یادداشت ویراستار: اصل این مطلب در شهریور ۹۵ نوشته شده بود و در آبان ۹۹ دوباره بررسی و توسط کارشناسان سرور و شبکه فالنیک، بررسی و تایید شده است.
طی چند سال گذشته، حملات گستردهای با باج افزارهای مبتنی بر رمزگذاری که به نام Locker هم شناخته میشوند، انجام شده و تهدید آن هم شامل کسبوکارهاست و هم کاربران خانگی و در کل، کامپیوترها و دستگاههای مبتنی بر شبکه را هدف قرار میدهد. برای اجتناب یا به حداقل رساندن خرابی ناشی از باج افزارها چه باید کرد؟ چه کسانی طعمه حملات باج افزار هستند؟ در این مقاله درباره این بدافزارِ رمزگذاری فایل و چگونگی عملکرد و راهکارهای مقابله با آن صحبت کنیم.
- باج افزار چیست؟
- انواع باج افزار
- باج افزار Scareware
- باج افزار Screen lockers
- باج افزار Encrypting
- باج افزار Leakware یا Doxware
- باج افزارباج افزار Phishing Spam
- ۱۱ راهکار مقابله با باج افزار
- Snapshot، راهکار ساده مقابله با باج افزار
- چه کسانی هدف باج افزار هستند؟
- اقدامات لازم بعد از آلودگی به باج افزار
باج افزار چیست؟
باج افزار یا Ransomware نوعی بدافزار یا Malware است که که جلوی دسترسی به کامپیوتر و اطلاعات شخصی را میگیرد و فایلهای فرد قربانی را رمزگذاری میکند. پس از آن فرد مهاجم از قربانی درخواست باج میکند و در قبال پرداخت باج، دسترسی او به دیتا و اطلاعات را برمیگرداند. طریقه پرداخت را به قربانی اعلام میکند و کلید رمزگشایی باج افزار که فقط خودش میداند را به او میدهد. این مبلغ میتواند به صورت پول یا رمزارز باشد مثلا بیت کوین یا MoneyPay حتی ممکن است اطلاعات کارت اعتباری شما را درخواست کند.
باج افزارها میتوانند جلوی دسترسی شما به سیستم عامل را بگیرند، فایلها را تغییر دهند یا رمزگذاری کنند تا نتوانید از آن ها استفاده کنید، اجرای برنامههای خاصی را در سیستمتان متوقف کنند مثلا مرورگرتان.
باج افزارها میتوانند هر یک از کاربران کامپیوترها را مورد هدف قرار دهند، چه یک سیستم کامپیوتر خانگی باشد یا یک سیستم در شبکه یک شرکت بزرگ، یا سرورهای سازمان های دولتی و خدمات درمانی و …
روش های آلوده شدن به باج افزار متفاوت است و میتواند از طریق لینکهای فریبنده مانند ایمیل، پیامک و وب سایت و … باشد. در ادامه با انواع باج افزار آشنا میشویم.
انواع باج افزار
انواع مختلفی از باج افزارها وجود دارند که تمامی آن ها جلوی استفاده از سیستمان را میگیرند و تقاضای پرداخت پول در ازای دسترسی به سیستم یا فایلهایتان میدهند. سه نوع اصلی باج افزار و سپس دو نوع دیگر را در ادامه معرفی میکنیم.
باج افزار Scareware
باج افزار Scareware سادهترین نوع باج افزار است که با استفاده از تاتیکهای ترسناک و رعبآور سعی در گول زدن قربانی میکند. ممکن است به صورت آنتی ویروسهای قلابی ظاهر شوند و پیغامهایی ارایه دهند که کامپیوترتان دچار مشکلاتی شده و با پرداخت آنلاین میتوانید آن را رفع کنید.
این نوع باج افزار، نرم افزار امنیتی دغلبازی است که از طریق پشتیبانی سیستمی اقدام به شیادی میکند. شما به عنوان هدف این نرم افزار، پیغام هایی به صورت Pop up دریافت میکنید مبنی بر این که روی سیستمتان بدافزار پیدا شده و برای اینکه از شرش راحت شوید باید مبلغی بپردازید. اگر هیچ واکنشی انجام ندهید، این پیغام ها همچنان ادامه مییابند اما در عوض فایلهایتان در امان هستند.
