مقدمه

هنگامی که باج افزار رمزگشا به سیستم و یا شبکه ای وارد شود می تواند اطلاعات و فایل های ذخیره شده را مجددا رمزگذاری کند. این بدافزار معمولا پسوند رمزگشا یا decoder را به نام فایل اضافه می کند. در چنین مواقعی فایل متنی حاوی پیامی برای قربانیان است. این پیام از قربانیان می خواهد با توسعه دهندگان باج افزار رمزگشا تماس بگیرند و اقدم به درخواست باج افزار از آنها می کند. ما در ادامه به اطلاعاتی همچون باج افزارها چه هستند و چه تاثیراتی بر شبکه و سیستم دارند اشاره می کنیم. علاوه بر این، به اطلاعاتی همچون رمزنگاری مجدد اطلاعات کاربرانی که توسط باج افزارها تهدید و قربانی شده اند، هم اشاره می نماییم. در هر صورت در ادامه، به اطلاعاتی نظیر اینکه باج افزارها چه هستند و چگونه بر سیستم و شبکه تاثیر گذاشته و چگونه می توانیم اطلاعات رمزگذاری شده توسط این بدافزارها را رمزگشایی کنیم، می پردازیم.

ansomware یا باج افزار چیست؟

Ransomware یا باج افزار یک بدافزار است که با استفاده از رمزگذاری اطلاعات و فایل ها اقدام به نگهداری اطلاعات قربانیان می کند. این بدافزار از طریق رمزگذاری داده های حیاتی کاربر یا شبکه دسترسی سیستم را به پایگاه داده یا برنامه های کاربردی مختل می کند. سپس برای تأمین دسترسی از قربانی باج می خواهد. معمولا، باج افزار برای گسترش قربانیان خود و فلج کردن سازمان از شبکه های مختلف، پایگاه داده و ایمیل های هرزنامه استفاده می کند. درحال حاضر، روزانه میلیاردها دلار جریمه از قربانیان توسط باج افزارها درخواست می شود.

باج افزار چگونه کار می کند؟

باج افزار از رمزگذاری نامتقارن استفاده می کند. این رمزنگاری توسط یک جفت کلید برای رمزگذار و رمزگشا بر روی یک فایل انجام می گیرد. هر دو جفت کلید عمومی و خصوصی توسط مهاجم برای قربانی ایجاد می شود. به این ترتیب، قربانی خود نمی تواند اقدام به رمزگشایی پرونده های ذخیره شده در سرور مهاجم کند. سپس، مهاجم از قربانی درخواست پرداخت باج می کند.
در واقع، بدون دسترسی به کلید خصوصی و رمزگشایی پرونده ها و فایل ها تقریبا استفاده از فایل ها و برنامه ها غیرممکن است. به همین علت، توصیه می شود با نحوه رمزنگاری مجدد اطلاعات کاربران آشنایی داشته باشید. باج افزارها انواع مختلفی دارند. معمولا، اغلب باج افزارها توسط کمپین های ایمیل اسپم و به صورت هدفمند توزیع می شوند. در حقیقت، بدافزارها به یک سیستم یا شبکه برای حمله نیاز دارند تا بتوانند حملات خود را انجام دهند. باج افزارها فایل های ارزشمندی نظیر اسناد Microsoft Word، تصاویر، پایگاه های داده و غیره را جستجو کرده و رمزگذاری می کنند. همچنین، ممکن است این بدافزارها از آسیب پذیری های موجود در سیستم و شبکه برای گسترش ویروس به سیستم های دیگر هم بهره ببرند.

