باج افزار چیست؟

باج افزار چیست؟ باج افزار بدافزاری است که از رمزگذاری برای نگهداری اطلاعات قربانیان به عنوان باج استفاده می‌کند. داده‌های حیاتی کاربر یا سازمان به گونه‌ای رمزگذاری شده است که آن‌ها نتوانند به فایل‌ها، پایگاه‌های داده یا برنامه‌ها دسترسی داشته باشند. سپس برای دسترسی باج درخواست می‌شود.

باج افزار اغلب برای گسترش در سراسر شبکه و هدف قرار دادن پایگاه داده و سرورهای فایل طراحی شده است. بنابراین می‌تواند به سرعت کل یک سازمان را فلج کند. این یک تهدید رو به رشد است که میلیاردها دلار پرداخت به مجرمان سایبری ایجاد می‌کند. و خسارات و هزینه‌های قابل توجهی را برای مشاغل و سازمان‌های دولتی وارد می‌کند.

باج افزار چیست؟ و  چگونه کار می کند؟

باج افزار از رمزگذاری نامتقارن استفاده می‌کند. این رمزنگاری است که از یک جفت کلید برای رمزگذاری و رمزگشایی یک فایل استفاده می‌کند. جفت کلیدهای عمومی-خصوصی به طور منحصر به فرد توسط مهاجم برای قربانی تولید می‌شود. مهاجم کلید خصوصی را تنها پس از پرداخت باج در اختیار قربانی قرار می‌دهد. اگرچه همانطور که در کمپین‌های باج‌افزار اخیر دیده می‌شود، همیشه اینطور نیست. بدون دسترسی به کلید خصوصی، رمزگشایی فایل‌هایی که برای باج نگهداری می‌شوند تقریبا غیرممکن است.

انواع مختلفی از باج افزار وجود دارد. اغلب باج افزارها (و سایر بدافزارها) با استفاده از کمپین‌های اسپم ایمیل یا از طریق حملات هدفمند توزیع می‌شوند. بدافزار برای تثبیت حضور خود در نقطه پایانی به یک بردار حمله نیاز دارد. پس از برقراری حضور، بدافزار روی سیستم می‌ماند تا زمانی که کارش انجام شود.

پس از یک اکسپلویت موفق، باج افزار یک باینری مخرب را بر روی سیستم آلوده رها کرده و اجرا می‌کند. این باینری سپس فایل‌های با ارزشی مانند اسناد Microsoft Word، تصاویر، پایگاه‌های داده و غیره را جستجو و رمزگذاری می‌کند. این باج افزار همچنین ممکن است از آسیب پذیری‌های سیستم و شبکه برای گسترش به سیستم‌های دیگر و احتمالاً در کل سازمان‌ها سوء استفاده کند.

هنگامی که فایل‌ها رمزگذاری شدند، باج‌افزار از کاربر می‌خواهد که ظرف 24 تا 48 ساعت برای رمزگشایی فایل‌ها باج بپردازد. در غیر این صورت برای همیشه از بین خواهند رفت. اگر پشتیبان‌گیری داده‌ها در دسترس نباشد یا خود آن نسخه‌های پشتیبان رمزگذاری شده باشند، قربانی با پرداخت باج برای بازیابی فایل‌های شخصی مواجه می‌شود.

باج افزار چیست و چرا در حال گسترش است؟

حملات باج‌افزار و انواع آن‌ها به دلایل مختلفی برای مقابله با فناوری‌های پیشگیرانه به سرعت در حال تکامل هستند:

• در دسترس بودن آسان کیت‌های بدافزار که می‌توانند برای ایجاد نمونه‌های بدافزار جدید در صورت تقاضا استفاده شوند.
• استفاده از مفسرهای عمومی خوب شناخته شده برای ایجاد باج افزار چند پلتفرمی. (به عنوان مثال، Ransom32 از js با بارگذاری جاوا اسکریپت استفاده می‌کند).
• استفاده از تکنیک‌های جدید، مانند رمزگذاری کامل دیسک به جای فایل‌های انتخاب شده.

دزدهای امروزی حتی لازم نیست در فناوری اطلاعات سررشته داشته باشند. بازارهای باج افزار به صورت آنلاین رشد کرده‌اند و انواع بدافزارها را برای هر کلاهبردار سایبری احتمالی ارائه می‌دهند. و سود بیشتری را برای نویسندگان بدافزار ایجاد می‌کنند که اغلب درخواست کاهش درآمدهای باج را دارند.