در واقع هیچ نرم افزار امنیت سایبری بدین شکل کار نمیکند که به کاربر اصرار در انجام کاری داشته باشد. اگر از هر نوع نرم افزار امنیتی استفاده میکنید اصلا لازم نیست برای رفع آلودگی هزینهای پرداخت کنید چون قبلا هزینه نرم افزار را پرداختهاید. اگر هم که نرم افزار امنیتی ندارید پس شرکتهای مرتبط با این نرم افزارها هرگز شما را مانیتور نمیکنند تا آلودگی به باج افزار را برایتان تشخیص دهند.
در این نوع حمله چند حالت به وجود میآید:
- با پیغام های پاپ آپ و هشدارهای فراوان بمباران میشوید.
- کامپیوترتان دیگر کار نمیکند.
- صفحهای باز میشود و اعلام میکند کاربر این کامیوتر مرتکب کار غیرقانونی شده است.
در این حملات، فایلها قفل میشوند، رمزگذاری شده و و ریکاوری آنها برای کاربر فقط در برابر پرداخت وجه امکانپذیر خواهد بود. البته که حتی در صورت پرداخت، گارانتی و ضمانتی مبنی بر توانایی دسترسی کامل به سیستم و شکستن قفل باج افزار وجود ندارد.
باج افزار Screen lockers
وقتی باج افزار lock-screen به کامپیوتر شما دسترسی مییابد، یعنی کلا از کامپیوترتان بیرون شدهاید. وقتی آن را روشن میکنید، پنجرهای ظاهر میشود که معمولا لوگوی سازمانهای رسمی مانند FBI یا پلیس دارد و میگوید فعالیت غیرقانونی با سیستم خود انجام دادهاید و باید جریمه بپردازید. سازمانهای قانونی هرگز در چنین مواقعی از این روش استفاده نمیکنند و از کانالهای قانونی اقدام لازم را انجام میدهند. برخی قربانیها از ترس ممکن است این حمله را به سازمانهای قضایی اعلام نکنند.
باج افزار Encrypting
باج افزار Encrypting فایلهای شما را دزدیده و رمزگذاری میکند، درخواست پول کرده و در قبال آن فایلها را رمزگشایی و تحویل میدهد. دلیل اینکه این باج افزار خیلی خطرناک است این است که وقتی مجرم سایبری به فایلهایتان دسترسی یابد، هیچ نرم افزار امنیتی یا ریاستور کردن سیستم نمیتواند آنها را به شما برگرداند. تنها راه برای بازیابی اطلاعات باج افزار و فایلهایتان، پرداخت باج است که در این صورت باز هم هیچ گارانتی وجود ندارد.
Locker، باج افزار رمزگذاری فایل است (CryptoLocker و CTB Locker و TeslaCrypt و …) که فایلهای موجود در درایوهای لوکال، درایوهای قابل ریموو، درایوهای شبکه مپ شده، و حتی مپینگ دراپ باکس را رمزگذاری میکند. قربانیان این حمله، یا باید مبلغ درخواست شده را برای رمزگشایی فایلهایشان پرداخت کنند یا دیگر قادر به باز کردن مجدد آنها نیستند.
باج افزار Leakware یا Doxware
در این نوع حمله، مهاجم سایبری، قربانی را تهدید به پخش اطلاعات حساس او که روی هارد است میکند. چون پیدا کردن و بیرون کشیدن این اطلاعات برای هکر کار بسیار سختی است، نوع encryption ransomware رایجترین نوع است.
باج افزار Phishing Spam
یکی از رایجترین روشهای ساخت باج افزار است که در آن از طریق ایمیل و به شکل فایلی که مورد اعتماد است ظاهر میشود. وقتی این فایل دانلوذ و باز میشود، وارد کامپیوتر قربانی میشوند. با استفاده از Social Engineering – مهندسی اجتماعی کاربر را ترغیب به دادن دسترسی ادمین میکند. در نوع بدتر آن مثل NotPetya، حفرههای امنیتی برای آلوده کردن کامپیوتر ایجاد میشود و دیگر نیازی به گول زدن کاربر هم ندارد.
