باج افزارها: سوال و جواب

تاریخچه باج افزار

1989: اولین باج افزار شناخته شده، 1989 AIDS Trojan(که به عنوان PC Cyborg نیز شناخته می‌شود) به وسیله Joseph Popp نوشته شد
2005: در ماه مه، یک باج افزار جهت اخاذی پدیدار شد
2006: تا اواسط 2006، کرم‌هایی همچون Gpcode، TROJ.RANSOM.A، Archineus، Krotten، Cryzip، و MayArchive ،استفاده از طرح‌های رمزنگاری RSA پیچیده‌تر، با کلید های دارای سایز افزایشی را شروع کردند
2011: کرم باج افزاری که پیغام فعال‌سازی محصولات ویندوز را تقلید می نمود، پدیدار شد
2013: یک کرم باج افزاری براساس اکسپلویت کیت Stamp.EK و کرم باج افزاری خاص سیستم عامل Mac وارد صحنه شد. CryptoLocker در چهار ماه آخر این سال حدود 5 میلیون دلار اخاذی نمود.
2015: چند گونه باج افزار در پلت فرم‌های مختلف باعث آسیب‌های عمده شدند.

انواع باج افزار

  • باج افزار رمزنگاری

این نوع باج افزار، پوشه‌ها و فایل‌های شخصی (اسناد، صفحات گسترده، تصاویر، و ویدئوها) را رمزنگاری می‌کند.

فایل‌های تحت تاثیر زمانیکه رمزگذاری شدند، حذف می‌شوند و کاربران عموما با یک فایل متنی حاوی دستورالعمل پرداخت پول درون فولدرهای حاوی فایل های غیرقابل دسترس، مواجه می‌شوند.

ممکن است تنها زمانی این مسئله را بفهمید که بخواهید یکی از این فایل‌ها را باز کنید.

اغلب نرم افزارهای رمزنگاری و البته نه همه آنها یک "صفحه قفل" را نشان می‌دهند:

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • باج افزار قفل صفحه- WinLocker

این باج افزار صفحه کامپیوتر را قفل کرده و درخواست باج می‌کند.

این باج افزار یک تصویر تمام صفحه را نشان می‌دهد که سایر پنجره‌ها را بلوکه می‌کند.

هیچ فایل شخصی رمز نمی‌شود.

Polyransom2

  • باج افزار MBR(Master Boot Record)

MBR بخشی ازهارد کامپیوتر است که به سیستم عامل اجازه بوت شدن را می‌دهد

باج افزار MBR، MBR کامپیوتر را تغییر می‎دهد به طوریکه فرآیند راه اندازی طبیعی دچار اختلال می‌شود

در عوض، پیغام درخواست باج بر روی صفحه نمایش داده می‌شود.

Master-Boot.jpg

  • باج افزاری که سرورهای وب را رمزنگاری می‌کند.

این باج افزار سرورهای وب را هدف قرار داده و تعداد زیادی ازفایل‌های موجود بر روی آن را رمزگذاری می‌کند.

آسیب پذیری‌های شناخته شده در سیستم‌های مدیریت محتوا اغلب برای گسترش باج افزار در وب سرویس‌ها استفاده می‌شوند.

Ransomware encrypting web servers

  • باج افزار دستگاه موبایل(اندروید)

دستگاه‌های موبایل(اکثرا اندروید) می‌توانند از طریق drive by downloads(برنامه‌هایی که به طور خودکار بدون رضایت یا آگاهی کاربر دانلود می‌شوند) آلوده شوند.

همچنین آن‌ها می‌توانند از طریق برنامه‌های جعلی آلوده شوند که به عنوان سرویس‌های مشهور مانند Adobe Flash یا آنتی ویروس خود را جا می‌زنند.

Mobile Ransomware

اگر مورد حمله واقع شدم، آیا باید باج (پول) را پرداخت کنم؟

هرگز پرداخت باج توصیه نمی‌شود، اساسا چون تضمینی برای حل مشکل نیست. همچنین برخی موارد وجود دارند که می‌توانند به طور تصادفی ایجاد مشکل نمایند. برای مثال، اشکالاتی در بدافزار می‌تواند وجود داشته باشد که داده‌های رمزشده را حتی با وجود کلید درست، غیرقابل بازیابی می‌سازند.

علاوه بر این اگر باج پرداخت شود، این کار به مجرمان سایبری اثبات می‌ نماید که باج افزار موثر است. در نتیجه، مجرمان سایبری به فعالیت خود ادامه داده و به دنبال راه‌های جدید برای سوءاستفاده از سیستم‌هایی خواهند بود که منجر به آلودگی‌های بیشتر و ورود پول بیشتر در حساب‌هایشان شود.