باج افزار چیست و چرا یافتن عاملان باج افزار دشوار است؟

استفاده از ارزهای دیجیتال برای پرداخت، مانند بیت کوین، دنبال کردن مسیر پول و ردیابی مجرمان را دشوار می‌کند. به طور فزاینده ای، گروه های جرایم سایبری در حال ابداع طرح‌های باج افزار برای کسب سود سریع هستند. در دسترس بودن آسان کد منبع باز و پلتفرم‌های کشیدن و رها کردن برای توسعه باج‌افزار، ایجاد انواع باج‌افزارهای جدید را تسریع کرده است. و به تازه‌کاران اسکریپت کمک می‌کند تا باج‌افزار خود را بسازند. به طور معمول، بدافزارهای پیشرفته مانند باج افزارها از نظر طراحی چند شکلی هستند، که به مجرمان سایبری اجازه می‌دهد تا به راحتی امنیت مبتنی بر امضای سنتی را بر اساس هش فایل دور بزنند.

ransomware-as-a-service (RaaS) چیست؟

Ransomware-as-a-service یک مدل اقتصادی جرایم سایبری است که به توسعه دهندگان بدافزار اجازه می‌دهد تا بدون نیاز به توزیع تهدیدات خود برای تولیدات خود درآمد کسب کنند. مجرمان غیر فنی کالاهای خود را می‌خرند و ویروس ها را راه اندازی می‌کنند. در حالی که درصدی از هزینه خود را به توسعه دهندگان می‌پردازند. توسعه دهندگان خطرات نسبتا کمی دارند و مشتریان آنها بیشتر کار را انجام می‌دهند. برخی از نمونه‌های باج‌افزار به‌عنوان سرویس از اشتراک‌ها استفاده می‌کنند در حالی که برخی دیگر برای دسترسی به باج‌افزار نیاز به ثبت نام دارند.

باج افزار چیست و نحوه دفاع در برابر باج افزار

برای جلوگیری از باج افزار و کاهش آسیب در صورت حمله، نکات زیر را دنبال کنید:

• از داده‌های خود نسخه پشتیبان تهیه کنید. بهترین راه برای جلوگیری از تهدید قفل شدن فایل‌های حیاتی خود این است که اطمینان حاصل کنید که همیشه نسخه‌های پشتیبان از آن‌ها، ترجیحاً در فضای ابری و یک هارد دیسک اکسترنال داشته باشید. به این ترتیب، اگر به یک باج افزار آلوده شدید، می‌توانید رایانه یا دستگاه خود را پاک کنید و فایل‌های خود را از نسخه پشتیبان مجدداً نصب کنید. این از داده‌های شما محافظت می‌کند و شما وسوسه نمی‌شوید که با پرداخت باج به نویسندگان بدافزار باج دهید. پشتیبان گیری از باج افزار جلوگیری نمی‌کند، اما می‌تواند خطرات را کاهش دهد.
• پشتیبان‌های خود را ایمن کنید. اطمینان حاصل کنید که داده‌های پشتیبان شما برای اصلاح یا حذف از سیستم‌هایی که داده‌ها در آن قرار دارند در دسترس نیست. باج افزار به دنبال پشتیبان گیری از داده‌ها می‌گردد و آن‌ها را رمزگذاری یا حذف می‌کند تا نتوان آن‌ها را بازیابی کرد. بنابراین از سیستم‌های پشتیبان گیری استفاده کنید که اجازه دسترسی مستقیم به فایل‌های پشتیبان را نمی‌دهند.
• از نرم افزارهای امنیتی استفاده کنید و آن را به روز نگه دارید. اطمینان حاصل کنید که همه رایانه‌ها و دستگاه‌های شما با نرم افزار امنیتی جامع محافظت می‌شوند و همه نرم افزارهای خود را به روز نگه دارید. مطمئن شوید که نرم‌افزار دستگاه‌هایتان را زود و اغلب به‌روزرسانی می‌کنید. زیرا معمولاً در هر به‌روزرسانی، وصله‌هایی برای نقص‌ها وجود دارد.