۱۱ راهکار مقابله با باج افزار
باج افزارها میتوانند از طریق هر منبعی که بدافزارهای دیگر (ویروسها) وارد سیستمتان میشوند، به سیستم شما نفوذ کنند. راه های نفوذ باج افزارها به سیستم شما شامل موارد زیر است:
- مشاهده و بازدید از سایتهای نامن، مشکوک یا جعلی.
- باز کردن ایمیلها و پیوستهای ایمیلها از اشخاصی که نمیشناسید یا منتظر ایمیل از آنها نیستید. حتی ممکن است این ایمیل ها در قالب شخصی باشند که میشناسید یعنی جعل هویت شده باشند.
- کلیک کردن بروی لینکهای بد یا مخرب در ایمیلها، فیس بوک، توییتر، دیگر رسانههای اجتماعی و مسنجرهایی مانند Skype.
در زیر ۱۱ راهکار برای مقابله با باج افزارها و جلوگیری و حذف باج افزار ارایه شده است:
- مهمترین راهکار در جهت جلوگیری و حذف باج افزار، داشتن برنامه روتین بکاپگیری از اطلاعات است. زمانبندی بکاپ، اطلاعات حساس شما را در برابر باج افزار حفظ میکند. حتما از امنیت فایلهای محرمانه و حساس شرکت اطمینان حاصل کنید و یک نسخه پشتیبان از آنها تهیه کنید. دقت داشته باشید که نسخههای پشتیبان را در فضاهای غیرمتصل به شبکه یا تجهیزات ذخیره سازی جانبی، نگهداری کنید. ذخیره سازی ابری یا Cloud Storage راهکار پیشنهادی خوبی است چون مجهز به رمزگذاری سطح بالا و مجوزهای دسترسی چندمرحلهای است. خریدن USB و هارد اکسترنال در موارد خانگی و کوچک گزینه مناسبی است اما مراقب باشید که بعد از بکاپگیری حتما از دستگاهتان جدا شده است وگرنه ممکن است آن هم دچار باج افزار شود. مطلب “بهترین روش های بک آپ گیری از سرور و شبکه” را حتما مطالعه کنید.
- استفاده از Snapshot – اسنپ شات. این مورد در ادامه بررسی شده است.
- سیستم و نرم افزارهای شما باید همواره آپدیت باشند. بهتر است آپدیت خودکار را فعال کنید تا در صورت فراموش کردن شما، اتواماتیک این کار انجام شود.
- باید فایروال سیستم خود را همواره روشن نگه دارید. برای آشنایی با فایروال مقاله “فایروال چیست؟ انواع فایروال سخت افزاری و نرم افزاری” را مطالعه کنید.
- نباید وارد وب سایت های مشکوک شوید.
- نرم افزار آنتی ویروس خود را حتما از شرکت معتبری تهیه کنید تا شما را در برابر جدیدترین باج افزارها حفظ کند.
- ایمیل های مشکوک را باز و فایل آنها را دانلود و باز نکنید.
- تا زمانی که دقیقاً به صفحه یا ارسال کننده پیام اطمینان ندارید روی لینکهای موجود در صفحه وب، ایمیل یا پیام چت کلیک نکنید.
- اگر از لینیکی مطمئن نیستید روی آن کلیک نکنید.
- اغلب ایمیلها و صفحات وب جعلی دارای نگارش بد و یا ظاهر غیر طبیعی هستند. مانند اشتباهات املایی و عجیب و غریب از نام شرکتها (مانند “PayePal” به جای “PayPal”)، پس در مواجه با این موارد بسیار محتاط و هوشمندانه عمل کنید.
- همواره دانش خود و کارمندانتان را ارتقا دهید. یکی از رایجترین روشهای نفوذ باج افزار استفاده از مهندسی اجتماعی است.
Snapshot، راهکار ساده مقابله با باج افزار
سادهترین روش برای مقابله با باج افزار، اطمینان از این است که همواره بکاپ هایی با Versioning داشته باشید. در ادامه به این میپردازم که چگونه با داشتن چنین بکاپ هایی میتوانید اطلاعاتتان را که روی QNAP NAS است از باج افزار حفظ کنید. این کار با ویژگی Snapshot انجام میشود.
