شرکت ایمن سازان تارنمای ایرانیان

ترجمه و تالیف: بابک ناصری

منابع: ویکیپدیا ، مایکروسافت ، هیمدال ، ایوست و پی سی ورلد

باج‌گیری نرم افزاری یا  باج افزار :

اگر یک روز رایانه خود را روشن کردید و با یک پیام جدید مواجه شدید که مضمون آن کد شدن اطلاعات و عدم امکان دستیابی به آنها تا پرداخت مبلغی مشخص به یک حساب که احتمالا از طریق diction قابل دریافت می‌باشد، بدانید که کامپیوترتان قربانی راه ‌زنی اینترنتی یا نرم افزاری شده است. در غالب این پیام ها ، شما تهدید به افشای اطلاعاتتان در صورت عدم پرداخت فدیه (باج) تعیین شده در یک فاصله زمانی مشخص می‌شوید.

از آنجا که اگر دچار چنین مشکلی شده اید تقریبا دیگر کاری از دست کسی ساخته نیست  مگر اینکه خوش شانس باشید پس اجازه بدهید اول با باج‌گیری نرم افزاری یا نرم افزارهای باج گیری آشنا شویم و سپس ببینیم که چه راههایی برای پیشگیری وجود دارد و از آن بدانید که چگونه می‌شود اطلاعات  کامپیوتر قربانی را بازیابی نمود.

تعریف

باج افزار ، نوعی بد افزار است که به صورت پنهان بر روی رایانه قربانی نصب شده و یک حمله رمز نگاری را بر روی آن اجرا می‌کند پس از آن برای بازگشایی و دستیابی به اطلاعات رمز شده ، از کاربر درخواست باج می‌گردد.

برخی از باج افزارها کامپیوتر قربانی را به روشی قفل می‌کند که با استفاده از دانش فنی می‌توان عملیات معکوس سازی و برگشت پذیر به حالت پیش از قفل نمودن را انجام داده و اطلاعات را بازیابی نمود. بد افزارهای پیشرفته تر با کمک رمز نگاری فایلهای قربانی ، فایلها را غیر قابل دستیابی نموده و برای برگشت آنها طلب دریافت پول می‌کنند.

این نرم افزارها ممکن است جدول فایل اصلی master file table) (کامپیوتر و یا کل هارد دیسک را رمز نگاری نماید بنابراین باج افزار ((Ransomware یک حمله با هدف قطع دسترسی کاربران رایانه به اطلاعات و فایلها به واسطه رمز نگاری آنها بدون وجود کلیدهای بازگشایی رمز است .

حمله باج گیری نرم ، غالبا توسط یک  تروژان که در ظاهر یک فایل ساده و بی خطر می‌باشد شروع می‌شود.

از آنجا که نرم افزارهای باج‌گیری با اهداف گوناگونی تهیه می‌ شوند، علائم متفاوتی را نشان می‌دهند اما به طور سمعی بخاطر داشته باشید که اگر هر روز کامپیوتر شما کند تر می‌شود، اگر هارد دیسک شما خود به خود کار می‌کند و نهایتا اگر برخی از فایلها و پوشه هایتان را پیدا نمی‌کنید، به  سادگی از کنارآن گذر نکنید. در صورت برخورد با هریک از این علائم سعی کنید ضمن نصب نرم افزار پاد ویروس (از نوع اینترنت سیکیوریتی) ، رایانه خود را کنترل نموده و تدابیر موجود در بخش پیشگیری را بکار ببندید .

در صورتی که کار از کار گذشته باشد و نرم افزار باج گیری مراحل کار خود را به اتمام برساند، خود به خود پیامی را برای شما نمایش می‌دهد که بدانید و آگاه باشید و در صورت نیاز باج لازم را پرداخت نمایید .

در تصاویر زیر نمونه هایی از پیام های ن باج افزار را می‌بینید.

انواع باج خواهی:

بد افزارهای باج گیری یا باج خواهی تنوع زیادی دارند در تصویر زیر شما می‌ توانید تنوع این بد افزارها را در طول زمان ببینید.

