MBR، MBR کامپیوتر را تغییر می‎دهد به طوریکه فرآیند راه اندازی طبیعی دچار اختلال می‌شود

در عوض، پیغام درخواست باج بر روی صفحه نمایش داده می‌شود.

Master-Boot.jpg

  • باج افزاری که سرورهای وب را رمزنگاری می‌کند.

این باج افزار سرورهای وب را هدف قرار داده و فایل‌های زیادی از فایل‌های روی آن را رمزگذاری می‌کند.

آسیب پذیری‌های شناخته شده در سیستم‌های مدیریت محتوا اغلب برای گسترش باج افزار در وب سرویس‌ها استفاده می‌شوند.

Ransomware encrypting web servers

  • باج افزار دستگاه موبایل(اندروید)

دستگاه‌های موبایل(اکثرا اندروید) می‌توانند از طریق drive by downloads(برنامه‌هایی که به طور خودکار بدون رضایت یا آگاهی کاربر دانلود می‌شوند) آلوده شوند.

همچنین آن‌ها می‌توانند از طریق برنامه‌های جعلی آلوده شوند که به عنوان سرویس‌های مشهور مانند Adobe Flash یا آنتی ویروس خود را جا می‌زنند.

Mobile Ransomware

اگر مورد حمله واقع شدم، باید هیچ گونه پولی پرداخت کنم؟

هرگز پرداخت باج توصیه نمی‌شود، اساسا چون تضمینی برای حل مشکل نیست. همچنین مسائلی وجود دارند که می‌توانند به طور تصادفی باشند. برای مثال، اشکالاتی در بدافزار می‌توانند وجود داشته باشند که داده‌های رمزشده را حتی با وجود کلید درست، غیرقابل بازیابی می‌سازند.

به علاوه، اگر باج پرداخت شود، این کار به مجرمان سایبری ثابت می‌کند که باج افزار موثر است. در نتیجه، مجرمان سایبری به فعالیت خود ادامه داده و به دنبال راه‌های جدید برای سوءاستفاده از سیستم‌هایی خواهند بود که منجر به آلودگی‌های بیشتر و پول بیشتر در حساب‌هایشان شود.

یک حمله باج افزاری چگونه کار می‌کند؟

یک حمله باج افزاری معمولا از طریق ضمیمه یک ایمیل ارائه می‌شود که می‌تواند یک فایل اجرایی، آرشیو یا یک تصویر باشد. زمانیکه ضمیمه باز می‌شود، بدافزار در سیستم کاربر منتشر می‌شود. مجرمان سایبری نیز می‌توانند بدافزار را در وب‌سایت‌ها قرار دهند. هنگامی که یک کاربر به طور ناخواسته از سایت بازدید می‌کند، بدافزار در سیستم کاربر منتشر می‌شود.

آلودگی بلافاصله برای کاربر آشکار نمی‌شود. این بدافزار در سکوت و در پس زمینه عمل می‌کند تا زمانیکه مکانیزم قفل داده‌ها یا سیستم مستقر شود. سپس پیغامی به کاربر نشان داده می‌شود که به کاربر می‌گوید که داده‌ها قفل شده‌اند و برای باز کردن مجدد آن‌ها درخواست باج می‌کنند. پس از آن خیلی دیر است که بخواهید داده‌ها را از طریق هرگونه اقدام امنیتی محافظت کنید.

برای اطلاعات بیشتر لطفا ویدئوی زیر را مشاهده کنید:

قربانیان باج افزار چه کسانی هستند؟

هر مصرف کننده و هر شرکت تجاری می‎تواند قربانی باج افزار باشد. مجرمان سایبری انتخابی نیستند، و اغلب تلاش می‌کنند که تا حد امکان به تعداد کاربر بیشتری آسیب برسانند " تا از این طریق به سود بیشتری دست یابند".