برای اجتناب یا به حداقل رساندن خرابی ناشی از باج افزارها همیشه باید سیستمهایتان را بهروز نگه دارید همچنین باید راهکار جامع بکاپگیری با ورژنینگ را انجام داده و نگه دارید. در نهایت هم، توانایی تبدیل سریع به نسخه قبلی، اهمیت بالایی دارد.
نکتهای که باید هنگام ایجاد Volume های استوریج، حتما رعایت کنید این است که مطمئن شوید یکی از گزینههای زیر را انتخاب کرده باشید. هر دوی اینها از Snapshot پشتیبانی میکنند:
- Thick Multiple Volume
- Thin Multiple Volume
قبل از اتمام، زمان بندی Snapshot را برای استوریج به صورت هفتگی، روزانه و حتی ساعتی انجام دهید.
اگر مورد هجوم باج افزار شدید و فایلهایتان با باج افزار رمزنگاری شد، به راحتی خواهید توانست تمام Storage Volume را به وضعیت قبل از آلوده شدن به باج افزار برگردانید. حتی میتوانید هر فایلی را که میخواهید به نسخه قبل برگردد را انتخاب کنید و روی فابل رمزنگاری شده بازنویسی کنید.
چه کسانی هدف باج افزار هستند؟
تعداد قربانیان شرکتی و سازمانی توسط باج افزارها در حال افزایش است چون هکر، شانس بیشتری برای دریافت باج از سازمانها دارد مثلا دانشگاهها. دانشگاهها معمولا تیم امنیتی ضعیفی دارند و داشتن کاربران مختلفی که فایل به اشتراک میگذارند باعث میشود نفوذ به آنها راحتتر باشد. یا مثلا سازمانهای دولتی و مراکز درمانی سریعا باج را پرداخت خواهند کرد چون باید به فایلهایشان دسترسی لحظهای داشته باشند. سازمانهای قانونی و دیگر سازمانهایی که اطلاعات حساس دارند هم با پرداخت باج مانع از انتشار اخبار میشوند. این سازمانها مستعد حملات نوع leakware هستند.
کشورهای بریتانیا، امریکا و کانادا به ترتیب بیشترین قربانیان حملات باج افزار هستند. از آنجایی که آسیا و امریکای جنوبی دارای اقتصاد در حال رشد است تصور میشود میزان آلودگی به باج افزار هم بیشتر شود. دلیلش این است که ساخت باج افزار و آلودگی به آن در مناطقی که هم از کامپیوتر بیشتر استفاده میکنند و هم اقتصاد خوبی هست انجام میشود.
معمولاً، مهاجمان به طور خاص یک قربانی را مورد تحقیق و هدف قرار میدهند (مشابه whale-phishing یا pear-phishing که در واقع یک تکنیک مورد استفاده در دسترسی به شبکه است).
در بسیار از حملات فایلهای حساس رمزگذاری شده، و مقدار پول زیادی برای بازیابی فایلها و اطلاعات باج افزار، درخواست میشود. به طور معمول، مهاجمان لیستی از پسوند فایلها یا مسیر فولدرهایی که هدف باج افزارها برای رمزگذاری است را در اختیار دارند. با توجه به رمزگذاری فایلها، بازیایی فایلها بصورت مهندسی معکوس و بدون در دست داشتن کلید رمزنگاری اصلی ناممکن است.
اقدامات لازم بعد از آلودگی به باج افزار
حالا آمدیم و به باج افزار آلوده شدیم. چکار کنیم؟
قانون اول این است که در صورت آلودگی به باج افزار هیچ پرداختی انجام ندهیم. این کار باعث میشود مهاجم به انجام جرایم سایبری بیشتر روی شما یا دیگران ترغیب شود. ممکن است بتوانید با رمزگشاهای رایگان بخشی از فایلهای رمزگذاری شده باج افزار را بازیابی کنید.
پس از حمله باج افزار، بازیابی اطلاعات باج افزار کار دشواری خواهد بود خصوصاً اگر به باج افزار Encryption آلوده شده باشد. چون در بسیاری موارد باج افزار از الگوریتم های پیشرفته و پیچیده استفاده میکند ممکن است هنوز رمزگشاهای آنها ارایه نشده باشد. حتی اگر رمزگشایی وجود داشته باشد مشخص نیست که نسخه مناسبی با بدافزار را پوشش دهد پس نباید از رمزگشای اشتباه استفاده کنیم.
