باج افزار چیست، چگونه کار می‌کند و چطور باید با آن مقابله کرد؟

باج افزار نوعی بدافزار است که تا ارسال پول برای سازنده آن، دستگاهتان را قفل می‌کند. اما رنسام ویر (Ransomware) دقیقا چیست و چطور کار می‌کند؟

با ظهور هر فناوری جدید، افرادی تلاش می‌کنند از آن در جهت منافع خود سواستفاده کنند. به عنوان نمونه، بیت کوین با هدف قرار دادن کنترل یک شبکه پولی در دست تمام کاربران آن، غیر متمرکز ساخته شد، اما از زمان تولد، بسیاری از نخستین رمز ارز دنیا برای اهداف شوم خود بهره بردند. برای مثال باید به استفاده از کریپتوکارنسی برای پولشویی، انتقال پول خرید کالا و مواد غیر قانونی نظیر مواد مخدر و مخصوصا باج‌گیری اشاره کرد. علت، سخت بودن و در برخی مواقع غیر ممکن بودن ردیابی ارسال‌کننده و مخصوصا دریافت‌کننده وجه است. همین ویژگی بیت کوین را به یک دارایی مناسب برای استفاده در باج افزار تبدیل کرده است.

باج افزار چیست؟

باج افزار یک نوع خاص از بدافزار محسوب می‌شود. این نرم افزار بدخواه، که ممکن است در شکل‌های مختلف ظاهر شود، می‌تواند سیستم کامپیوتری دسکتاپ و لپ تاپ یا گوشی هوشمند کاربران و همچنین شبکه‌های کامپیوتری را هدف حمله قرار بدهد. وضغیت وقتی کسب و کارها، بیمارستان‌ها، فرودگاه‌ها و سازمان‌های دولتی با یک رنسام ویر درگیر می‌شوند، به شدت بغرنج خواهد شد.

از زمان ظهور این نوع بدافزار در سال 1989، آن‌ها به طور مستمر پیشرفت کرده و پیچیده‌تر شده‌اند. در ابتدا با باج افزارهای دارای شکل و شمایل ساده و مخصوصا رمزنگاری نشده رو به رو بودیم، اما موارد مدرن، از روش‌های رمزنگاری به منظور قفل کردن فایل‌ها استفاده کرده و دسترسی به آن‌ها را برای مالک اطلاعات، غیر ممکن می‌کنند.

در برخی مواقع، یک باج افزار رمزنگاری را در سطحی وسیع‌تر اعمال کرده و به طور کامل سیستم عامل دستگاه را قفل می‌کنند. در نتیجه، عدم دسترسی به تعدادی پوشه و فایل محدود نشده و به طور کامل کار با کامپیوتر یا گوشی هوشمند برای قربانی ناممکن می‌شود. هدف از این کار، مجبور کردن فرد برای پرداخت باج است، بلکه فرد تبهکار فایل‌ها، پوشه‌ها یا در بدترین حالت کل سیستم عامل را مجددا رمزگشایی کرده و قفل آن‌ها را باز کند.

سازنده رنسام ویر، به خاطر دشوار بودن ردیابی تراکنش‌ها در شبکه رمز ارزهای غیر متمرکز مبتنی بر بلاک چین، از قربانی می‌خواهد پول را با استفاده از آن‌ها پرداخت کند. اغلب، آن‌ها بیت کوین درخواست می‌کنند، هر چند امروز با توجه به تنوع بازار رمز ارز احتمال درخواست موارد دیگر نیز بالا است. خاصیت عدم تمرکز در شبکه بیت کوین یا دیگر ارزهای دیجیتال شبیه آن سبب می‌شود هر فرد به راحتی نصب یک اپلیکیشن موبایل یا دسکتاپ، یک کیف پول برای خود ایجاد کرده و قادر به ارسال و دریافت پول باشد. این کار را با فرآیند ایجاد حساب کاربری در بانک‌ها مقایسه کنید که به خاطر اطلاعات دریافت شده از مشتری حین ثبت نام، چقدر ردیابی تراکنش‌ها و رسیدن به مبدا و مقصد آن‌ها را آسوده می‌کند.

