حذف باج افزار | بازیابی اطلاعات | ریکاوری اطلاعات

باج‌افزار Ransomware چیست و چگونه باید با آن مقابله کرد؟

Ransomware چیست و چگونه باید با آن مقابله کرد؟

مقدمه

باج ‌افزار نوعی نرم ‌افزار مخرب (بدافزار) است که معمولاً با رمزگذاری داده‌ ها یا یک سیستم رایانه ‌ای، تهدید به انتشار یا مسدود کردن دسترسی به آن ‌ها می ‌کند تا زمانی که قربانی هزینه ‌ای را به مهاجم پرداخت نماید. در بسیاری از موارد، باج‌ خواهی با یک مهلت زمانی همراه است. اگر قربانی به موقع پرداخت نکند، داده‌ ها برای همیشه از بین می ‌روند یا مبلغ باج افزایش می ‌یابد.

این روزها حملات باج ‌افزار بسیار رایج هستند. شرکت ‌های بزرگ در آمریکای شمالی و اروپا به طور یکسان قربانی آن شده ‌اند. مجرمان سایبری به هر مصرف‌کننده یا کسب و کاری حمله می ‌کنند و قربانیان از همه صنایع هستند.

چندین سازمان دولتی، از جمله FBI، توصیه می‌ کنند که برای جلوگیری از تشویق چرخه باج‌ افزار، باج را پرداخت نکنید. علاوه بر این، نیمی از قربانیانی که باج می‌ پردازند احتمالاً از حملات مکرر باج‌ افزار رنج خواهند برد، به خصوص اگر از سیستم پاک نشده باشد.

باج ‌افزار چگونه کار می ‌کند

باج ‌افزار نوعی بدافزار است که برای اخاذی از قربانیان طراحی می‌ شود؛ قربانیانی که داده‌ های سیستم آن ‌ها مسدود شده یا از دسترسی به این داده ‌ها منع شده ‌اند. دو نوع رایج از باج ‌افزارها رمزگذار و قفل صفحه هستند. رمزگذارها همانطور که از نامشان پیداست، داده ‌ها را در سیستم رمزگذاری می ‌کنند و محتوا را بدون کلید رمزگشایی، بی‌ فایده می ‌سازند. از سوی دیگر، قفل‌ های صفحه دسترسی به سیستم را با یک صفحه قفل مسدود کرده و ادعا می ‌کنند که سیستم رمزگذاری شده است.

قربانیان اغلب در صفحه قفل (که هم در رمزگذارها و هم در قفل صفحه رایج است) از خرید یک ارز دیجیتال مانند بیت‌ کوین برای پرداخت هزینه باج مطلع می ‌شوند. پس از پرداخت باج، مشتریان کلید رمزگشایی را دریافت نموده و ممکن است سعی کنند فایل‌ ها را رمزگشایی کنند. رمزگشایی تضمین نشده است، زیرا منابع متعدد درجات مختلفی از موفقیت رمزگشایی را پس از پرداخت باج گزارش می ‌کنند. گاهی اوقات قربانیان هرگز کلید را به دست نمی ‌آورند. برخی از مهاجمان حتی پس از پرداخت باج و انتشار داده‌ ها، بدافزار را روی سیستم رایانه نصب می ‌کنند.

در حالی که باج ‌افزار رمزگذاری ‌شده در ابتدا عمدتاً بر روی رایانه‌ های شخصی متمرکز بود، به طور فزاینده ‌ای کاربران کسب و کار را هدف قرار داده است زیرا کسب و کارها اغلب برای باز کردن قفل سیستم‌ های حیاتی و از سرگیری عملیات روزانه، بیشتر از افراد عادی هزینه پرداخت می‌ کنند.

حملات باج‌ افزار یا ویروس ‌های سازمانی معمولاً با یک ایمیل مخرب شروع می‌ شوند. کاربر نا آگاه یک پیوست را باز کرده یا روی URL مخرب یا در معرض خطر، کلیک می ‌کند.

در آن مرحله، عامل باج ‌افزار نصب می ‌شود و شروع به رمزگذاری فایل‌های کلیدی روی رایانه شخصی قربانی و فایل ‌های به اشتراک گذاشته ‌شده می‌ کند. پس از رمزگذاری داده‌ ها، باج‌افزار پیامی را روی دستگاه آلوده به نمایش می‌ گذارد که توضیح می ‌دهد چه اتفاقی افتاده است و چگونه باید هزینه به مهاجمان پرداخت شود. اگر قربانیان هزینه را پرداخت کنند، باج‌ افزار قول می‌ دهد کدی برای باز کردن قفل داده‌ هایشان در اختیار آن ‌ها بگذارد.

نمونه‌ هایی از مخرب ‌ترین باج‌ افزارها

با یادگیری حملات عمده باج ‌افزار که در ادامه بررسی خواهند شد، سازمان‌ ها اطلاعات منسجمی از تاکتیک ‌ها، روش ‌های سوءاستفاده و ویژگی ‌های حملات باج ‌افزار به دست خواهند آورد. در حالی که همچنان تغییراتی در کد، اهداف و عملکردهای باج‌افزار وجود دارد، نوآوری در حملات باج‌ افزار معمولاً افزایشی است.

