باج افزار چیست؟
باج افزار چیست؟ باج افزار بدافزاری است که از رمزگذاری برای نگهداری اطلاعات قربانیان به عنوان باج استفاده میکند. دادههای حیاتی کاربر یا سازمان به گونهای رمزگذاری شده است که آنها نتوانند به فایلها، پایگاههای داده یا برنامهها دسترسی داشته باشند. سپس برای دسترسی باج درخواست میشود.
باج افزار اغلب برای گسترش در سراسر شبکه و هدف قرار دادن پایگاه داده و سرورهای فایل طراحی شده است. بنابراین میتواند به سرعت کل یک سازمان را فلج کند. این یک تهدید رو به رشد است که میلیاردها دلار پرداخت به مجرمان سایبری ایجاد میکند. و خسارات و هزینههای قابل توجهی را برای مشاغل و سازمانهای دولتی وارد میکند.
باج افزار چیست؟ و چگونه کار می کند؟
باج افزار از رمزگذاری نامتقارن استفاده میکند. این رمزنگاری است که از یک جفت کلید برای رمزگذاری و رمزگشایی یک فایل استفاده میکند. جفت کلیدهای عمومی-خصوصی به طور منحصر به فرد توسط مهاجم برای قربانی تولید میشود. مهاجم کلید خصوصی را تنها پس از پرداخت باج در اختیار قربانی قرار میدهد. اگرچه همانطور که در کمپینهای باجافزار اخیر دیده میشود، همیشه اینطور نیست. بدون دسترسی به کلید خصوصی، رمزگشایی فایلهایی که برای باج نگهداری میشوند تقریبا غیرممکن است.
انواع مختلفی از باج افزار وجود دارد. اغلب باج افزارها (و سایر بدافزارها) با استفاده از کمپینهای اسپم ایمیل یا از طریق حملات هدفمند توزیع میشوند. بدافزار برای تثبیت حضور خود در نقطه پایانی به یک بردار حمله نیاز دارد. پس از برقراری حضور، بدافزار روی سیستم میماند تا زمانی که کارش انجام شود.
پس از یک اکسپلویت موفق، باج افزار یک باینری مخرب را بر روی سیستم آلوده رها کرده و اجرا میکند. این باینری سپس فایلهای با ارزشی مانند اسناد Microsoft Word، تصاویر، پایگاههای داده و غیره را جستجو و رمزگذاری میکند. این باج افزار همچنین ممکن است از آسیب پذیریهای سیستم و شبکه برای گسترش به سیستمهای دیگر و احتمالاً در کل سازمانها سوء استفاده کند.
هنگامی که فایلها رمزگذاری شدند، باجافزار از کاربر میخواهد که ظرف 24 تا 48 ساعت برای رمزگشایی فایلها باج بپردازد. در غیر این صورت برای همیشه از بین خواهند رفت. اگر پشتیبانگیری دادهها در دسترس نباشد یا خود آن نسخههای پشتیبان رمزگذاری شده باشند، قربانی با پرداخت باج برای بازیابی فایلهای شخصی مواجه میشود.
باج افزار چیست و چرا در حال گسترش است؟
حملات باجافزار و انواع آنها به دلایل مختلفی برای مقابله با فناوریهای پیشگیرانه به سرعت در حال تکامل هستند:
- در دسترس بودن آسان کیتهای بدافزار که میتوانند برای ایجاد نمونههای بدافزار جدید در صورت تقاضا استفاده شوند.
- استفاده از مفسرهای عمومی خوب شناخته شده برای ایجاد باج افزار چند پلتفرمی. (به عنوان مثال، Ransom32 از js با بارگذاری جاوا اسکریپت استفاده میکند).
- استفاده از تکنیکهای جدید، مانند رمزگذاری کامل دیسک به جای فایلهای انتخاب شده.
دزدهای امروزی حتی لازم نیست در فناوری اطلاعات سررشته داشته باشند. بازارهای باج افزار به صورت آنلاین رشد کردهاند و انواع بدافزارها را برای هر کلاهبردار سایبری احتمالی ارائه میدهند. و سود بیشتری را برای نویسندگان بدافزار ایجاد میکنند که اغلب درخواست کاهش درآمدهای باج را دارند.