متاسفانه هیچ تضمینی برای رمزگشایی بعد از پرداخت پول به توسعه‌دهنده باج افزار وجود ندارد. در موارد متعدد، سازنده حتی بعد از دریافت پول به صورت بیت کوین، همچنان فایل‌ها، پوشه‌ها یا سیستم عامل را در حالت قفل نگه داشته یا آن‌ها را به طور کامل حذف کرده است!

طی دهه اخیر و مخصوصا در سال 2017، این نوع بدافزار محبوبیت زیادی نزد تبهکاران سایبری پیدا کرده است. بر اساس اعلام یوروپول (Europol)، در حال حاضر برجسته‌ترین تهدید بدافزاری در جهان مربوط به رنسام ویرها است.

کاربران چطور قربانی باج افزارها می‌شوند؟

فیشینگ یک فرم متداول از مهندسی اجتماعی است. برخلاف تصور، تکنیک فیشینگ به طراحی وب سایت‌های جعلی به منظور سرقت اطلاعات کاربران محدود نشده و یکی از شکل‌های آن، فیشینگ ایمیل است. فیشینگ ایمیل جزو متداول‌ترین روش‌های توزیع بدافزارها به ویژه باج افزارها بین کاربران و قربانی کردن آن‌ها به شمار می‌رود.

در اینجا، تبهکار یک فایل آلوده به بدافزار را به یک ایمیل ضمیمه کرده و برای فرد یا گروهی از افراد ارسال می‌کند. روش دیگر، گنجاندن یک لینک آلوده داخل ایمیل است. سازنده باج افزار کاربران را به شیوه‌های مختلف به کلیک روی فایل ضمیمه یا لینک ترغیب می‌کند. به عنوان نمونه می‌توان به مطرح کردن ادعای ارائه رایگان بیت کوین یا یک کریپتوکارنسی دیگر اشاره کرد.

اگر مجرم، سازماندهی شده عمل کند و تحقیقات بیشتری روی قربانیان انجام دهد، احتمال موفقیتش افزایش پیدا خواهد کرد. ارسال ایمیلی مبنی بر دریافت رایگان بیت کوین با کلیک روی لینک، برای فردی که هیچ آشنایی با رمز ارزها ندارد، بی‌فایده است! به همین دلیل برخی سازندگان بدافزارها ابتدا به روش‌های مختلف، به علاقه کاربران مربوط به ایمیل‌ آدرس‌های موجود در پایگاه داده ایمیل خود پی برده و بر اساس آن‌ها، یک نامه الکترونیکی متفاوت به هر یک طبق علاقه‌شان ارسال می‌کنند.

مجرمان سایبری معمولا از آدرس‌هایی شبیه به آدرس شرکت‌ها و افراد معتبر به منظور ارسال ایمیل استفاده کرده و یکی از ترفندهای آن‌ها، جا زدن خود به عنوان عضوی از یک سازمان یا شرکت معتبر و معروف است. روش دیگر، دستپاچه کردن کاربر به وسیه طرح یک مشکل اضطراری دروغین است. به عنوان مثال ممکن است در یک ایمیل، پیغامی مبنی بر هک شدن حساب کاربری خود در صرافی بایننس یا در خطر بودن آن دریافت کنید. ایمیل از شما درخواست می‌کند سریعا روی لینک مشخص شده کلیک و سپس پسوردتان را عوض کنید. متاسفانه این لینک شما را به سمت یک باج افزار به جای وب سایت ادعا شده ارسال خواهد کرد.

برخی بدافزارهای مخصوص باج‌گیری، به نحوی نوشته می‌شوند که در صورت آلوده شدن یکی از سیستم‌های عضو یک شبکه کامپیوتری، کل دستگاه‌های متصل به آن شبکه آلوده خواهند شد. بروز چنین اتفاقی برای یک شرکت، سازمان یا نهاد، فاجعه‌بار است! نمونه‌ای از بروز این اتفاق را در انتهای همین مطلب می‌خوانید. در سال 2016، مرکز پزشکی پروتستان هالیوود (Hollywood Presbyterian Medical Center) برای آزاد کردن سیستم‌های کامپیوتری بیمارستان مجبور به پرداخت 17 هزار دلار باج شد.