چرا باج افزار در حال گسترش است؟

در سال های اخیر حملات باج افزاری و انواع مختلف این بدافزارها به سرعت در حال تکامل بوده اند. البته، گسترش باج افزارها دلایل مختلفی همچون دلایل زیر دارد:

  • دسترسی آسان به بدافزارها که به راحتی می توانند اقدام به تکثیر نمونه های جدید کنند.
  •  استفاده از باج افزارهای چند پلتفرمی همچون Node.js
  •  استفاده از تکنیک های جدید رمزگذاری بر دیسک ها به صورت کامل به جای فایل ها

نکاتی برای نحوه دفاع در برابر باج افزارها و کاهش رمزنگاری مجدد اطلاعات کاربران قربانی

برای جلوگیری از حملات باج افزار و کاهش رمزنگاری اطلاعات در صورت حمله بدافزارهایی همچون باج افزارها باید به این نکات توجه داشته باشید. از اطلاعات خود نسخه پشتیبان تهیه کنید. بهترین راه برای جلوگیری از تهدید و یا از دست دادن اطلاعات تهیه نسخه پشتیبان از داده ها و فایل های مهم است. البته، پشتیبان گیری شما باید ایمن باشد. در غیر اینصورت، شما با مشکلات زیادی مواجه خواهید شد.
حتما قبل از اینکه توسط این باج افزارها داده ها را رمزنگاری کرده و یا نیاز به رمزنگاری مجدد اطلاعات کاربران وجود داشته باشد، اقدام به نسخه پشتیبان از فایل ها و اطلاعات کرده و سپس آنها را در مکانی امن ذخیره سازی کنید. البته، با گذر زمان باج افزارهای تقلبی زیادی ساخته و به بازار عرضه شده اند که وظیفه آنها رمزنگاری دوباره اطلاعات آلوده شده است.

رمزنگاری مجدد اطلاعات کاربران توسط رمزنگار تقلبی

رمزنگارهای تقلبی زیادی در فضای سایبری موجود هستند که ظاهراً هدف آنها رمزنگاری فایل های قربانیان خود است. به این ترتیب، فایل ها به باج افزار دیگری که به رمزگشایی پرونده ها می پردازد، آلوده می شوند. باج افزار STOP Djvu یکی از این رمزنگارهای تقلبی بسیار پرکاربرد و معروف است. این باج افزار باعث گسترش ویروس های زیادی در سیستم های کاربران می شود.
باج افزار STOP بیش از ۶۰۰ فایل را در سال ۲۰۱۹ رمزگذاری کرده و به عنوان یکی از گسترده ترین باج افزارها شناخته می شود. در ضمن، بد نیست بدانید رمزگذاری های جدید این باج افزار توسط شرکت های امنیتی شکست ناپذیر اعلام شده اند. از آنجایی که این باج افزار تمرکز خود را بر کاربران خانگی گذاشته، رفع رمزنگاری های انجام شده توسط آن سخت و دشوار به نظر می رسد. این باج افزار از طریق بسته های تبلیغاتی که به عنوان ترک نرم افزار ظاهر می شوند، اقدام به آلوده سازی کاربران خانگی می کند.

باج افزار Zorab اقدام به رمزگشایی مجدد داده ها می کند!

در سال های اخیر باج افزار جدید دیگری به نام باج افزار Zorab در فضای مجازی به وجود آمده که در چند سال اخیر به شهرت رسیده است. این باج افزار جز بدافزارهایی است که به رمزنگاری مجدد اطلاعات کاربران به منظور بازیابی اطلاعات و داده های از دست رفته می پردازد. سازندگان باج افزار Zorab رمزگشای تقلبی STOP Djvu را منتشر کرده و به این طریق به رمزگشایی باج افزار قربان خود پرداخته اند.
هنگامی که کاربران تصمیم به استفاده از این باج افزار گرفته و اطلاعات شخصی خود را در رمزگشای جعلی وارد کرده اند، می توانند به رمزگشایی مجدد اطلاعات و دستیابی به آنها بپردازند. پرونده های آلوده شده به این باج افزار با پسوند .ZRB ضمیمه می شوند. همچنین، ممکن است یک یادداشت از این باج افزار به نام ‘—DECRYPT — ZORAB.txt.ZRB’ در پوشه رمزگذاری شده برای کاربر قرار بگیرد. این یادداشت دستورالعمل های مربوط به تماس با اپراتورهای باج افزار و دستورالعمل های مربوط به پرداخت را به قربانیان خود ارائه می دهد.