آیا حملات باج افزاری برعلیه شرکت‌های تجاری روبه افزایش است؟

بله، چون مجرمان سایبری می‌دانند که سازمان‌ها به احتمال زیاد حاضر به پرداخت باج می‌شوند چرا که اطلاعات دربند مجرمان، حساس و برای تداوم کار شرکت حیاتی هستند. به علاوه، گاهی اوقات بازیابی نسخه‌های پشتیبان نسبت به پرداخت باج پرهزینه‌تر است.

چرا پیدا کردن یک راه حل منحصربه فرد و واحد در برابر باج افزار بسیار مشکل است؟

باج افزار در حال افزایش است- در حال حاضر بیش از 50 گونه از این بدافزار وجود دارند- و به سرعت در حال رشد و تکامل هستند. با هر گونه جدید، ویژگی‌های جدید و رمزنگاری بهتر همراه می‌شود. این چیزی نیست که بتوانید نادیده بگیرید!

یکی از دلایلی که پیدا کردن یک راه حل منحصربه فرد برای باج افزار بسیار مشکل است این است که رمزنگاری به خودی خود مخرب نیست. در واقع این کار پیشرفت خوبی به حساب آمده و بسیاری از برنامه‌های بی خطر از آن استفاده می‌کنند.

اولین بدافزار رمزنگاری از یک الگوریتم کلید متقارن، با کلید یکسان برای رمزنگاری و رمزگشایی، استفاده کرد. اطلاعات خراب معمولا می‌توانند با کمک شرکت‌های امنیتی با موفقیت اصلاح شوند. با گذشت زمان، مجرمان سایبری شروع به پیاده سازی الگوریتم‌های رمزنگاری نامتقارن کردند که از دو کلید جداگانه استفاده می‌کنند- یک کلید عمومی برای رمزنگاری فایل‌ها، و یک کلید خصوصی که برای رمزگشایی لازم است.

تروجان CryptoLocker یکی از مشهورترین باج افزارهاست. همچنین این تروجان از الگوریتم کلید عمومی استفاده می‌کند. به محض آلوده سازی هر کامپیوتر، این تروجان به سرور کنترل و فرمان(C&C) متصل می‌شود تا کلید عمومی را دانلود کند. کلید خصوصی تنها برای مجرمانی قابل دسترس است که نرم افزار CryptoLocker را نوشته اند. معمولا، قربانی بیشتر از 72 ساعت برای پرداخت باج فرصت ندارد چرا که بعد از این مدت کلید خصوصی‌شان برای همیشه حذف می‌شود، و رمزگشایی فایل‌ها بدون این کلید غیرممکن است.

بنابراین شما باید در ابتدا به پیشگیری فکر کنید. اکثر نرم افزارهای آنتی ویروس شامل مولفه‌ای هستند که به شناسایی تهدید باج افزاری در مراحل اولیه آلودگی کمک می‌کنند، بدون اینکه از دست رفتن هیچگونه اطلاعات حساسی رخ دهد. برای کاربران مهم است که این قابلیت در آنتی ویروس‌شان روشن باشد.

چه کاری می‌توانید برای قربانیان باج افزاری انجام دهید تا به فایل‌هایشان مجددا دسترسی پیدا کنند؟

پروژه "No More Ransom" به تازگی شروع به کار کرده است، اما ما پیوسته با شرکت‌های امنیتی و نیروهای پلیس همکاری می‌کنیم تا بیشترین کلید ممکن را برای انواع مختلف باج افزارها پیدا کنیم. "اگر اطلاعاتی دارید که فکر می‌کنید مفید هستند، لطفا آن‌ها را با ما به اشتراک بگذارید."

Crypto Sheriff چیست و چگونه از آن استفاده کنم؟

Crypto Sheriff ابزاری است که برای کمک به ما در تعریف نوع باج افزاری که به سیستم شما حمله کرده طراحی شده است. این ابزار ما را قادر می‌سازد تا بررسی کنیم که آیا راه حلی برای رمزگشایی وجود دارد یا نه. لطفا ویدئوی زیر را مشاهده کنید تا نحوه کار آن را متوجه شوید:

ابزار رمزگشایی‌تان کار نمی‌کند، اگرچه مطمئنم که از ابزار درستی استفاده می‌کنم- چرا؟

این نیز ممکن است. گاهی اوقات ما زیرمجموعه‌ای از کلیدها را دریافت می‌کنیم، بنابراین پیوسته وب‌سایت را چک کنید.

