باج افزار و راه های مقابله با آن

باج افزار یک نرم افزار مخرب پیچیده است که دسترسی کاربر کامپیوتر به فایلهای حساس و مهم خود را مسدود و در ازای باز کردن این فایلهای مسدود شده درخواست پول می کند. باج افزار پس از اجرا در کامپیوتر اقدام به شناسایی فایلهای مهم و حساس کرده و با الگوریتم های رمزنگاری پیشرفته آنها را رمزگذاری می کند. سپس از کاربر تقاضای پرداخت در ازای کلیدی کرده که می تواند محتوای مسدود شده را رمزگشایی کند. از باج افزارها میتوان به CryptoLocker, Locky, CrytpoWall اشاره کرد.

باج افزارها به دو طریق عمل میکنند:

 

  • روش اول و معمول همان است که در مقدمه به آن اشاره شد. رمزگذاری فایلهای مهم و حساس کاربر با رمزنگاری پیشرفته و درخواست پرداخت پول از کاربر در ازای رفع مسدودیت و بازکردن دوباره فایلها.
  • روش دوم از طریق قفل سیستم عامل قربانی و ممانعت از بوت شدن کامل سیستم عامل و عدم دسترسی به دسکتاپ کامپیوتر و کلیه برنامه های و فایلها. از باج افزارهای این دسته می توان به police-themed ransomware یا Winlocker اشاره کرد.

برخی از ویژگیهایی که باج افزارها را از دیگر نرم افزارهای مخرب مجزا می کند:

 

  • از ویژگی های آن رمزگذاری نشکن است، که بدان معنی است که شما نمی توانید فایل ها را رمزگشایی کنید (ابزار رمزگشایی های مختلف منتشر شده ای توسط محققان امنیت سایبری وجود دارد که نیاز به دانش فنی الزامی می باشد).
  • توانایی به رمزگذاری انواع فایلها، از اسناد گرفته تا تصاویر، فیلم ها، فایل های صوتی و چیزهای دیگر که ممکن است شما را بر روی کامپیوتر خود داشته باشید.
  • عدم تغییر نام فایلها، بنابراین شما نمی توانید مطمئن شوید که کدام فایلها تحت تاثیر قرار گرفته اند. این یکی از ترفندهای مهندسی اجتماعی است که قربانیان رامجبور به پرداخت باج می کند.
  • اضافه کردن فرمتهای مختلف به فایل برای هدفمند کردن فعالیت باج افزار و فشار بیشتر جهت پرداخت باج.
  • نمایش یک تصویر و یا یک پیام که به کاربر اطلاع می دهد که اطلاعاتش رمزگذاری شده است و مجبور به پرداخت مبلغی پول جهت بازگرداندن آنها به حالت قبل است.
  • درخواست پرداخت Bitcoins، زیرا این روش (ارز رمزگذاری شده) قابل پیگیری توسط سازمانهای امنیت سایبری نمیباشد.
  • محدود بودن زمان پرداخت باج از ویژگی بارز باج افزارهاست. آنها از این روش برای فشار روانی بیشتر روی کاربر استفاده می کنند زیرا اگر پرداخت باج در موعد مقرر انجام نگیرد کلیه اطلاعات رمزگذاری شده برای همیشه از بین خواهد رفت.
  • استفاده از تکنیک های فرار و عدم شناسایی توسط آنتی ویروسهایی که روی سیستم نصب شده اند.
  • استفاده از کامپیوتر های شخصی آلوده به  botnets برای حمله به زیرساختها و گسترش آنها در آینده.
  • گسترش از طریق کامپیوترهای شخصی متصل در یک شبکه محلی و انتقال به دیگر سیستمها.
  • باجافزارها می توانند داده ها (نام های کاربری، کلمات عبور، آدرس ایمیل، و غیره) را از کامپیوتر آسیب دیده استخراج و آنها را به سرورهایی که توسط مجرمان اینترنتی کنترل می شوند منتقل کنند.
  • گاهی اوقات باج افزارها با مشخص کردن هدف خود بر مبنای موقعیت جغرافیایی، درخواست خود را به زبان رایج منطقه جغرافیایی کاربر تنظیم کرده و به این ترتیب شانس خود را برای دریافت باج بالا میبرند. پس اگر درخواست دریافت باج به زبان فارسی دریافت کردید الزاما به این معنی نیست که باجگیر در ایران مستقر است.