معمولا هدف نهایی این بد افزارها کامپیوترهای پلیس ، شوراها و ادارات شهری، مدارس و بدتر از همه بیمارستانها می باشد. غالباً پدید آورندگان این بد افزارها، پس از انتقال نمونه های اولیه بر روی کامپیوترهای خانگی و اطمینان از آزمایش و صحت کارکرد، آنها را بر روی مراکز پیش گفته منتقل می‌نمایند.

چرا باج گیران نرم افزاری کاربران خانگی را مورد حمله قرار می‌دهند؟

1-چون کاربران خانگی غالبا کپی پشتیبان از اطلاعاتشان ندارند.

2-چون آنان اطلاعات کافی در مورد امنیت سایبری نداشته و تقریبا روی هر چیزی کلیک می‌کنند.

3-چون نبود سامانه هشدار امنیتی بر خط ، آنها را مستعد عوامل سایبری می‌کند.

4-چون اغلب کاربران خانگی حتی حفاظتهای اولیه سایبری را هم ندارند.

5-چون نرم افزارهایشان را به روز رسانی نمیکنند (حتی اگر متخصصین به آنها هشدار دهند)

6-چون در خصوص راه حل های امنیت سایبری هزینه نمی‌کنند

7-چون برای دوری از بلایا در زمان آنلاین بودن به شانس و اقبال بیشتر ایمان دارند.

8-چون اغلب کاربران خانگی هنوز هم برای در امان بودن از خطرات به آنتی‌ویروس متکی هستند، در حالیکه آنتی‌ویروس‌ها در غالب اوقات در یافتن و متوقف نمودن نرم افزارهای باجگیری نا‌کارآمد هستند.

علاوه بر کاربران خانگی، کاربران کسب و کارهای متوسط و سازمانی اهداف بسیار مناسبی برای توسعه دهندگان و باج افزارها هستند چرا که صاحبان سازمان ها و کسب و کارهای کوچک و بزرگ، صاحبان سرمایه هستند وحجم اطلاعات و نیز سرمایه و بهای اطلاعات ذخیره شده در این مراکز، هر خلافکاری را وسوسه می‌کند تا آنها را هدف قرار دهد.

روشهایی که مجرمین سایبری برای انتشار باج افزار استفاده می‌کنند:

1-ارسال هرزنامه‌های محتوی لینک یا فایل پیوست.

2- سود جویی امنیتی در برنامه های آسیب پذیر یا دارای اشکال امنیتی.

3- هدایت ترافیک اینترنت به وبگاههای آلوده.

4-سوء استفاده از وب سایتهای مجاز با کمک تزریق کدهای مخرب در صفحات وب آنها.

5-ایجاد وسوسه دانلود فایل های آلوده.

6-ارسال آگهی های آلوده.

7-ازدیاد خود بخودی.

8-پیامکهای موبایل (نسخه های مخصوص موبایل)

9- بت نتها ((botnets برای آشنایی با بت نتها (زامبیهای اینترنتی) به مقاله بت نت چیست رجوع کنید.

چرا نرم افزارهای راه زنی غالبا توسط پاد‌ویروس‌ها شناخته نمی‌‌شوند؟

همانطور که گفته شد تاکتیک حمله باج افزارها متفاوت بوده و مجوعه این روش ها باعث می‌شوند تا نرم افزارهای راهزنی

1-توسط محصولات پاد ویروس شناخته نشود.

2- توسط محققین امنیت مجازی کشف نشود.

3- توسط مراجع قانونی و سامانه شناسایی بد افزار آنها تشخیص داده نشود.

دلیل آنها هم ساده است ، هر چقدر شناسایی یک بد افزار بیشتر طول بکشد داده‌های بیشتری میتوانند باز شده و آسیب ببینند.