کیت‌های استثمار راهکاری دیگری برای انداختن کاربران به دام باج افزارها به شمار می‌روند. این بسته‌ای ساخته شده از ابزارهای مخرب مختلف است. این کیت‌ها معمولا برای بهره‌برداری از مشکلات و آسیب‌پذیری‌های امنیتی مربوط به اپلیکیشن‌ها و مخصوصا سیستم عامل طراحی می‌شوند. توسعه‌دهنده بد افزار از این آسیب‌پذیری‌ها برای گسترش بدافزار استفاده می‌کند. سیستم‌های غیر ایمن دارای نسخه‌های قدیمی سیستم عامل و نرم افزارها، هدف بهتری برای سازندگان کیت‌های استثمار محسوب می‌شوند.

بازاریابی بدافزار تکنیکی دیگر برای یافتن قربانی است. در اینجا سازنده رنسام ویر برای پخش کردن آن از شبکه‌های تبلیغاتی استفاده می‌کند.

چگونه از خود در برابر باج افزار محافظت کنیم؟

ایجاد فایل بکاپ

همیشه از تمام فایل‌های داخل گوشی هوشمند، لپ تاپ یا کامپیوتر دسکتاپ خود به طور مستمر بکاپ تهیه کنید. نگه داشتن فایل بکاپ روی حافظه همان دستگاه کار بیهوده‌ای است، چرا که در صورت گم شدن یا به سرقت رفتن دستگاه، آسیب دیدن آن یا افتادن در دام یک باج افزار، در کنار فایل‌های اصلی، نسخه پشتیبان آن‌‌ها نیز از دسترس خارج هستند.

بکاپ را همیشه روی یک حافظه دیگر، نظیر هارد درایو اکسترنال یا حساب کاربری‌تان در یک سرویس ذخیره‌سازی کلاد نگهداری کنید. اگر راهکارهای غیر متمرکز و بلاک چینی را به بقیه ترجیح می‌دهید، می‌توانید به این منظور از ذخیره سازی غیر متمرکز بهره ببرید. یکی از معروف‌ترین سرویس‌ها در این زمینه، فایل کوین نام دارد. نگهداری به شکل غیر متمرکز بهره‌وری را افزایش و هزینه‌ها را به شدت کاهش می‌دهد. سرویس Amazon S3 را به عنوان نمونه در نظر بگیرید. برای استفاده از خدمات این پلتفرم، به ازای هر ترابایت فضا باید ماهیانه 25 دلار پرداخت کنید. فایل کوین می‌تواند هزینه استفاده از همین اندازه فضای ذخیره سازی را به 2 دلار در ماه کاهش بدهد!

بهترین راهکار، کپی کردن فایل بکاپ در چند حافظه است. به عنوان مثال بعد از ایجاد نسخه پشتیبان از فایل‌های لپ تاپ خود، آن را روی هارد درایو اکسترنال، هارد درایو اینترنال کامپیوتر دسکتاپ و حسابتان در فایل کوین، گوگل درایو یا دیگر سرویس‌های ذخیره‌سازی ابری غیر متمرکز و متمرکز نگهداری کنید. همچنین می‌توانید از فایل‌های دارای اهمیت بیشتر، یک بکاپ جداگانه گرفته و آن‌ها را روی یک فلش مموری نیز به صورت جداگانه ذخیره کنید.

توجه به ایمیل‌ها

اگرچه کاربرد ایمیل برای اطلاع‌رسانی و ارسال پیام انبوه، به لطف ظهور شبکه‌های اجتماعی و پیام‌رسان‌های موبایلی کاهش پیدا کرده است، اما همچنان یکی از بهترین ابزارها برای گسترش یک باج افزار یا دیگر انواع بدافزار به شمار می‌رود.