یک حمله باج افزاری چگونه کار می‌کند؟

یک حمله باج افزاری معمولا از طریق ضمیمه یک ایمیل رخ می دهد که فایل ضمیمه می‌تواند یک فایل اجرایی، آرشیو یا یک تصویر باشد. هنگامیکه ضمیمه باز می‌شود، بدافزار در سیستم کاربر منتشر می‌شود. همچنین مجرمان سایبری می‌توانند بدافزار را در وب‌سایت‌ها به کار بگذارند. هنگامی که یک کاربر به طور ناخواسته از سایت بازدید می‌کند، بدافزار در سیستم کاربر منتشر می‌شود.

آلودگی بلافاصله برای کاربر آشکار نمی‌شود. این بدافزار در سکوت و در پس زمینه عمل می‌کند تا زمانیکه مکانیزم قفل داده‌ها یا سیستم مستقر شود. سپس پیغامی به کاربر نشان داده می‌شود که به کاربر می‌گوید که داده‌ها قفل شده‌اند و برای باز کردن مجدد آن‌ها درخواست باج می‌کند. پس از آن دیگر خیلی دیر است که بخواهید داده‌ها را از طریق هرگونه اقدام امنیتی محافظت کنید.

برای اطلاعات بیشتر لطفا ویدئوی زیر را مشاهده کنید:

قربانیان باج افزار چه کسانی هستند؟

هر شخص و یا هر شرکت تجاری می‎تواند قربانی باج افزار باشد. مجرمان سایبری قربانیان را انتخاب نمی کنند و اغلب تلاش می‌کنند که تا حد امکان به تعداد کاربر بیشتری آسیب برسانند تا از این طریق به سود بیشتری دست یابند.

آیا حملات باج افزاری برعلیه شرکت‌های تجاری روبه افزایش است؟

بله، چون مجرمان سایبری می‌دانند که سازمان‌ها به احتمال زیاد حاضر به پرداخت باج می‌شوند چرا که اطلاعات دربند مجرمان، حساس و برای تداوم کار شرکت حیاتی هستند. علاوه بر این گاهی اوقات بازیابی نسخه‌های پشتیبان نسبت به پرداخت باج پرهزینه‌تر است.

چرا پیدا کردن یک راه حل منحصربه فرد و واحد در برابر باج افزار بسیار مشکل است؟

باج افزار در حال افزایش است- در حال حاضر بیش از 50 گونه از این بدافزار وجود دارد و در حال انتشار هستند- و به سرعت در حال رشد و تکامل هستند. هرگونه جدید باج افزار با ویژگی‌های جدید و رمزنگاری بهتر همراه می‌شود. این چیزی نیست که بتوانید نادیده بگیرید!

یکی از دلایلی که پیدا کردن یک راه حل منحصربه فرد برای باج افزار بسیار مشکل است، این است که رمزنگاری به خودی خود مخرب نیست. در واقع این کار پیشرفت خوبی به حساب آمده و بسیاری از برنامه‌های بی خطر از آن استفاده می‌کنند.

اولین بدافزار رمزنگاری از یک الگوریتم کلید متقارن، با کلید یکسان برای رمزنگاری و رمزگشایی، استفاده کرد. اطلاعات خراب معمولا می‌توانند با کمک شرکت‌های امنیتی با موفقیت اصلاح شوند. با گذشت زمان، مجرمان سایبری شروع به پیاده سازی الگوریتم‌های رمزنگاری نامتقارن کردند که از دو کلید جداگانه استفاده می‌کنند- یک کلید عمومی برای رمزنگاری فایل‌ها، و یک کلید خصوصی که برای رمزگشایی لازم است.

تروجان CryptoLocker یکی از مشهورترین باج افزارهاست. همچنین این تروجان از الگوریتم کلید عمومی استفاده می‌کند. به محض آلوده سازی هر کامپیوتر، این تروجان به سرور کنترل و فرماندهی(C&C) متصل می‌شود تا کلید عمومی را دانلود کند. کلید خصوصی تنها برای مجرمانی قابل دسترس است که کار کد نویسی CryptoLocker را انجام داده اند. معمولا، قربانی بیشتر از 72 ساعت برای پرداخت باج فرصت ندارد چرا که بعد از این مدت کلید خصوصی‌شان برای همیشه حذف می‌شود، و رمزگشایی فایل‌ها بدون این کلید غیرممکن است.

بنابراین شما باید در ابتدا به پیشگیری فکر کنید. اکثر نرم افزارهای آنتی ویروس شامل مولفه‌ای هستند که به شناسایی تهدید باج افزاری در مراحل اولیه آلودگی کمک می‌کنند، بدون اینکه هیچگونه اطلاعات حساسی از دست برود. برای کاربران مهم است که این قابلیت در آنتی ویروس‌شان روشن باشد.

چه کاری می‌توانید برای قربانیان باج افزاری انجام دهید تا مجددا به فایل‌هایشان دسترسی پیدا کنند؟

پروژه "No More Ransom" به تازگی شروع به کار کرده است، اما ما پیوسته با شرکت‌های امنیتی و نیروهای پلیس همکاری می‌کنیم تا بیشترین کلید ممکن را برای انواع مختلف باج افزارها بیابیم. "اگر اطلاعاتی دارید که فکر می‌کنید مفید هستند، لطفا آن‌ها را با ما به اشتراک بگذارید."