باج افزار چیست؟ نحوه دفاع در برابر باج افزار

• مراقب باشید کجا کلیک می‌کنید. به ایمیل‌ها و پیام‌های متنی افرادی که نمی‌شناسید پاسخ ندهید و فقط برنامه‌ها را از منابع مطمئن دانلود کنید. زیرا نویسندگان بدافزار اغلب از مهندسی اجتماعی استفاده می‌کنند تا شما را وادار به نصب فایل‌های خطرناک کنند.
• فقط از شبکه‌های امن استفاده کنید. از استفاده از شبکه‌های Wi-Fi عمومی خودداری کنید. زیرا بسیاری از آن‌ها ایمن نیستند و مجرمان سایبری می‌توانند استفاده از اینترنت شما را زیر نظر بگیرند.
• در جریان آخرین تهدیدات باج افزار باشید تا بدانید که باید مراقب چه چیزی باشید. در صورتی که به یک باج افزار آلوده شده‌اید و از همه فایل‌های خود نسخه پشتیبان تهیه نکرده‌اید، بدانید که برخی از ابزارهای رمزگشایی توسط شرکت‌های فناوری برای کمک به قربانیان در دسترس هستند.
• برای هر یک از اعضای سازمان خود آموزش‌های آگاهی امنیتی منظم ارائه دهید تا بتوانند از فیشینگ و سایر حملات مهندسی اجتماعی جلوگیری کنند. تمرینات و آزمایشات منظم را انجام دهید تا مطمئن شوید که آموزش رعایت می‌شود.

اگر مشکوک هستید که مورد حمله باج افزار قرار گرفته اید، سریع عمل کنید. خوشبختانه، چندین مرحله وجود دارد که می‌توانید انجام دهید تا بیشترین شانس ممکن را برای به حداقل رساندن آسیب و بازگشت سریع به تجارت معمول داشته باشید.

1. دستگاه آلوده را ایزوله کنید:

باج افزاری که یک دستگاه را تحت تأثیر قرار می‌دهد یک مشکل متوسط است. باج افزاری که اجازه دارد تمام دستگاه‌های شرکت شما را آلوده کند، یک فاجعه بزرگ است و می‌تواند شما را برای همیشه از کار بیاندازد. تفاوت بین این دو اغلب به زمان واکنش باز می‌گردد. برای اطمینان از ایمنی شبکه، درایوهای اشتراک‌گذاری و سایر دستگاه‌ها، ضروری است که دستگاه آسیب‌دیده را در اسرع وقت از شبکه، اینترنت و سایر دستگاه‌ها جدا کنید. هر چه زودتر این کار را انجام دهید، احتمال آلوده شدن دستگاه‌های دیگر کمتر می‌شود.

2. توقف انتشار:

از آنجایی که باج افزار به سرعت منتشر می‌شود، جداسازی فوری دستگاه آلوده تضمین نمی‌کند که باج افزار در جای دیگری از شبکه شما وجود نداشته باشد. برای محدود کردن مؤثر دامنه آن، باید همه دستگاه‌هایی را که رفتار مشکوکی دارند، از جمله دستگاه‌هایی که خارج از محل کار می‌کنند، از شبکه جدا کنید. خاموش کردن اتصال بی سیم (Wi-Fi، بلوتوث و غیره) در این مرحله نیز ایده خوبی است.

3. ارزیابی آسیب‌ها:

برای تعیین اینکه کدام دستگاه‌ها آلوده شده‌اند، فایل‌های رمزگذاری‌شده اخیر با نام‌های پسوند فایل‌های عجیب را بررسی کنید و به دنبال گزارش‌هایی مبنی بر نام‌های عجیب فایل یا کاربرانی که در باز کردن فایل‌ها مشکل دارند، بگردید. اگر دستگاه‌هایی را کشف کردید که کاملاً رمزگذاری نشده‌اند، باید آن‌ها را ایزوله و خاموش کنید تا به مهار حمله و جلوگیری از آسیب بیشتر و از دست رفتن داده‌ها کمک کند.

هدف شما ایجاد فهرستی جامع از همه سیستم‌های آسیب‌دیده، از جمله دستگاه‌های ذخیره‌سازی شبکه، فضای ذخیره‌سازی ابری، فضای ذخیره‌سازی هارد اکسترنال (از جمله درایوهای کوچک USB)، لپ‌تاپ، تلفن‌های هوشمند و هر عامل احتمالی دیگر است.

4. تعیین نقطه صفر انتشار ویروس:

ردیابی ویروس پس از شناسایی منبع بسیار آسان تر می‌شود. برای انجام این کار، هشدارهایی را که ممکن است از آنتی ویروس/ضد بدافزار، EDR یا هر پلتفرم نظارتی فعال دریافت شده باشد، بررسی کنید.

از آنجایی که اکثر باج افزارها از طریق پیوندهای ایمیل مخرب و پیوست‌ها وارد شبکه می‌شوند، که نیاز به اقدام کاربر نهایی دارد. پرسیدن از افراد در مورد فعالیت های آن‌ها (مانند باز کردن ایمیل های مشکوک) و آنچه که متوجه شده‌اند نیز می‌تواند مفید باشد.