چه موقع رمزگشایی فایل‌هایی که با باج افزار رمزگذاری شده‌اند امکان پذیر است؟

این کار در موارد زیر امکان پذیر است:

  • توسعه دهندگان بدافزارها در پیاده سازی دچار استباه می‌شوند و شکستن قفل را ممکن می‌سازد. این مورد پیرامون باج افزارهای Petya و CryptXXX صدق می‌کند.
  • توسعه دهندگان بدافزارها درباره اقدامات خود احساس پشیمانی کرده و کلیدها، یا "کلید اصلی"، را منتشر کی‌کنند، مانند TeslaCrypt
  • نیروهای پلیس سروری را با کلیدهایی روی آن توقیف کرده و کلیدها را به اشتراک می‌گذارند. CoinVault. از این قبیل است.


گاهی اوقات پرداخت باج نیز کارگشاست، اما هیچ تضمینی وجود ندارد که پرداخت باج باعث رمزگشایی فایل‌های شما شود. به علاوه، شما با این کار از این مدل کسب و کار مجرمانه حمایت می‌کنید و به همین ترتیب هر چه تعداد بیشتری با آن باج افزار آلوده شوند شما نیز مسئول هستید.

به چه دلیل پروژه No More Ransom را شروع کردید؟

شکی نیست که باج افزار در سال‌های اخیر به مشکل عظیمی برای امنیت سایبری تبدیل شده است. این مسئله چنان گسترده شده که به راحتی می‌توان آن را همه‌گیر قلمداد کرد. تعداد کاربرانی که مورد حمله باج افزاری قرار گرفتند روبه افزایش است، که بین آوریل 2015 تا مارس 2016 حدود 718هزار کاربر مورد حمله باج افزاری قرار گرفتند: که در مقایسه با مدت مشابه 2014-2015 5.5 برابر افزایش یافته است.

پلیس نمی‌تواند با جرایم سایبری، به خصوص باج افزارها، به صورت خودجوش مقابله کند. و محققان امنیتی نمی‌توانند بدون حمایت پلیس کاری انجام دهند. مسئولیت مقابله با باج افزار بین پلیس، دادگستری، و یوروپل و شرکت‌های امنیتی حوزه IT مشترک است و نیاز به تلاش جامع و مشترک دارد. با همدیگر این قدرت را داریم تا هر کاری برای مقابله با اخاذی مجرمان انجام دهیم و فایل‌ها را به مالکان حقیقی‌شان برگردانیم، بدون اینکه مجبور به پرداخت باج باشند.

آیا هیچگونه اقدامات مشابهی در کشور من وجود دارد؟

"No More Ransom" ابتکاری بین المللی است که ارزش همکاری بخش‌های خصوصی- دولتی را در اقدام جدی برعلیه جرایم سایبری نشان می‌دهد. این همکاری فراتر از مرزهای جغرافیایی می‌رود. هدف اصلی این پروژه اشتراک دانش و آموزش کاربران سراسر جهان پیرامون چگونگی پیشگیری از حملات باج افزاری است. معتقدیم که این کار در نهایت منجر به پشتیبانی برای جبران خسارات وارده به قربانیان سراسر جهان می‌شود. با بازگرداندن دسترسی به سیستم‌ها، کاربران را توانمند می‌کنیم و از پرداخت هرگونه پولی به مجرمان اجتناب می‌کنیم.

این پورتال در گام‌های اولیه خود شامل چهار ابزار رمزگشایی برای انواع مختلف بدافزارها بود. همه ابزارهای موجود در وب‌سایت رایگان هستند، و برای هر کاربر آلوده با تهدید ذکر شده در وب‌سایت- صرفنظر از اینکه در کجا قرار دارند- کارساز هستند.