دلیل اصلی موفقیت نرم افزار رمزگشای باج افزارهای تقلبی

دلیلی اصلی که سبب شده نرم افزارهای رمزگشا در رمزنگاری اطلاعات کاربران موفق باشد، انتخاب کاربران خانگی به عنوان طعمه اصلی است. همانطور که قبلا گفتیم این باج افزارها فعالیت خود را از طریق ارسال بسته های تبلیغاتی از طریق ایمیل و یا لینک های موجود در سایت ها انجام می دهند.
هنگامی که باج افزار اطلاعت کاربران را رمزگذاری می کند، کاربر دیگر نمی تواند اقدام به رمزگشایی اطلاعات کند. به همین علت، به فکر پرداخت جریمه یا مبلغ خواسته شده به هکر می افتد. هرچند توصیه نمی شود اقدام به پرداخت جریمه کنید، زیرا در هر صورت نمی توان به رمزنگاری مجدد اطلاعات کاربران پرداخت. به این ترتیب، علاوه بر از دست دادن فایل ها کاربر با خسارت های مالی هم مواجه می شود.

روش های رمزنگاری مجدد اطلاعات کاربران

برای رمزنگاری اطلاعات کاربران می توان از سه روش مختلف استفاده کرد. در ادامه شما را با سه روش آشنا می کنیم. این سه روش شامل رمزنگاری متقارن، نامتقارن و توابع در هم ساز هستند.

  • رمزنگاری متقارن

در روش رمزنگاری متقارن، ارسال کننده و دریافت کننده پیام از کلیدهای یکسانی استفاده می کنند. به عبارت دیگر، گیرنده به منظور رمزگشایی داده ها از همان کلیدی استفاده می کند که فرستنده با آن، داده ها را رمزگذاری کرده است. در این روش، وجود توافق مشترک بین دو طرف فرستنده و گیرنده بر کلید رمزگذاری وجود دارد. رمزنگاری اطلاعات کاربران توسط باج افزار به گونه ای انجام می شود که دسترسی افراد به اطلاعات موجود در هر فایل را غیرممکن میسازد.

  • رمزنگاری نامتقارن

در روش رمزنگاری نامتقارن، هر یک از طرفین ارسال یا دریافت کننده پیام از کلیدهای مجزا برای رمزگذاری و رمزگشایی استفاده می کنند. دو کلید با نام کلید عمومی و خصوصی در این روش به کار گرفته می شود. به عبارت دیگر، در روش رمزگذاری نامتقارن برای هر پیام دو کلید عمومی و خصوصی وجود دارد. کلید عمومی مانند قفل و کلید خصوصی مانند بازکننده قفل عمل می کند.

  • توابع در هم ساز

این روش که روش آخر رمزگذاری است، به ازای هر مجموعه داده، عددی خاص ایجاد می کند. این توابع از نوع یک به یک هستند. یعنی عدد یکتا و خاصی برای هر مجموعه ایجاد می شود و نمی توان به رمزنگاری مجدد اطلاعات کاربران توسط رمزگشای باج افزار تقلبی پرداخت. استفاده از این روش رمزنگاری باعث می شود فرد بتواند به عدد یکتا و خاصی دسترسی پیدا کند و با آن داده ها را رمزگذاری کند.

جمع بندی

شما در این مطلب بیشتر با باج افزارها و فرآیند رمزنگاری که توسط آنها انجام می شود، آشنا شده اید. به این ترتیب، می توانید با کمک این اطلاعات از داده ها و فایل های خود محافظت کرده و از گسترش باج افزارها در شبکه و سیستم خود بکاهید. توجه داشته باشید، رمزگذاری فایل های شما به معنای از دست دادن داده ها هست. پس به دقت از داده هایتان محافظت کنید.