باج افزار چیست و چرا یافتن عاملان باج افزار دشوار است؟
استفاده از ارزهای دیجیتال برای پرداخت، مانند بیت کوین، دنبال کردن مسیر پول و ردیابی مجرمان را دشوار میکند. به طور فزاینده ای، گروه های جرایم سایبری در حال ابداع طرحهای باج افزار برای کسب سود سریع هستند. در دسترس بودن آسان کد منبع باز و پلتفرمهای کشیدن و رها کردن برای توسعه باجافزار، ایجاد انواع باجافزارهای جدید را تسریع کرده است. و به تازهکاران اسکریپت کمک میکند تا باجافزار خود را بسازند. به طور معمول، بدافزارهای پیشرفته مانند باج افزارها از نظر طراحی چند شکلی هستند، که به مجرمان سایبری اجازه میدهد تا به راحتی امنیت مبتنی بر امضای سنتی را بر اساس هش فایل دور بزنند.
ransomware-as-a-service (RaaS) چیست؟
Ransomware-as-a-service یک مدل اقتصادی جرایم سایبری است که به توسعه دهندگان بدافزار اجازه میدهد تا بدون نیاز به توزیع تهدیدات خود برای تولیدات خود درآمد کسب کنند. مجرمان غیر فنی کالاهای خود را میخرند و ویروس ها را راه اندازی میکنند. در حالی که درصدی از هزینه خود را به توسعه دهندگان میپردازند. توسعه دهندگان خطرات نسبتا کمی دارند و مشتریان آنها بیشتر کار را انجام میدهند. برخی از نمونههای باجافزار بهعنوان سرویس از اشتراکها استفاده میکنند در حالی که برخی دیگر برای دسترسی به باجافزار نیاز به ثبت نام دارند.
باج افزار چیست و نحوه دفاع در برابر باج افزار
برای جلوگیری از باج افزار و کاهش آسیب در صورت حمله، نکات زیر را دنبال کنید:
- از دادههای خود نسخه پشتیبان تهیه کنید. بهترین راه برای جلوگیری از تهدید قفل شدن فایلهای حیاتی خود این است که اطمینان حاصل کنید که همیشه نسخههای پشتیبان از آنها، ترجیحاً در فضای ابری و یک هارد دیسک اکسترنال داشته باشید. به این ترتیب، اگر به یک باج افزار آلوده شدید، میتوانید رایانه یا دستگاه خود را پاک کنید و فایلهای خود را از نسخه پشتیبان مجدداً نصب کنید. این از دادههای شما محافظت میکند و شما وسوسه نمیشوید که با پرداخت باج به نویسندگان بدافزار باج دهید. پشتیبان گیری از باج افزار جلوگیری نمیکند، اما میتواند خطرات را کاهش دهد.
- پشتیبانهای خود را ایمن کنید. اطمینان حاصل کنید که دادههای پشتیبان شما برای اصلاح یا حذف از سیستمهایی که دادهها در آن قرار دارند در دسترس نیست. باج افزار به دنبال پشتیبان گیری از دادهها میگردد و آنها را رمزگذاری یا حذف میکند تا نتوان آنها را بازیابی کرد. بنابراین از سیستمهای پشتیبان گیری استفاده کنید که اجازه دسترسی مستقیم به فایلهای پشتیبان را نمیدهند.
- از نرم افزارهای امنیتی استفاده کنید و آن را به روز نگه دارید. اطمینان حاصل کنید که همه رایانهها و دستگاههای شما با نرم افزار امنیتی جامع محافظت میشوند و همه نرم افزارهای خود را به روز نگه دارید. مطمئن شوید که نرمافزار دستگاههایتان را زود و اغلب بهروزرسانی میکنید. زیرا معمولاً در هر بهروزرسانی، وصلههایی برای نقصها وجود دارد.
باج افزار چیست؟ نحوه دفاع در برابر باج افزار
- مراقب باشید کجا کلیک میکنید. به ایمیلها و پیامهای متنی افرادی که نمیشناسید پاسخ ندهید و فقط برنامهها را از منابع مطمئن دانلود کنید. زیرا نویسندگان بدافزار اغلب از مهندسی اجتماعی استفاده میکنند تا شما را وادار به نصب فایلهای خطرناک کنند.