به شدت مراقب لینک‌ها و فایل‌های ضمیمه داخل ایمیل‌ها باشید. در بیشتر مواقع، تنها یک مرتبه کلیک روی آن‌ها برای آلوده شدن کافی است. از کلیک روی تبلیغات و وب سایت‌ها با منابع نامشخص خودداری کنید. قبل از کلیک روی یک لینک، می‌توانید با بردن ماوس روی آن یا کپی کردن آدرس، مقصد را مشاهده و بررسی کنید. در برخی مواقع با کمی دقت می‌توان از روی این آدرس، به جعلی و خرابکارانه بودن ایمیل پی برد. اگر درباره صحت URL شک دارید، هرگز آن را باز نکنید.

به آدرس ارسال‌کننده توجه کرده و از ارتباط داشتنش با گروه، شرکت یا سازمان مورد ادعا اطمینان پیدا کنید. می‌توانید برای کسب اطمینان، به وب سایت رسمی مراجعه کرده و از طریق پل‌های ارتباطی، صحت ایمیل را ارزیابی کنید. این کار ریسک افتادن در دام باج افزار را کاهش می‌دهد.

نصب آنتی ویروس

برای دور ماندن از شر بدافزارها مخصوصا باج افزارها، یک آنتی ویروس روی گوشی هوشمند، دسکتاپ یا لپ تاپ خود نصب کنید. همیشه اپلیکیشن‌ها و مخصوصا خود سیستم عامل را نیز به‌روز نگه داشته و به محض انتشار یک نسخه جدید، آن‌ را دریافت کنید.

منظور از به‌روزرسانی، صرفا آپدیت کردن اپلیکیشن‌های مالی نظیر کیف پول ارز دیجیتال نیست؛ وجود یک نرم افزار دارای رخنه امنیتی، کل سیستم را به خطر خواهد انداخت.

نمایش پسوند فایل‌ها در سیستم عامل

در تنظیمات ویندوز، گزینه “Show File Extensions” را فعال کنید. به صورت پیش‌فرض، ویندوز پسوند فایل‌ها را نشان نمی‌دهد. بعد از فعال‌سازی می‌توانید پسوند مربوط به پرونده‌ها را مشاهده کرده و پیش از کلیک روی موارد با پسوند exe. و همچنین vbs. و scr. بررسی‌های بیشتری انجام بدهید. به عنوان مثال ممکن است فردی به ظاهر یک فایل تصویری برایتان ارسال کرده باشد، اما در عمل، با کلیک روی آن، یک بدافزار را اجرا خواهید کرد. یک فایل تصویری نمی‌تواند پسوند exe. داشته باشد!

عدم ورود به وب سایت‌های غیر ایمن

از ورود به وب سایت‌های فاقد گواهینامه SSL خودداری کنید. نسخه جدید مرورگرهای وب نظیر گوگل کروم، در صورت عدم استفاده یک وب سایت از پروتکل HTTPS، در کنار نام آن عبارت “Not Secure” را نشان می‌دهند. آدرس یک وب سایت امن، با “//:https” شروع می‌شود.

در نظر داشته باشید تبهکاران سایبری حرفه‌ای، به راحتی می‌توانند برای وب سایت خرابکارانه خود پروتکل HTTPS را فعال کنند، پس داشتن گواهینامه SSL هرگز به یک وب سایت اعتبار خاصی نمی‌بخشد. بنابر این در صورت برآورده شدن این شرط، به سایر موارد نیز داخل وب سایت توجه کنید.

مراجعه به وب سایت NoMoreRansom.org

این وب سایت توسط چند شرکت فعال در حوزه امنیت سایبری و همچنین چند نهاد قانونی طراحی شده است. هدف، ایجاد اخلال در کار باج افزارها بوده است. در اینجا یک سری کیت رمزگشایی ارائه شده که به قربانیان انواع باج افزار اجازه می‌دهد بدون پرداخت پول به حمله‌کننده، مجددا به فایل‌های قفل شده خود دسترسی پیدا کنند. در این وب سایت همچنین توصیه‌های خوبی درباره چگونگی مقابله با بدافزارها ارائه شده است.