در نهایت، نگاهی به ویژگی‌های خود فایل‌ها نیز می‌تواند سرنخی را ارائه دهد. شخصی که به عنوان مالک فهرست شده است احتمالاً نقطه ورود است. (با این حال به خاطر داشته باشید که ممکن است بیش از یک نقطه صفر وجود داشته باشد!)

5. شناسایی باج‌افزار:

قبل از اینکه جلوتر بروید، مهم است که بدانید با کدام نوع باج‌افزار سروکار دارید. یکی از راه‌ها بازدید از No More Ransom است، یک ابتکار جهانی که McAfee بخشی از آن است. این سایت دارای مجموعه‌ای از ابزارها است که به شما کمک می‌کند داده‌های خود را آزاد کنید.

از جمله ابزار Crypto Sheriff: کافی است یکی از فایل‌های رمزگذاری شده خود را آپلود کنید و برای یافتن مطابقت، اسکن می‌شود. همچنین می‌توانید از اطلاعات موجود در یادداشت باج‌گیری استفاده کنید: اگر نوع باج‌افزار را مستقیماً بیان نمی‌کند، استفاده از یک موتور جستجو برای جستجوی آدرس ایمیل یا خود یادداشت می‌تواند کمک کند.

هنگامی که باج افزار را شناسایی کردید و کمی تحقیقات سریع در مورد رفتار آن انجام دادید، باید در اسرع وقت به همه کارمندان آسیب‌دیده هشدار دهید تا بدانند چگونه علائم آلوده شدن خود را تشخیص دهند.

6. گزارش باج‌افزار به مقامات:

اول از همه، باج افزار خلاف قانون است و مانند هر جرم دیگری، باید به مقامات مربوطه گزارش شود. ثانیا می‌توان از مشارکت با مجریان قانون بین المللی برای کمک به یافتن داده‌های سرقت شده یا رمزگذاری شده استفاده کرد. و عاملان آن را به دست قانون سپرد.

7. نسخه های پشتیبان خود را ارزیابی کنید:

• اکنون زمان شروع فرآیند پاسخ است. سریع‌ترین و ساده‌ترین راه برای انجام این کار این است که سیستم‌های خود را از یک نسخه پشتیبان بازیابی کنید. در حالت ایده‌آل، یک نسخه پشتیبان غیر آلوده و کامل خواهید داشت. اگر چنین است، گام بعدی استفاده از یک راه حل آنتی ویروس/ضد بدافزار برای اطمینان از پاک شدن همه سیستم‌ها و دستگاه‌های آلوده از باج‌افزار است.
• در غیر این صورت سیستم شما را قفل کرده و فایل‌های شما را رمزگذاری می‌کند. همچنین احتمالاً نسخه پشتیبان شما را نیز خراب می‌کند. هنگامی که همه آثار بدافزار از بین رفت، می‌توانید سیستم‌های خود را از این نسخه پشتیبان بازیابی کنید و – پس از تأیید اینکه همه داده‌ها بازیابی شده‌اند و همه برنامه‌ها و فرآیندها پشتیبان‌گیری می‌شوند و به طور عادی اجرا می‌شوند – به حالت عادی بازگردید.
•  متأسفانه، بسیاری از سازمان‌ها اهمیت ایجاد و نگهداری پشتیبان‌ها را تا زمانی که به آن‌ها نیاز نداشته باشند و در آنجا نباشند، درک نمی‌کنند. از آنجایی که باج افزار مدرن به طور فزاینده ای پیچیده و انعطاف پذیر است، برخی از کسانی که پشتیبان تهیه می‌کنند به زودی متوجه می‌شوند که باج افزار آن‌ها را نیز رمزگذاری کرده است و آن‌ها را کاملاً از کار انداخته است.

8. در مورد گزینه های رمزگشایی خود تحقیق کنید:

اگر پشتیبان گیری مناسبی ندارید، هنوز فرصتی وجود دارد که بتوانید داده‌های خود را پس بگیرید. تعداد فزاینده‌ای از کلیدهای رمزگشایی رایگان را می‌توان در No More Ransom پیدا کرد. اگر یکی از باج‌افزارهایی که با آن سروکار دارید در دسترس باشد، می‌توانید از کلید رمزگشایی برای باز کردن قفل داده‌های خود استفاده کنید.