- فقط از شبکههای امن استفاده کنید. از استفاده از شبکههای Wi-Fi عمومی خودداری کنید. زیرا بسیاری از آنها ایمن نیستند و مجرمان سایبری میتوانند استفاده از اینترنت شما را زیر نظر بگیرند.
- در جریان آخرین تهدیدات باج افزار باشید تا بدانید که باید مراقب چه چیزی باشید. در صورتی که به یک باج افزار آلوده شدهاید و از همه فایلهای خود نسخه پشتیبان تهیه نکردهاید، بدانید که برخی از ابزارهای رمزگشایی توسط شرکتهای فناوری برای کمک به قربانیان در دسترس هستند.
- برای هر یک از اعضای سازمان خود آموزشهای آگاهی امنیتی منظم ارائه دهید تا بتوانند از فیشینگ و سایر حملات مهندسی اجتماعی جلوگیری کنند. تمرینات و آزمایشات منظم را انجام دهید تا مطمئن شوید که آموزش رعایت میشود.
اگر مشکوک هستید که مورد حمله باج افزار قرار گرفته اید، سریع عمل کنید. خوشبختانه، چندین مرحله وجود دارد که میتوانید انجام دهید تا بیشترین شانس ممکن را برای به حداقل رساندن آسیب و بازگشت سریع به تجارت معمول داشته باشید.
- دستگاه آلوده را ایزوله کنید:
باج افزاری که یک دستگاه را تحت تأثیر قرار میدهد یک مشکل متوسط است. باج افزاری که اجازه دارد تمام دستگاههای شرکت شما را آلوده کند، یک فاجعه بزرگ است و میتواند شما را برای همیشه از کار بیاندازد. تفاوت بین این دو اغلب به زمان واکنش باز میگردد. برای اطمینان از ایمنی شبکه، درایوهای اشتراکگذاری و سایر دستگاهها، ضروری است که دستگاه آسیبدیده را در اسرع وقت از شبکه، اینترنت و سایر دستگاهها جدا کنید. هر چه زودتر این کار را انجام دهید، احتمال آلوده شدن دستگاههای دیگر کمتر میشود.
- توقف انتشار:
از آنجایی که باج افزار به سرعت منتشر میشود، جداسازی فوری دستگاه آلوده تضمین نمیکند که باج افزار در جای دیگری از شبکه شما وجود نداشته باشد. برای محدود کردن مؤثر دامنه آن، باید همه دستگاههایی را که رفتار مشکوکی دارند، از جمله دستگاههایی که خارج از محل کار میکنند، از شبکه جدا کنید. خاموش کردن اتصال بی سیم (Wi-Fi، بلوتوث و غیره) در این مرحله نیز ایده خوبی است.
- ارزیابی آسیبها:
برای تعیین اینکه کدام دستگاهها آلوده شدهاند، فایلهای رمزگذاریشده اخیر با نامهای پسوند فایلهای عجیب را بررسی کنید و به دنبال گزارشهایی مبنی بر نامهای عجیب فایل یا کاربرانی که در باز کردن فایلها مشکل دارند، بگردید. اگر دستگاههایی را کشف کردید که کاملاً رمزگذاری نشدهاند، باید آنها را ایزوله و خاموش کنید تا به مهار حمله و جلوگیری از آسیب بیشتر و از دست رفتن دادهها کمک کند.
هدف شما ایجاد فهرستی جامع از همه سیستمهای آسیبدیده، از جمله دستگاههای ذخیرهسازی شبکه، فضای ذخیرهسازی ابری، فضای ذخیرهسازی هارد اکسترنال (از جمله درایوهای کوچک USB)، لپتاپ، تلفنهای هوشمند و هر عامل احتمالی دیگر است.
- تعیین نقطه صفر انتشار ویروس:
ردیابی ویروس پس از شناسایی منبع بسیار آسان تر میشود. برای انجام این کار، هشدارهایی را که ممکن است از آنتی ویروس/ضد بدافزار، EDR یا هر پلتفرم نظارتی فعال دریافت شده باشد، بررسی کنید.
از آنجایی که اکثر باج افزارها از طریق پیوندهای ایمیل مخرب و پیوستها وارد شبکه میشوند، که نیاز به اقدام کاربر نهایی دارد. پرسیدن از افراد در مورد فعالیت های آنها (مانند باز کردن ایمیل های مشکوک) و آنچه که متوجه شدهاند نیز میتواند مفید باشد.
