باج افزار چیست؟

باج افزار ها (Ransomware) گونه‌ای از بدافزارها هستند که داده‌های با اهمیت کاربر یا سازمان را، شامل، اسناد، تصاویر، ویدیو، دیتابیس (پایگاه داده) و… را رمزگذاری می‌کنند و با حذف نسخه‌های بکاپ (پشتیبان) آنها، از کاربر یا سازمان درخواست پرداخت «باج» می‌کنند تا اطلاعات را بازگردانی کنند. در اکثر باج افزار های امروزی پرداخت باید از طریق رمز ارزها به خصوص بیت کوین انجام شود. برخی از کاربران این گونه از بدافزار ها را با نام ویروس باجگیر می‌شناسند!

انواع باج افزار

سه نوع اصلی از باج افزارها وجود دارد که شدت ایجاد خسارت در آنها متفاوت است:

• Scareware: Scarewareها بر خلاف نامشان آنقدرها هم ترسناک نیستند. آنها به این صورت عمل می‌کنند که با نمایش یک نوتیفیکیشن به شما هشدار می‌دهند که سیستم عاملتان به بدافزار آلوده شده است و برای پاکسازی باید این برنامه امنیتی را نصب کنید! احتمالاً با این هشدارهای آزار دهنده بمباران می‌‌شوید، اما سیستم شما کاملا ایمن و پاک است.
• یک آنتی ویروس قانونی هیچوقت از این طریق جذب مشتری نمی‌کند. زمانی که نرم‌افزار آن شرکت را روی سیستم خود ندارید، چگونه آنها متوجه حمله بدافزاری به سیستم شما شده‌اند؟! اگر در حال حاضر بر روی سیستم خود آنتی ویروس دارید، نیازی به پرداخت هزینه و نصب یک برنامه دیگر برای حذف ویروس و آلودگی ندارید و آنتی ویروس‌های معتبر و قانونی این کار را برای شما بصورت خودکار انجام خواهند داد.
• Screen Lockers: این نوع باج افزار، سیستم شما را کاملا قفل می‌کند و اجازه کار کردن با کامپیوتر را به شما نمی‌دهد. پس از بالا آمدن سیستم عامل، پنجره‌‌ای تمام صفحه باز می‌شود که ممکن است با یک مهر رسمی از سازمان‌های امنیتیِ دولتی همراه باشد و هشدار می‌دهد که یک فعالیت غیر قانونی در کامپیوتر شما شناسایی شده است و باید جریمه بپردازید! یادتان باشد که هیچ سازمان قانونی از این طریق، تخلفات را به شما اطلاع نمی‌دهد و از شما جریمه نمی‌گیرد. اگر واقعا فعالیتی غیر قانونی از کسی سر زده باشد، آنها از کانال‌های قانونی وارد می‌شوند.
• Encrypting Ransomware: بدترین و خطرناک‌ترین نوع باج افزار است. این باج افزار فایل‌های شما را رمزگذاری می‌کند و برای رمزگشایی و بازگردانی آنها، درخواست باج می‌کند. در این حمله باج افزاری به محض این که فایل‌ها رمزگذاری شوند، هیچ نرم افزار امنیتی، آنتی ویروس یا سرویس‌های بازیابیِ سیستم، نمی‌توانند فایل‌ها را به شما بازگردانند، مگر این که باج را بدهید! در بیشتر موارد، اطلاعات برای همیشه از دست خواهد رفت. حتی اگر باج را پرداخت کنید، هیچ تضمینی وجود ندارد که فایل‌ها بازگردانی شوند.

باج افزارها چگونه کار می‌کنند؟

باج افزارها از رمزنگاری نوع نامتقارن استفاده می‌کنند. این رمزنگاری از یک جفت کلید (عمومی – خصوصی)  برای رمزگذاری و رمزگشایی یک فایل استفاده می‌کند. جفت کلید توسط فرد مهاجم، برای هر قربانی به صورت منحصربه‌فرد ایجاد می‌شود و کلید خصوصی که برای رمزگشایی فایل استفاده می‌شود، در سرور مهاجم ذخیره می‌گردد. تنها پس از دریافت مبلغ باج، کلید خصوصی در دسترس قربانی قرار می‌گیرد، البته متاسفانه باید بگوییم که همیشه هم اینگونه نیست! بدون دسترسی به کلید خصوصی، رمزگشایی اطلاعات تقریبا غیر ممکن است.