  • WannaCry: یک سوءاستفاده‌ گر قدرتمند مایکروسافت برای ایجاد یک کرم باج ‌افزار در سراسر جهان مورد استفاده قرار گرفت که بیش از ۲۵۰ هزار سیستم را قبل از اینکه کلید کیل ‌سوییچ برای جلوگیری از گسترش آن فعال شود، آلوده کرد.
  • CryptoLocker: این یکی از اولین باج ‌افزارهای نسل فعلی بود که برای پرداخت به ارز دیجیتال (بیت کوین) نیاز داشت و هارد دیسک کاربر و درایوهای شبکه متصل را رمزگذاری می ‌کرد. Cryptolocker از طریق ایمیلی با پیوستی منتشر شد که ادعا می ‌کرد اعلان‌ های ردیابی FedEx و UPS است. یک ابزار رمزگشایی برای این کار در سال ۲۰۱۴ منتشر شد. اما گزارش‌ های مختلف نشان می‌ دهد که بیش از ۲۷ میلیون دلار توسط CryptoLocker اخاذی شده است.
  • NotPetya: NotPetya که یکی از مخرب‌ ترین حملات باج‌افزار محسوب می ‌شود، از تاکتیک‌ های همنام خود یعنی Petya استفاده کرد، مانند آلوده کردن و رمزگذاری رکورد اصلی بوت سیستم مبتنی بر ویندوز مایکروسافت. NotPetya از همان آسیب ‌پذیری WannaCry استفاده کرد تا به سرعت گسترش یابد و برای خنثی کردن تغییرات، درخواست پرداخت بیت کوین را داشت. NotPetya نمی ‌تواند تغییرات خود را در رکورد اصلی بوت لغو نماید و سیستم هدف را غیرقابل بازیابی می ‌کند.
  • Bad Rabbit: که از بستگان NotPetya در نظر گرفته شده و از کدها و روش‌ های سوءاستفاده مشابه برای انتشار استفاده می ‌کرد، باج‌ افزار قابل مشاهده ‌ای بود که به نظر می ‌رسید روسیه و اوکراین را هدف قرار می‌ دهد و بیشتر بر شرکت‌ های رسانه‌ ای آنجا تأثیر می ‌گذاشت. برخلاف NotPetya، Bad Rabbit امکان رمزگشایی در صورت پرداخت باج را فراهم کرد. اکثر موارد نشان می ‌دهد که این باج ‌افزار از طریق یک بروز رسانی جعلی فلش پلیر منتشر شده است که می ‌تواند از طریق حمله به درایو کاربران تأثیر بگذارد.
  • REvil:REvil توسط گروهی از مهاجمان با انگیزه مالی نوشته شده است. این باج‌ افزار داده ‌ها را قبل از اینکه آن ‌ها را رمزگذاری کند، استخراج می ‌کند تا در صورت عدم ارسال باج، قربانیان مورد نظر را مجبور به پرداخت پول نماید. این حمله از نرم ‌افزار مدیریت فناوری اطلاعات به خطر افتاده که برای اصلاح زیرساخت ‌های ویندوز و مک استفاده می ‌شود، سرچشمه می‌ گیرد. مهاجمان نرم‌افزار Kaseya را که برای تزریق باج‌افزار REvil به سیستم‌ های شرکتی استفاده می ‌شد، به خطر انداختند.

Ryuk: Ryuk یک برنامه باج‌افزار توزیع ‌شده دستی است که عمدتاً در فیشینگ هدف‌دار (spear-phishing) مورد استفاده قرار می ‌گیرد. اهداف با استفاده از شناسایی با دقت انتخاب شده، پیام‌های ایمیل به قربانیان منتخب ارسال و تمام فایل‌های میزبانی‌شده در سیستم آلوده رمزگذاری می ‌شوند

چرا نباید هزینه باج ‌افزارها را پرداخت کنید

پس از اینکه باج ‌افزار فایل ‌ها را رمزگذاری می‌ کند، صفحه‌ ای را به کاربر نشان می ‌دهد که فایل ‌های رمزگذاری‌ شده و مقدار پولی که باید پرداخت شود را اعلام می‌ نماید. معمولاً به قربانی زمان مشخصی برای پرداخت داده می‌ شود یا باج افزایش می ‌یابد. مهاجمان همچنین کسب ‌و کارهایی را که قربانی باج‌افزار شده ‌اند، تهدید می ‌کنند.

بزرگ‌ ترین ریسک پرداخت، این است که هرگز کلیدهای رمزگشایی داده‌ ها را دریافت نکنید. در چنین حالتی، سازمان هزینه گزافی را خرج کرده و هنوز کلیدهای رمزگشایی را ندارد. اکثر کارشناسان توصیه می ‌کنند برای جلوگیری از تداوم مزایای پولی مهاجمان، باج را پرداخت نکنید، اما بسیاری از سازمان ‌ها انتخاب دیگری ندارند. نویسندگان باج‌ افزار به پرداخت‌ های ارز دیجیتال نیاز دارند، بنابراین انتقال پول قابل برگشت نیست.