در نهایت، نگاهی به ویژگیهای خود فایلها نیز میتواند سرنخی را ارائه دهد. شخصی که به عنوان مالک فهرست شده است احتمالاً نقطه ورود است. (با این حال به خاطر داشته باشید که ممکن است بیش از یک نقطه صفر وجود داشته باشد!)
- شناسایی باجافزار:
قبل از اینکه جلوتر بروید، مهم است که بدانید با کدام نوع باجافزار سروکار دارید. یکی از راهها بازدید از No More Ransom است، یک ابتکار جهانی که McAfee بخشی از آن است. این سایت دارای مجموعهای از ابزارها است که به شما کمک میکند دادههای خود را آزاد کنید.
از جمله ابزار Crypto Sheriff: کافی است یکی از فایلهای رمزگذاری شده خود را آپلود کنید و برای یافتن مطابقت، اسکن میشود. همچنین میتوانید از اطلاعات موجود در یادداشت باجگیری استفاده کنید: اگر نوع باجافزار را مستقیماً بیان نمیکند، استفاده از یک موتور جستجو برای جستجوی آدرس ایمیل یا خود یادداشت میتواند کمک کند.
هنگامی که باج افزار را شناسایی کردید و کمی تحقیقات سریع در مورد رفتار آن انجام دادید، باید در اسرع وقت به همه کارمندان آسیبدیده هشدار دهید تا بدانند چگونه علائم آلوده شدن خود را تشخیص دهند.
- گزارش باجافزار به مقامات:
اول از همه، باج افزار خلاف قانون است و مانند هر جرم دیگری، باید به مقامات مربوطه گزارش شود. ثانیا میتوان از مشارکت با مجریان قانون بین المللی برای کمک به یافتن دادههای سرقت شده یا رمزگذاری شده استفاده کرد. و عاملان آن را به دست قانون سپرد.
- نسخه های پشتیبان خود را ارزیابی کنید:
- اکنون زمان شروع فرآیند پاسخ است. سریعترین و سادهترین راه برای انجام این کار این است که سیستمهای خود را از یک نسخه پشتیبان بازیابی کنید. در حالت ایدهآل، یک نسخه پشتیبان غیر آلوده و کامل خواهید داشت. اگر چنین است، گام بعدی استفاده از یک راه حل آنتی ویروس/ضد بدافزار برای اطمینان از پاک شدن همه سیستمها و دستگاههای آلوده از باجافزار است.
- در غیر این صورت سیستم شما را قفل کرده و فایلهای شما را رمزگذاری میکند. همچنین احتمالاً نسخه پشتیبان شما را نیز خراب میکند. هنگامی که همه آثار بدافزار از بین رفت، میتوانید سیستمهای خود را از این نسخه پشتیبان بازیابی کنید و – پس از تأیید اینکه همه دادهها بازیابی شدهاند و همه برنامهها و فرآیندها پشتیبانگیری میشوند و به طور عادی اجرا میشوند – به حالت عادی بازگردید.
- متأسفانه، بسیاری از سازمانها اهمیت ایجاد و نگهداری پشتیبانها را تا زمانی که به آنها نیاز نداشته باشند و در آنجا نباشند، درک نمیکنند. از آنجایی که باج افزار مدرن به طور فزاینده ای پیچیده و انعطاف پذیر است، برخی از کسانی که پشتیبان تهیه میکنند به زودی متوجه میشوند که باج افزار آنها را نیز رمزگذاری کرده است و آنها را کاملاً از کار انداخته است.
- در مورد گزینه های رمزگشایی خود تحقیق کنید:
اگر پشتیبان گیری مناسبی ندارید، هنوز فرصتی وجود دارد که بتوانید دادههای خود را پس بگیرید. تعداد فزایندهای از کلیدهای رمزگشایی رایگان را میتوان در No More Ransom پیدا کرد. اگر یکی از باجافزارهایی که با آن سروکار دارید در دسترس باشد، میتوانید از کلید رمزگشایی برای باز کردن قفل دادههای خود استفاده کنید.