Crypto Sheriff چیست و چگونه از آن استفاده کنم؟

Crypto Sheriff ابزاری است که به منظور کمک به ما در تشخیص نوع باج افزاری که به سیستم شما حمله کرده، طراحی شده است. این ابزار ما را قادر می‌سازد تا بررسی کنیم که آیا راه حلی برای رمزگشایی وجود دارد یا نه. لطفا ویدئوی زیر را مشاهده کنید تا نحوه کار آن را متوجه شوید:

ابزار رمزگشایی‌ شما کار نمی‌کند، اگرچه مطمئنم که از ابزار درستی استفاده می‌کنم- چرا؟

این نیز ممکن است. گاهی اوقات ما فقط دسته ای از کلیدها را به دست می آوریم، بنابراین پیوسته وب‌سایت را چک کنید.

چه موقع رمزگشایی فایل‌هایی که با باج افزار رمزگذاری شده‌اند امکان پذیر است؟

این کار در موارد زیر امکان پذیر است:

  • توسعه دهندگان بدافزارها در پیاده سازی دچار استباه می‌شوند واین موضوع شکستن قفل را ممکن می‌سازد. این مورد پیرامون باج افزارهای Petya و Cryptxxx صدق می‌کند.
  • توسعه دهندگان بدافزارها درباره اقدامات خود احساس پشیمانی کرده و کلیدها، یا "کلید اصلی"، را منتشر می‌کنند، مانند TeslaCrypt
  • نیروهای پلیس سروری را با کلیدهایی روی آن توقیف کرده و کلیدها را به اشتراک می‌گذارند. CoinVault از این قبیل است.


گاهی اوقات پرداخت باج نیز کارگشاست، اما هیچ تضمینی وجود ندارد که پرداخت باج باعث رمزگشایی فایل‌های شما شود.علاوه بر این شما با انجام این کار از این مدل کسب و کار مجرمانه حمایت می‌کنید و به همین ترتیب هر چه تعداد بیشتری با آن باج افزار آلوده شوند، شما نیز مسئول هستید.

به چه دلیل پروژه ابتکاری No More Ransom را شروع کردید؟

شکی نیست که باج افزار در سال‌های اخیر به مشکل عظیمی برای امنیت سایبری تبدیل شده است. این مسئله چنان گسترده شده که به راحتی می‌توان آن را همه‌گیر قلمداد کرد. تعداد کاربرانی که مورد حمله باج افزاری قرار گرفتند روبه افزایش است، که بین آوریل 2015 تا مارس 2016 حدود 718هزار کاربر مورد حمله باج افزاری قرار گرفتند که در مقایسه با مدت مشابه 2014-2015 5.5 برابر افزایش یافته است.

پلیس نمی‌تواند با جرایم سایبری، به خصوص باج افزارها، به صورت خودجوش مقابله کند. و محققان امنیتی نمی‌توانند بدون حمایت پلیس کاری انجام دهند. مسئولیت مقابله با باج افزار بین پلیس، دادگستری، و یوروپل و شرکت‌های امنیتی حوزه IT مشترک است و نیاز به تلاش جامع و مشترک دارد. با همدیگر این قدرت را داریم تا هر کاری برای مقابله با اخاذی مجرمان انجام دهیم و فایل‌ها را به مالکان حقیقی‌شان برگردانیم، بدون اینکه مجبور به پرداخت باج باشند.

آیا هیچگونه اقدامات مشابهی در کشور من وجود دارد؟

"No More Ransom" ابتکاری بین المللی است که ارزش همکاری بخش‌های خصوصی- دولتی را در اقدام جدی برعلیه جرایم سایبری نشان می‌دهد و این همکاری فراتر از مرزهای جغرافیایی می باشد. هدف اصلی این پروژه اشتراک دانش و آموزش کاربران سراسر جهان پیرامون چگونگی پیشگیری از حملات باج افزاری است. معتقدیم که این کار در نهایت منجر به پشتیبانی برای جبران خسارات وارده به قربانیان سراسر جهان می‌شود. با بازگرداندن دسترسی کاربران به سیستم‌ها ما به آنها نشان می دهیم که قادرند بدون پرداخت پاداش (باج) به مجرمان، اقدام مقتضی علیه باج افزارها و در نهایت دسترسی به فایلهایشان را به انجام برسانند.

این پورتال در گام‌ اولیه خود شامل چهار ابزار رمزگشایی برای انواع مختلف بدافزارها بود. همه ابزارهای موجود در وب‌سایت رایگان هستند و برای هر کاربر آلوده با تهدید ذکر شده در وب‌سایت- صرفنظر از اینکه در کجا قرار دارند- کارساز هستند.