در زیر به شماری از راهبردهایی که باج افزارها برای پوشیده نگه داشتن عملیاتشان مورد استفاده قرار می‌دهند اشاره می‌کنیم

1. برقراری ارتباط با سرور فرماندهی وکنترل رمز نگاری شده و در نتیجه تشخیص ترافیک شبکه مشکل می‌باشد.
2. از قابلیت های گمنام سازی (نا مشهود کردن) ترافیک داخلی مانند Bit coin وTOR  بهره میبرند تا از شناسایی شدن توسط مراجع قانونی و همچنین رهگیری دریافت وجوه راهزنی جلوگیری نمایند.
3.  بکارگیری ساز و کارهای ضد سند باکسینگ(Anti sandboxing، روشی برای کارکرد امن نرم افزارهای ناآشنا در محیط سیستم عامل که توسط سامانه پاد ویروس‌مورد استفاده قرار می‌گیرد) و در نتیجه عدم کارایی پاد ویروس در شناخت و ممانعت از کارکرد آنها.
4. استفاده از روش دامنه سایه (Domain shadowing ، یک راهبرد منفی که توسط مجرمین سایبری برای غیر قابل شناسایی شدن مورد استفاده قرار میگیرد) برای مخفی کردن سوء استفاده و پنهان نمودن ارتباطات بین دانلود و سرور تحت کنترل مجرمین سایبری.
5. استفاده از تکنیک جریان سریع (fast flus، تکنیکی برای نا‌شناخته نگه داشتن منبع آلودگی یا منشا ویروس)
6. استقرار بار(کار) رمز نگاری شده که شناسایی بد افزار را برای پاد ویروسها مشکل تر کرده و در نتیجه زمان بیشتری را برای ادامه کار آلودگی مهیا می‌سازد.
7. این نرم افزارها غالبا کارکرد چند‌گانه (چند شکلیPolymorphic) دارند که باعث می‌شود باج افزار تا حدی که عملکرد بد افزاری خود را از دست ندهد جهش یابد.

این نرم‌ افزارها می‌توانند به حالت نهفته (خفته) در بیایند به این ترتیب که تا کامپیوتر در شرایط مناسب از لحاظ آسیب پذیری و تخریب حداکثری قرار نگیرد فعال نمی‌شود، (هرچند که روی سامانه­ی شما جا خوش کرده اند)

ترسناک بود ، نه ؟ مخصوصا این آخری باعث وحشت خودم هم می‌شود.

خانواده های بیشتر شناخته شده باج افزارها

تا حالا متوجه شده­اید که تعداد زیادی نرم افزار راهزنی وجود دارد با نامهایی مانند: Cryptxxxx یا Troldesh یا Chimera

Reveton

در سال 2012 بیشتر راهزنیهای نرم توسط این خانواده انجام شد. از آنجا که راهزنیهای این خانواده با نمایش پیامی مبنی بر قفل شدن کامپیوتر قربانی توسط پلیس یا ارگانهای امنیتی، انجام می‌گیرد، این راهزن نرم افزاری به ویروس پلیس معروف شده است. این خانواده مبتنی بر ویروس تروژان سیتادل) (Citadel Trojan است که بخشی از خانواده زئوس  ((Zeus میباشند.

Crypto locker

در سالهای 2013 و 2014 یکی از آلودگیهای وسیع جهانی توسط این خانواده انجام شد به گونه‌‌‌ای که در هر ماه 150.000کامپیوتر آلوده می‌شد. این ویروس طی یک عملیات گسترده به نام عملیات تاوور ((Tavor در سال 2014 مورد حمله قرار گرفت. در این عملیات بت نت Game over سرکوب گردید که یکی از عوامل گسترش بد افزار اقتصادی و نرم افزار راهزنی کریپتو لاکر (Crypto locker) بود.

Crypto wall

کریپتولاکر موقتا از پا در آمده بود، به معنی بیکار نشستن مجرمین سایبری نبود، آنها کریپتوال را عرضه نمودند که تا اوایل سال 2015 به نسخه چهارم خود ارتقا یافت . گسترش آن بسیار سریع بوده است. در سال   2015 ، FBT  اذعان داشت که این بد افزار اینجاست تا بماند.