با این حال، حتی اگر به اندازه کافی خوش شانس باشید که رمزگشا را پیدا کنید. اما هنوز کارتان تمام نشده است، همچنان می‌توانید ساعت‌ها یا روزها از کار افتادگی را در حین کار روی اصلاح انتظار داشته باشید.

9. شروع کار از نقطه صفر:

اگر هیچ نسخه پشتیبان قابل اجرا ندارید و نمی‌توانید یک کلید رمزگشایی را پیدا کنید، تنها گزینه شما ممکن است کاهش ضرر و شروع از صفر باشد. بازسازی فرآیندی سریع یا کم هزینه نخواهد بود، اما هنگامی که گزینه‌های دیگر خود را تمام کردید، بهترین کاری است که می‌توانید انجام دهید.

چرا نباید باج بدهیم؟

• ممکن است هرگز کلید رمزگشایی دریافت نکنید. زمانی که درخواست باج افزار را پرداخت می‌کنید، قرار است در ازای آن یک کلید رمزگشایی دریافت کنید. بسیاری از افراد و سازمان‌ها باج را پرداخت کرده‌اند و در ازای آن رمزگشایی دریافت نکردند. درنتیجه ده‌ها، صدها یا هزاران دلار از دست می‌دهند، و هنوز باید سیستم‌های خود را از ابتدا بازسازی کنند.
• ممکن است مرتبا از سوی مجرمان درخواست باج دریافت کنید. هنگامی که باج می‌پردازید، مجرمان سایبری که باج افزار را مستقر کرده‌اند می‌دانند که شما همچنان به آن‌ها باج خواهید داد.
• ممکن است مورد حمله‌های آتی قرار بگیرید. وقتی باج می‌دهید، مجرمان می‌دانند که شما سرمایه خوبی هستید. سازمانی که سابقه پرداخت باج را دارد، هدف جذاب‌تری نسبت به هدف جدیدی است که مشخص نیست باج بدهد یا خیر.
• حتی اگر همه چیز به نحوی خوب به پایان برسد، شما همچنان از فعالیت‌های مجرمانه حمایت مالی می‌کنید. درست است که پس از پرداخت یک کلید رمزگشای خوب دریافت کرده و همه چیز را دوباره راه اندازی کرده‌اید. باید بدانید این بدترین سناریو است. وقتی باج می‌پردازید، در حال تامین مالی فعالیت‌های مجرمانه هستید. با کنار گذاشتن مفاهیم اخلاقی، این باور را تقویت می‌کنید که باج افزار یک مدل تجاری است. این مجرمان با توجه به موفقیت‌شان و دستمزد بزرگ‌شان، به ویران کردن کسب‌وکارها ادامه می‌دهند. آن‌ها پول لازم برای توسعه گونه‌های جدیدتر و حتی شرورتر از باج‌افزاری را از طریق شما بدست می‌آورند

راه حل هایی برای مقابله با تهدید باج افزار

محصولات McAfee از تعدادی فناوری استفاده می‌کنند که به جلوگیری از باج افزار کمک می‌کند. در زیر نمونه‌ای از محصولات McAfee است که پیکربندی‌هایی را ارائه می‌کنند که برای متوقف کردن بسیاری از انواع باج‌افزار طراحی شده‌اند:

• McAfee Endpoint Security قابلیت‌های سنتی را با یادگیری ماشین و مهار ترکیب می‌کند تا به آشکارسازی رفتارهای مشکوک و شناسایی تهدیدها کمک کند. از جمله حملات روز صفر و بدون فایل. از هوش تهدید جهانی McAfee استفاده می‌کند که حاوی میلیون‌ها حسگر است که امضاهای باج‌افزار منحصربه‌فرد را نظارت می‌کنند.
• McAfee Web Protection از هوش یادگیری ماشین برای اسکن محتوای فعال سایت، تقلید رفتار آن، و پیش‌بینی هدف آن استفاده می‌کند. به طور فعال در برابر حملات روز صفر و هدفمند قبل از رسیدن به سیستم‌های نقطه پایانی محافظت می‌کند.
• McAfee Threat Intelligence Exchange از پیکربندی خط مشی استفاده می کند که می تواند فرآیندهای مشکوک را شناسایی و برچسب گذاری کند.
• McAfee Application Controlیک دفاع دولایه از فناوری لیست سفید و حفاظت از حافظه ارائه می دهد که می تواند به جلوگیری از اجرای فایل های باینری که از منبع نامعتبر می آیند کمک کند و بهره برداری های روز صفر را مسدود کند.

برای کسب اطلاعات بیشتر با کارشناسان ما در گروه مهرگان آی تی در تماس باشید.