بهتر است قبل از هر اقدامی به پیغام باج افزار دقت بیشتری کنید و از متخصصین امنیت و IT استفاده کنید.
در برخی موارد، ابزارهای جانبی توسط شرکتهای امنیتی معرفی میشوند که میتوانند فایلهای رمزگذاری شده توسط برخی باج افزارهای خاص را رمزگشایی کنند. یکی از راههای مقابله با آلودگی باج افزاری دانلود محصول امنیتی با نام remediation است. آن را اجرا کنید تا اسکن و حذف خطر شروع شود. ممکن است که فایلهایتان را به دست نیاورید اما حداقل مطمئن هستید که دیگر به باج افزار آلوده نیستید. مثلا در مورد screenlocking با ری استور کردن کل سیستم میتوانید مشکل را حل کنید و اگر این کار جواب نداد، اجرای اسکن را از cd یا یو اس بی bootable انجام دهید.
اگر میخواهید به باج افزار پاتک بزنید باید همواره آگاه باشید. بلافاصله وقتی دیدید سیستمتان بدون دلیل کند شده فورا آن را خاموش کرده و از اینترنت جدا کنید. اگر دوباره آن را روشن کردید و بدافزار همچنان فعال باشد، شما راه ارسال و دریافت از سرور کنترل را قطع کردهاید. در نتیجه بدون پرداخت باج و نیاز به کلید رمزگشا، بدافزار به صورت انتظار و idle درمیآید. سپس با دانلود و نصب محصول امنیتی و اجرای اسکن کامل، از شر بدافزار خلاص میشوید.
مشاهده و بازدید از سایتهای نامن، مشکوک یا جعلی.
باز کردن ایمیلها و پیوستهای ایمیلها از اشخاصی که نمیشناسید یا منتظر ایمیل از آنها نیستید. حتی ممکن است این ایمیل ها در قالب شخصی باشند که میشناسید یعنی جعل هویت شده باشند.
کلیک کردن بروی لینکهای بد یا مخرب در ایمیلها، فیس بوک، توییتر، دیگر رسانههای اجتماعی و مسنجرهایی مانند Skype.”
}
},{
“@type”: “Question”,
“name”: “Snapshot، راهکار ساده مقابله با باج افزار”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “سادهترین روش برای مقابله با باج افزار، اطمینان از این است که همواره بکاپ هایی با Versioning داشته باشید. در ادامه به این میپردازم که چگونه با داشتن چنین بکاپ هایی میتوانید اطلاعاتتان را که روی QNAP NAS است از باج افزار حفظ کنید. این کار با ویژگی Snapshot انجام میشود.”
}
},{
“@type”: “Question”,
“name”: “چه کسانی هدف باج افزار هستند؟”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “تعداد قربانیان شرکتی و سازمانی توسط باج افزارها در حال افزایش است چون هکر، شانس بیشتری برای دریافت باج از سازمانها دارد مثلا دانشگاهها. دانشگاهها معمولا تیم امنیتی ضعیفی دارند و داشتن کاربران مختلفی که فایل به اشتراک میگذارند باعث میشود نفوذ به آنها راحتتر باشد. یا مثلا سازمانهای دولتی و مراکز درمانی سریعا باج را پرداخت خواهند کرد چون باید به فایلهایشان دسترسی لحظهای داشته باشند. سازمانهای قانونی و دیگر سازمانهایی که اطلاعات حساس دارند هم با پرداخت باج مانع از انتشار اخبار میشوند. این سازمانها مستعد حملات نوع leakware هستند.”
}
},{
“@type”: “Question”,
“name”: “اقدامات لازم بعد از آلودگی به باج افزار”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “حالا آمدیم و به باج افزار آلوده شدیم. چکار کنیم؟
قانون اول این است که در صورت آلودگی به باج افزار هیچ پرداختی انجام ندهیم. این کار باعث میشود مهاجم به انجام جرایم سایبری بیشتر روی شما یا دیگران ترغیب شود. ممکن است بتوانید با رمزگشاهای رایگان بخشی از فایلهای رمزگذاری شده باج افزار را بازیابی کنید.”
}
}]
}