همانند کریپتولاکر ،کریپتوال از محورهای مختلفی گسترش می‌یابد. در کل روشهایی که مورد استفاده قرار میگیرد بیشتر از طریق سوء استفاده از کیتهای جانبی مرورگرها، هدایت توسط دانلودهای آلوده و ضمیمه آلوده ایمیل می‌باشد.

آلودگی به این ویروس در ایران بسیار زیاد بوده است و هنوز هم هستند کاربرانی که کامپیوترشان به این ویروس آلوده شده و مراجعه می‌نمایند.

CTB Locker

CTB یکی از گونه های‌ آخر کریپتولاکر می‌باشد از لحاظ حرفه ای در یک طبقه کاملا متفاوت قرار می‌گیرد.

حرف C در ابتدای نام آن مشخصه واژه Curve می‌باشد که ما را به روشی از رمز نگاری بسیار پیشرفته ارجاع می‌دهد. در این روش هر فایل یک کلید یگانه دریافت میکند.

حرف T از واژه Tor می‌آید، چرا که این ویروس  از پروتکل P2P برای پنهان نگه داشتن مجرمان سایبری از دید سازمانهای قانونی استفاده میکند.

حرف B از واژه Bitcoin می‌آید، روشی که قربانیان برای پرداخت باج استفاده میکنند و از سوی دیگر موقعیت مکانی و سایر مشخصات باجگیر مخفی میماند.

روشهای مقابله و پیشگیری:

 حقیقت این است روش موثر و کاملی برای نابود کردن و یا جلوگیری کامل از دسترسی به کامپیوتر قربانی وجود ندارد، اما روشهایی هست که اگر هر کاربر یا مدیر شبکه به کار ببندد میتواند امیدوار باشد که دادهایش را از گزند باجگیران حفظ کرده است. این روشها را به ترتیب زیر بررسی میکنیم:

1.   داشتن برنامه مشخص پشتیبان گیری و تهیه پشتیبان (Backup) از داده ها در فواصل زمانی مشخص. (برای آشنایی با روشهای پشتیبان گیری یا طراحی برنامه تهیه پشتیبان مناسب برای منزل، دفتر یا سازمان خود با ما تماس بگیرید)
2. استفاده قطعی از نرم افزارهای پاد ویروس. اگر بطور مداوم به اینترنت متصل هستید حتما از نسخه های پاد ویروس همراه با محافظ اینترنتی استفاده کنید. برای آشنایی بیشتر میتوانید به مقاله " آنتی ویروس چیست؟ " مراجعه فرمایید.
3. مراقبت در باز کردن ایمیلها و ضمیمه های آنها. اگر متن این مقاله را مطالعه کرده باشید حالا میدانید که هکرها چگونه به کامپیوتر شما نفوذ میکنند. پس، از باز کردن ایمیلهایی که موضوع عجیبی دارند، فرستنده نا آشناست و یا شما را دعوت میکند که فایل ضمیمه یا لینک موجود در متن را کلیک کنید، به شدت پرهیز کنید. هر یک از این روشها میتواند منجر به نصب یک باج افزار بر روی سامانه شما شود. به خاطر داشته باشید که در بسیاری از مواقع این نصب شدن، نتایج آنی نداشته و ممکن است روزها و ماهها بعد مشکلات ناشی از آن را تجربه کنید.
4. اگر از سیستم عامل ویندوز استفاده میکنید، مطمئن شوید که درجه UAC (درجه کنترل کاربر یا User Account Control) روی درجه حداکثر یا یک درجه پایینتر باشد. متاسفانه بیشتر کاربران در کشور ما به علت نیاز به نصب برنامه های قفل شکسته، این گزینه را غیر فعال مینمایند و همین مطلب باعث نفوذ پذیر شدن سیستم در برابر ویروسها و خصوصا باج افزارها میگردد.

ادامه دارد....