با این حال، حتی اگر به اندازه کافی خوش شانس باشید که رمزگشا را پیدا کنید. اما هنوز کارتان تمام نشده است، همچنان میتوانید ساعتها یا روزها از کار افتادگی را در حین کار روی اصلاح انتظار داشته باشید.
- شروع کار از نقطه صفر:
اگر هیچ نسخه پشتیبان قابل اجرا ندارید و نمیتوانید یک کلید رمزگشایی را پیدا کنید، تنها گزینه شما ممکن است کاهش ضرر و شروع از صفر باشد. بازسازی فرآیندی سریع یا کم هزینه نخواهد بود، اما هنگامی که گزینههای دیگر خود را تمام کردید، بهترین کاری است که میتوانید انجام دهید.
چرا نباید باج بدهیم؟
- ممکن است هرگز کلید رمزگشایی دریافت نکنید. زمانی که درخواست باج افزار را پرداخت میکنید، قرار است در ازای آن یک کلید رمزگشایی دریافت کنید. بسیاری از افراد و سازمانها باج را پرداخت کردهاند و در ازای آن رمزگشایی دریافت نکردند. درنتیجه دهها، صدها یا هزاران دلار از دست میدهند، و هنوز باید سیستمهای خود را از ابتدا بازسازی کنند.
- ممکن است مرتبا از سوی مجرمان درخواست باج دریافت کنید. هنگامی که باج میپردازید، مجرمان سایبری که باج افزار را مستقر کردهاند میدانند که شما همچنان به آنها باج خواهید داد.
- ممکن است مورد حملههای آتی قرار بگیرید. وقتی باج میدهید، مجرمان میدانند که شما سرمایه خوبی هستید. سازمانی که سابقه پرداخت باج را دارد، هدف جذابتری نسبت به هدف جدیدی است که مشخص نیست باج بدهد یا خیر.
- حتی اگر همه چیز به نحوی خوب به پایان برسد، شما همچنان از فعالیتهای مجرمانه حمایت مالی میکنید. درست است که پس از پرداخت یک کلید رمزگشای خوب دریافت کرده و همه چیز را دوباره راه اندازی کردهاید. باید بدانید این بدترین سناریو است. وقتی باج میپردازید، در حال تامین مالی فعالیتهای مجرمانه هستید. با کنار گذاشتن مفاهیم اخلاقی، این باور را تقویت میکنید که باج افزار یک مدل تجاری است. این مجرمان با توجه به موفقیتشان و دستمزد بزرگشان، به ویران کردن کسبوکارها ادامه میدهند. آنها پول لازم برای توسعه گونههای جدیدتر و حتی شرورتر از باجافزاری را از طریق شما بدست میآورند
راه حل هایی برای مقابله با تهدید باج افزار
محصولات McAfee از تعدادی فناوری استفاده میکنند که به جلوگیری از باج افزار کمک میکند. در زیر نمونهای از محصولات McAfee است که پیکربندیهایی را ارائه میکنند که برای متوقف کردن بسیاری از انواع باجافزار طراحی شدهاند:
- McAfee Endpoint Security قابلیتهای سنتی را با یادگیری ماشین و مهار ترکیب میکند تا به آشکارسازی رفتارهای مشکوک و شناسایی تهدیدها کمک کند. از جمله حملات روز صفر و بدون فایل. از هوش تهدید جهانی McAfee استفاده میکند که حاوی میلیونها حسگر است که امضاهای باجافزار منحصربهفرد را نظارت میکنند.
- McAfee Web Protection از هوش یادگیری ماشین برای اسکن محتوای فعال سایت، تقلید رفتار آن، و پیشبینی هدف آن استفاده میکند. به طور فعال در برابر حملات روز صفر و هدفمند قبل از رسیدن به سیستمهای نقطه پایانی محافظت میکند.
- McAfee Threat Intelligence Exchange از پیکربندی خط مشی استفاده می کند که می تواند فرآیندهای مشکوک را شناسایی و برچسب گذاری کند.
- McAfee Application Controlیک دفاع دولایه از فناوری لیست سفید و حفاظت از حافظه ارائه می دهد که می تواند به جلوگیری از اجرای فایل های باینری که از منبع نامعتبر می آیند کمک کند و بهره برداری های روز صفر را مسدود کند.
برای کسب اطلاعات بیشتر با کارشناسان ما در گروه مهرگان آی تی در تماس باشید.