باج افزار (Ransomware) چیست؟

نوعی از بدافزارهای خطرناک هستند که به سیستم‌های افراد، شرکت‌های شخصی و دولتی نفوذ کرده و دسترسی به سامانه یا فایل‌هایی مانند اطلاعات مالی را محدود می‌کنند. روش محدود کردن دسترسی به سامانه یا اطلاعات توسط باج‌افزار، معمولاً از طریق رمزگذاری یا قفل‌گذاری روی فایل‌ها و داده‌ها صورت می‌گیرد. باج افزار می‌تواند از طریق لینک‌های فریبنده مانند ایمیل، پیامک، وب سایت و غیره به سیستم نفوذ کند. مهاجم در ازای ارسال کلید رمزگشایی برای کاربر، از او درخواست باج می‌کند.

انواع باج‌افزارها کدامند؟

باج‌افزارها انواع مختلفی دارند که با توجه به ترتیب شدت و میزان تخریب، به سه دسته زیر تقسیم می‌شوند:

 Scareware یا ترس‌افزار

ترس‌افزار برنامه‌ی کامپیوتری است که با هدف آسیب زدن یا مختل کردن یک سیستم کامپیوتری طراحی می‌شود. این نوع باج افزار با ایجاد ترس در کاربر، او را به انجام کاری مجبور می‌کند که در نظر دارد. مهاجم عموماً از یک تبلیغ پاپ آپ شروع می‌کند و در آن سعی دارد با استفاده از تکنیک‌های مهندسی اجتماعی کاربر را بترساند.

 Screen lockers یا قفل‌کننده صفحه نمایش

در این نوع از باج افزار، مهاجم صفحه نمایش کاربر را قفل می‌کند و یک صفحه اخطار روی صفحه نمایش نشان داده می‌شود. محتوای این پیام در اغلب موارد در بردارنده‌ی این مضمون است که به دلیل در اختیار داشتن محتوای مجرمانه، دسترسی کاربر به سیستم قطع شده است. کاربر برای به دست آوردن دسترسی مجدد به سیستم باید جریمه پرداخت کند.

Encryption ransomware یا رمز‌گذار

باج افزارهای رمزگذار به سادگی و با استفاده از روش‌های جدید، فایل‌های قربانی را رمزگذاری می‌کنند. مهاجمین در ازای ارسال کلید رمزگشایی، از کاربر درخواست باج می‌کنند. از آنجایی که در اغلب موارد هدف باج‌افزارهای رمزگذار سازمان‌های بزرگ است، مبلغ باج بسیار هنگفت است. علاوه بر این، حتی پس از پرداخت باج، هیچ تضمینی برای ارسال کلید رمزگشایی فایل وجود ندارد.

معرفی مهم‌ترین باج افزارهای مخرب

لیست باج افزارهایی که جهت انجام اقدامات خرابکارانه معرفی شده‌اند بسیار زیاد است؛ در ادامه به چند نمونه از مهم‌ترین موارد مخرب اشاره می‌کنیم.

وستد لاکر (WastedLocker)

wastedlocker توسط یک گروه از مجرمان سایبری بسیار ماهر با نام evil corp ایجاد شد. هدف این Ransomware، آلوده کردن سیستم قربانیان و گرفتن باج بود. از سال ۲۰۰۷ تا به امروز به عنوان یکی از مخرب‌ترین باج افزارها شناخته می‌شود که سر و صدای بسیاری هم در رسانه‌ها به پا کرد. این بدافزار مشخصاً برای حمله به شرکتی خاص طراحی می‌شود. در پیام‌های wastedlocker، قربانی به اسم خطاب می‌شود و تمامی فایل‌های رمزگذاری ‌شده افزونه‌ی garminwasted. دارند.

یکی از قربانیان برجسته این باج‌گیری تا به امروز شرکت گارمین (Garmin) است. گارمین یک شرکت فناوری آمریکایی است که در سال ۱۹۸۹ فعالیت خود را در زمینه‌ی دستگاه‌های جی پی اس آغاز کرده است. این شرکت در ۲۳ جولای ۲۰۲۰ به وسیله بدافزار WastedLocker مورد حمله قرار گرفت و در نتیجه بسیاری از خدمات آن در سراسر جهان مختل شد. به طوری که کاربران خلبان هم قادر به دانلود نقشه‌های گارمین روی دستگاه‌های خود نبودند. طبق گزارشات، باج ۱۰ میلیون دلاری درخواست شده بود.

دوپل پیمر (DoppelPaymer)

DoppelPaymer بدافزاری از نوع باج‌افزار است که برای جلوگیری از دسترسی قربانیان به پرونده‌های آن‌ها از طریق رمزگذاری طراحی شده است. تحقیقات نشان می‌دهد که مجرمان از DoppelPaymer در حملات هدفمند استفاده می‌کنند. یعنی آن‌ها شرکت‌ها یا صنایع خاصی را مورد هدف قرار می‌دهند و معمولاً به دنبال نفوذ در کل شبکه هستند (به عنوان مثال، تمام رایانه‌های مورد استفاده در یک شرکت خاص).

این Ransomware پسوند “.locked” را به نام هر فایل رمزگذاری شده اضافه می‌کند. به عنوان مثال، “۱.jpg” به “۱.jpg.locked” تبدیل می‌شود. تمام پیام‌های باج، حاوی متن یکسانی است که بیان می‌کند قربانیان نباید:

• رایانه‌های خود را خاموش یا راه‌اندازی مجدد کنند.
• پرونده‌های رمزگذاری شده یا پیام‌های باج را تغییر نام دهند یا حذف کنند.
•  با استفاده از نرم‌افزارهای دیگر سعی کنند پرونده‌ها را بازیابی کنند.