نمونه‌‌ای از چند باج افزار

از زمان ظهور نخستین بدافزار باج‌خواه در سال 1989، حدود 30 سال می‌گذرد. تا امروز موارد متعددی از این نوع بدافزارها ساخته شده و کاربران را قربانی کرده‌اند. اما پیچیدگی و میزان گسترش آن‌ها با یکدیگر برابر نبوده است. در ادامه، به برخی از بدترین باج افزارهایی که تاکنون قربانی گرفته‌اند اشاره خواهیم کرد.

GrandCrab (سال 2018)

نخستین مرتبه در اولین ماه سال 2018 شاهد ظهور این بدافزار بودیم. GrandCrab طی کمتر از یک ماه حدود 50 هزار قربانی گرفت، قبل از این که توسط مقامات رومانیایی مختل شود. شرکت بیت دیفندر (Bitdefender) و آژانس یوروپول (Europol) نیز در متوقف کردن آن همکاری داشتند. اکنون یک کیت بازیابی اطلاعات رایگان برای قربانیان این باج افزار موجود است.

سازنده یا سازندگان GrandCrab به وسیله بازاریابی بدافزار و ایمیل‌های فیشینگ، کاربران را آلوده می‌کردند. اگرچه طی دهه اخیر، بیشتر رنسام ویرها از افراد قربانی بیت کوین طلب می‌کنند، اما برای نخستین مرتبه، GrandCrab از کاربران درخواست می‌کرد مبلغ مورد نظر باج‌گیر را با رمز ارز دش (Dash) ارسال کنند. باج اولیه بین 300 تا 1500 دلار آمریکا متغیر بود.

WannaCry (سال 2017)

واناکرای به جرات یکی از بدترین باج افزارها در طول تاریخ به شمار می‌رود. این حمله سایبری در سراسر دنیا حدود 300 هزار قربانی گرفت. نکته جالب، قربانی شدن این تعداد تنها طی 4 روز بود! WannaCry از طریق یک رخنه امنیتی به نام EternalBlue تکثیر شده و دستگاه‌های دارای سیستم عامل‌های ویندوز شرکت مایکروسافت را هدف قرار داده بود. طبق ارزیابی‌ها، بیشتر افراد درگیر با باج افزار واناکرای از سیستم عامل ویندوز 7 استفاده می‌کردند.

بعد از انتشار پچ‌های امنیتی اضطراری توسط مایکروسافت، این حمله باج‌خواهانه متوقف شد. کارشناسان امنیتی آمریکا مدعی شدند کره شمالی، مسئول توسعه و انتشار این باج افزار بوده است. البته آن‌ها در نهایت سندی برای ادعای خود ارائه نکردند.

Bad Rabbit (سال 2017)

در سال 2017 میلادی، باج افزارها کولاک کردند! باج افزار Bad Rabbit از طریق یک آپدیت جعلی برای Adobe Flash منتشر شد. وب سایت‌هایی توسط توسعه‌دهندگان این رنسام ویر طراحی شده بود که برای تبلیغ و دانلود این به ظاهر به‌روزرسانی ادوبی فلش، کاربرد داشتند.

بیشتر سیستم‌های کامپیوتری قربانی در کشور روسیه واقع شده بودند. افراد به واسطه کلیک روی یک فایل با پسوند exe. که به نظر آن‌ها یک آپدیت برای ادوبی فلش بود، قربانی این باج افزار می‌شدند. سازنده از هر نفر برای رمزگشایی اطلاعات، 0.05 بیت کوین معادل 280 دلار آمریکا در آن زمان طلب می‌کرد.

Locky (سال 2016)

روش سازنده این رنسام ویر برای گرفتن قربانی، ارسال ایمیل‌هایی حاوی یک فاکتور (جعلی) اضطراری برای پرداخت بود. این ایمیل‌ها، دارای فایل‌های ضمیمه آلوده به بدافزار بودند. علاوه بر کاربران عادی متعدد، مرکز پزشکی پروتستان هالیوود (Hollywood Presbyterian Medical Center) نیز قربانی باج افزار Locky شد و برای آزادسازی سیستم‌های رایانه‌ای بیمارستان و دسترسی مجدد به اطلاعات ضروری، 40 بیت کوین معادل 17 هزار دلار آمریکا در آن زمان پرداخت کرد.

منبع: binance