انواع مختلفی از خانواده‌های باج افزاری وجود دارد. غالبا باج افزارها با استفاده از ایمیل‌های مخرب، کِرک کردن نرم افزارها و حملات هدفمند فیشینگ توزیع می‌شوند. پس از نفوذ باج افزار به یک سیستم، فایل آلوده تا زمان اجرا بر روی سیستم باقی می‌ماند.

باج افزار پس از نفوذ موفق به سیستم، با اجرای یک کد مخرب، فایل‌های با ارزشی مانند اسناد مایکروسافت (وُرد، اِکسل و…)، فایل‌های تصویری، دیتابیس و غیره را جستجو و رمزگذاری می‌کند. همچنین قادر است تا با اکسپلویتِ آسیب پذیری‌های شبکه، به کل سیستم‌های شبکه منتقل شده و آنها را آلوده کند.

پس از رمزگذاری اطلاعات، قربانی مدت زمان محدودی فرصت دارد تا با پرداخت باج، ابزار رمزگشا را از مجرمان دریافت کند، در غیر این صورت اطلاعات او برای همیشه از بین می‌روند. اگر نسخه پشتیبان (بکاپ) از اطلاعات وجود نداشته باشد و یا آنها هم رمزگذاری شده باشند، قربانی راهی جز پرداخت باج ندارد.

چگونه به باج افزار آلوده می‌شویم؟

آلوده شدن به باج افزار از طریق روش‌های مختلفی امکان پذیر است. یکی از متداول‌ترین روش‌ها، ایمیل‌های آلوده و مخرب است. این ایمیل‌ها شامل پیوست‌های PDF یا اسناد Word آلوده هستند و یا اینکه می‌توانند حاوی لینک‌هایی به وبسایت‌های مخرب باشند. این روش از انواع تکنیک‌های فیشینگ استفاده می‌کند تا کاربران را ترغیب به باز کردن ایمیل و کلیک بر روی فایل پیوست کند.

یکی دیگر از روش‌های آلوده شدن به باج افزار، دانلود از وبسایت‌های نامعتبر و کرک کردن نرم افزارهاست. کرک کردن کاری غیر اخلاقی و غیر قانونی است (به جز ایران البته). مجرمان سایبری از این فرصت استفاده کرده و با آلوده کردن فایل کرک به انواع بدافزارها و خصوصا باج افزار، اطلاعات کاربران را رمزگذاری می‌کنند. اینجا در امسی سافت زیاد می‌شنویم که پس از اجرای فایل کرک، اطلاعات کاربر رمزگذاری شده و تمامی آنها را برای همیشه از دست داده است.

یکی دیگر از روش‌های محبوب، Malvertising یا استفاده از تبلیغات آنلاین برای توزیع باج افزار است که معمولا نیازی هم به تعامل کاربر ندارد. هنگام وبگردی (حتی سایت‌های معتبر) می‌توان کاربر را بدون نیاز به هیچ تعاملی به سرورهای آلوده هدایت کرد. این سرورها جزئیات مربوط به سیستم قربانی و حتی مکان آنها را فهرست‌بندی می‌کنند و سپس می‌توانند به راحتی سیستم مورد نظر را آلوده کنند. این روش معمولا از صفحات وب نامرئی برای انجام کارهای خود استفاده می‌کند و کیت اکسپلویت، از طریق این صفحات به سیستم نفوذ کرده و می‌تواند آن را آلوده کند. همه این فرآیندها بدون اطلاع کاربر اتفاق می‌افتد، به همین دلیل است که اغلب به این نوع حملات، drive-by-download می‌گویند.