زیرا انجام این اقدامات ممکن است منجر به از دست دادن دائمی اطلاعات شود.

پونی فینال (Pony Final)

در تاریخ ۲۷ می سال ۲۰۲۰، تیم امنیتی مایکروسافت در یک رشته توییت به سازمان‌های سراسر جهان هشدار داد که در برابر نوع جدیدی از باج‌افزار، تدابیر امنیتی اتخاذ کنند. این باج‌افزار که PonyFinal نام داشت، مبتنی بر جاوا بود. هدف Pony Final بیشتر بیمارستان‌ها و موسسات خدمات بهداشتی و سلامت است.

این بدافزار از نوع باج افزارهای مبتنی بر انسان (Human-operated) است. یعنی مهاجمین از آسیب‌پذیری‌ امنیت اطلاعات سیستم‌های موردنظر سوءاستفاده می‌کنند. نقطه‌ی نفوذ معمولاً یک حساب کاربری در سرور مدیریت سیستم است که باند PonyFinal با استفاده از حملات brute-force که رمزعبورهای ضعیف را حدس می‌زند، از آن عبور می‌کند.

رویل (REvil)

برای اولین بار در آوریل ۲۰۱۹ باج‌افزار REvil کشف شد. مهاجمان از روش‌های مختلفی برای آلوده کردن سیستم‌ قربانیان خود استفاده می‌کنند. آن‌ها می‌توانند با شناسایی نقاط آسیب‌پذیر رایانه اقدام به کاشت Ransomware کنند یا از روش‌های دیگری مانند فیشینگ کمک بگیرند.

مهاجمین از این Ransomware برای رمزگذاری سیستم‌های تجاری بسیار مهم استفاده می‌کنند و مبلغ هنگفتی را به‌عنوان باج برای رمزگشایی درخواست می‌کنند. مهاجمین در صورت برآورده نشدن مطالبات، تهدید می‌کنند که داده‌های سرقتی قربانیان خود را در وب سایت Happy Blog به حراج خواهند گذاشت. این سیستم از یک تایمر شمارش معکوس استفاده می‌کند که نشان می‌دهد چه زمانی افشای داده‌ها صورت خواهد گرفت تا قربانیان خود را بیشتر تحت فشار قرار دهند. نمونه‌ای از پیامی که از سمت باند REvil به قربانیان ارسال می‌شود، در ادامه آورده شده است:

«سلام – برخی از پرونده‌های شما حاوی اطلاعات محرمانه، بارگیری شده است و در سرورهای ما میزبانی می‌شوند. اگر از مذاکره با ما خودداری کنید، کلیه اسناد در وبلاگ و رسانه‌ها منتشر می‌شود. در صورت توافق، داده‌ها برای همیشه حذف می‌شوند. ما شما را تشویق می‌کنیم که از طریق چت پشتیبانی سریع با ما تماس بگیرید.»

دلیل موفقیت باج افزارها چیست؟

نتایج گزارشات نشان می‌دهد که دلیل موفقیت آنها این است که اغلب سیستم‌ها در برابر حملات مخرب هیچگونه محافظتی ندارند. علت این بی‌توجهی آن است که اغلب قربانیان هرگز تصور نمی‌کردند که قربانی باج‌افزارها شوند. سازمان‌های امنیتی مدام با انتشار بیانه‌های مرتبط با باج افزارها، هشدار می‌دهند. به همین دلیل است که سازمان‌ها باید برای جلوگیری از رمزگذاری شدن فایل‌ها توسط Ransomware، وقت و هزینه لازم را صرف کنند. در غیر این صورت، مجبور به پرداخت مبلغی چند برابر به باندهای مهاجم خواهند شد تا اطلاعات خود را بازیابی کنند. 

روش‌های پیشگیری از ورود باج افزارها به سیستم

با توجه به این که در باج‌ افزارها از الگوریتم‌های بسیار قوی برای آلوده کردن سیستم کاربر استفاده می‌شود، بازیابی سیستم آلوده، مشکلات و هزینه فراوانی را با خود به همراه خواهد داشت. به همین دلیل پیشگیری از آلوده شدن به باج افزارها، بهترین راه مقابله است. برخی از مهم‌ترین راهکارهای حفاظت از سیستم‌ در مقابل Ransomware عبارتند از:

• اجتناب از باز کردن ایمیل‌های اسپم یا لینک‌های درون آن‌ها
• کلیک نکردن روی لینک‌های مخرب
• عدم دانلود فایل از سایت‌های نامعتبر و باز کردن آن
• پاسخ ندادن به ایمیل‌هایی که حاوی درخواست برای ارسال اطلاعات شخصی مانند نام کاربری، پسورد یا جزئیات حساب بانکی است.
• باز نکردن پیوست‌ ایمیل‌های مشکوک
• عدم دریافت فایل از منابع نامعتبر
•  پشتیبان‌گیری منظم
• نصب و به روز کردن ضدویروس‌ها
• غیرفعال کردن و محدود کردن اجرای اسکریپت‌های غیرضروری
• استفاده از آپدیت‌های آنلاین برای سرورهای ویندوزی و کلاینت‌های کامپیوتری
• غیرفعال کردن ریموت دسکتاپ در زمان‌هایی که نیازی به آن نیست.
• خودداری از کلیک روی تبلیغات و وب‌سایت‌هایی با منبع ناشناس