مراحل پاسخگویی به حمله باج ‌افزار

بارگیری از باج ‌افزار فوری است. بدافزار پیامی را با دستورالعمل پرداخت و اطلاعاتی درباره اتفاقاتی که برای فایل ‌ها افتاده است به کاربر نمایش می‌ دهد. مهم است که مدیران به سرعت واکنش نشان دهند زیرا برخی از باج‌ افزارها تلاش می‌ کنند به مکان ‌های دیگر در شبکه پخش شوند و فایل‌ های مهم را پیدا کنند. می ‌توانید چند گام اساسی برای پاسخ ‌دهی مناسب به باج ‌افزار بردارید، اما توجه داشته باشید که مداخله متخصص معمولاً برای تجزیه و تحلیل علت ریشه‌ ای، پاک ‌سازی و بررسی ‌ها لازم است.

تعیین کنید که کدام سیستم ‌ها تحت تاثیر قرار گرفته ‌اند. شما باید سیستم ‌ها را ایزوله کنید تا نتوانند بقیه محیط را تحت تاثیر قرار دهند. این مرحله بخشی از مهار است که آسیب به محیط زیست را به حداقل می ‌رساند.

سیستم ‌ها را جدا و در صورت لزوم خاموش کنید. باج ‌افزار به سرعت در شبکه پخش می‌ شود، بنابراین هر سیستمی باید با غیرفعال کردن دسترسی به شبکه یا خاموش کردن، قطع شود.

بازسازی سیستم‌ ها را در اولویت قرار دهید تا بحرانی ‌ترین آن‌ ها سریع تر به حالت عادی بازگردند. معمولاً اولویت بر اساس تأثیر بهره ‌وری و درآمد است.

تهدید را از شبکه ریشه‌کن کنید. مهاجمان ممکن است از درهای پشتی (Backdoor) استفاده کنند، بنابراین ریشه‌کن کردن آن‌ ها باید توسط یک متخصص مورد اعتماد انجام شود. متخصص نیاز به دسترسی به گزارش‌ ها دارد تا تجزیه و تحلیل علت ریشه ‌ای آسیب‌پذیری و همه سیستم ‌های تحت تأثیر را شناسایی کند.

یک کارشناس را استخدام کنید تا برای بروز رسانی‌ های امنیتی احتمالی، محیط را ارزیابی کند. معمولاً قربانی باج‌افزار، هدف حمله‌ های دیگری نیز خواهد بود. اگر نقطه ضعف پیدا نشود، ممکن است باج ‌افزارها دوباره از آن سوءاستفاده کنند.

پیشگیری و شناسایی باج ‌افزار

پیشگیری از حملات باج‌ افزار معمولاً شامل راه‌ اندازی و آزمایش پشتیبان‌ گیری و همچنین استفاده از محافظت باج ‌افزار در ابزارهای امنیتی است. ابزارهای امنیتی مانند دروازه ‌های حفاظت از ایمیل اولین خط دفاعی هستند، در حالی که نقاط پایان به عنوان دفاع ثانویه عمل می‌ کنند. سیستم ‌های تشخیص نفوذ (IDS) گاهی اوقات برای تشخیص فرمان و کنترل باج ‌افزار استفاده می ‌شوند تا درباره سیستم باج‌ افزاری که با سرور کنترل تماس می ‌گیرد هشدار دهد. آموزش کاربر مهم است، اما تنها یکی از چندین لایه دفاعی برای محافظت در برابر باج ‌افزار بوده و پس از تحویل باج‌ افزار از طریق ایمیل فیش (Email Phish) وارد عمل می‌ شود.

یک اقدام نهایی در صورت شکست سایر دفاع ‌های پیشگیرانه باج‌ افزار، ذخیره بیت‌ کوین است. این امر در جایی که آسیب فوری می ‌تواند مشتریان یا کاربران شرکت را تحت تأثیر قرار دهد، شایع ‌تر است. بیمارستان‌ ها و صنعت مهمان ‌نوازی در معرض خطر ویژه باج ‌افزار هستند، زیرا ممکن است زندگی بیماران تحت تأثیر قرار گیرد یا امکانات قفل شوند.

جمع ‌بندی

باج ‌افزار در هر شکل و نوعی، تهدیدی قابل توجه برای کاربران و شرکت‌ های خصوصی است. این امر باعث می‌ شود اهمیت دفاع و آمادگی برای تهدیدات احتمالی، دوچندان شود. بنابراین ضروری است در مورد باج ‌افزار یاد بگیرید، از نحوه استفاده از دستگاه‌ ها آگاه باشید و بهترین نرم‌ افزار امنیتی را نصب کنید.

خروج از نسخه موبایل