چگونه از حملات باج افزاری جلوگیری کنیم؟

برای جلوگیری از حملات باج افزاری و یا کاهش صدمات پس از حمله، حتما نکات زیر را در نظر بگیرید:

• بکاپ گیری منظم از اطلاعات: یکی از بهترین راه‌ها برای مقابله با باج افزارها، تهیه نسخه پشتیبان (بکاپ) در فضای ابری و یک هارد اکسترنال است. به این ترتیب، در صورت آلوده شدن به باج افزار، می‌توانید سیستم عامل خود را به سرعت تعویض کرده و نسخه‌های پشتیبان خود را بازگردانی کنید.
• ایمن سازی فایل‌های بکاپ (نسخه‌های پشتیبان): اطمینان حاصل کنید که نسخه‌های پشتیبان شما در یک حافظه ایمن هستند و قابل دسترسی توسط افراد غیر مجاز نیست. بسیاری از انواع باج افزارها به دنبال پیدا کردن فایل‌های بکاپ و رمزگذاری یا حذف آنها هستند تا امکان بازیابی اطلاعات وجود نداشته باشد. بنابراین از سیستم‌های بکاپ گیری استفاده کنید که اجازه دسترسی مستقیم به فایل‌های بکاپ را نمی‌دهند.
• آنتی ویروسِ معتبر و بروز استفاه کنید: اطمینان حاصل کنید که تمامی کامپیوترها و دستگاه‌های شما توسط یک آنتی ویروس معتبر و با کیفیت محافظت می‌شوند. همچنین تمامی آنتی ویروس‌ها، سیستم عامل‌ها و نرم افزارهای دیگر خود را بروز نگه دارید، چرا که بروزرسانی‌ها شامل انواع پَچ‌های امنیتی هستند که در ارتقا امنیت سیستم بسیار موثرند. ترجیحا بروزرسانی خودکار را فعال کنید و یا از نرم افزارهای Patch Management استفاده کنید.
• وبگردی ایمن را تمرین کنید: مراقب باشید که کجا را کلیک می‌کنید. ایمیل‌ها و پیام‌های ناشناس و مشکوک را باز نکنید. نرم افزارهای مورد نیاز خود را تنها از وبسایت‌ها و منابع معتبر دانلود کنید. لطفا این مورد را بسیار جدی بگیرید چرا که استفاده از تکنیک‌های مهندسی اجتماعی و فیشینگ، برای ترغیب کاربران به دانلود و نصب بدافزار بسیار رایج شده است.
• فقط از شبکه‌های ایمن استفاده کنید: ترجیحا از شبکه‌های Wi-Fi عمومی استفاده نکنید، بسیاری از آنها ایمن نیستند و هکرها می‌توانند به راحتی به اطلاعات شما دسترسی پیدا کنند. حتما از یک VPN معتبر و با کیفیت استفاده کنید، که به شما امکان اتصال ایمن به اینترنت را در هر نوع شبکه ای می‌دهد.
• اطلاعات خود را بروز کنید: سعی کنید دانش پایه امنیت سایبری را بیاموزید و اطلاعات خود را در این حوزه بروز نگه دارید. در صورت تمایل می‌توانید از مطالب وبلاگ امسی سافت بازدید کنید. در این وبلاگ، در تلاش هستیم تا آخرین مقالات در حوزه امنیت اطلاعات و بدافزارها را به زبان ساده با کاربران به اشتراک بگذاریم. برای اطلاع از آخرین ابزارهای رمزگشای تولید شده توسط امسی سافت، می‌توانید به صفحه باج افزار امسی سافت مراجعه کنید.
• برگزاری جلسات و دوره‌های آموزشی در شرکت و سازمان: در صورتی که کسب و کار و شرکت شخصی خود را دارید، حتما برای اعضا و کارمندان شرکت خود به طور منظم جلسات آموزش امنیت فضای آنلاین برگزار کنید، تا بتوانید در شرکت خود از حملات فیشینگ و سایر تکنیک‌های مهندسی اجتماعی در امان باشید.