 منبع تصویر : CERT-RO


چرا سازندگان و توزیع کنندگان باج افزارها کاربران خانگی را هدف قرار می دهند؟

 

  • کاربران خانگی معمولا نسخه بکآپ یا پشتیبان از اطلاعات سیستم خود ندارند.
  • بعلت دانش کم در زمینه امنیت سایبری و اینترنت کاربران خانگی تقریبا بروی هر لینکی کلیک می کنند.
  • عدم آگاهی ایمنی آنلاین باعث می شود کاربران خانگی مورد حمله مهاجمان سایبری قرار بگیرند.
  • فقدان حفاظت سایبری حتی در سطوح پایه
  • عدم بروزرسانی نرم افزارها و سیستم عامل
  • هزینه کم برای راه حل های امنیت سایبری
  • تکیه بر شانس بجای استفاده از توصیه ها و راه حل های امنیت سایبری آنلاین
  •  اکثر کاربران خانگی هنوز هم فکر می کنند آنتی ویروس نصب شده روی سیستم برای حفاظت از آنها در برابر همه تهدیدات کافی است. این در صورتی است که اغلب آنتی ویروسها برای تشخیص و توقف باج افزارها بی اثر می باشند.
  • از آنجا که حجم گسترده کاربران اینترنت که می توانند قربانیان بالقوه باشند کاربران کامپیوترهای خانگی هستند. (کامپیوترهای شخصی آلوده بیشتر = پول بیشتر)

چرا سازندگان و توزیع کنندگان باج افزارها کاربران سازمانی و شبکه را هدف قرار می دهند؟

 

  • منابع مالی زیاد
  • مهاجمان می دانند که باج افزار می تواند باعث اختلالات در کسب و کارهای بزرگ شده و همین امر باعث بالا رفتن شانس موفقیت دریافت پول شود.
  • از آنجا که سیستم های کامپیوتری در شرکتها اغلب پیچیده و مستعد ابتلا به آسیب پذیری هستند که می تواند از طریق ابزارهای فنی مورد سوء استفاده قرار بگیرند.
  • عامل انسانی هنوز هم عامل بزرگی است که می تواند از طریق تاکتیک مهندسی اجتماعی مورد سوء استفاده قرار گیرد.
  • باج افزار می تواند نه تنها روی کامپیوتر، بلکه سرور و سیستم های به اشتراک گذاری فایل مبتنی بر ابر نیز تاثیر گذاشته و عمق کسب و کار یک سازمان را هدف بگیرد.
  •  مجرمان اینترنتی می دانند که مسئولین سازمانهای هدف ترجیح می دهند که حملات باج افزار را بعلت ترس از عواقب قانونی و یا اعتبار خود گزارش ندهند.
  • کسب و کارها یا سازمانها و شرکتهای کوچک اغلب آمادگی برای مقابله با حملات سایبری پیشرفته باج افزارها را ندارند.

چرا سازندگان و توزیع کنندگان باج افزارها کاربران نهادهای عمومی را هدف قرار می دهند؟

 

  • نهادهای دولتی، مانند سازمان های دولتی، پایگاه های داده بزرگ، مملو از اطلاعات شخصی و محرمانه کاربران و مردم است که مجرمان اینترنتی می توانید آنها را بفروشند.
  • این نهادها غالب اوقات فاقد دفاع سایبری مناسب هستند که بتواند آنها را در برابر باج افزار محافظت کند.
  • عدم آموزش کارکنان و آموزش چگونگیجلوگیری از حملات سایبری (باج افزار اغلب از اهرم ضعف عامل انسانی سوء استفاده میکند.)
  • موسسات دولتی اغلب از نرم افزار ها و تجهیزات قدیمی و تاریخ مصرف گذشته استفاده میکنند که هیچ گونه خدمات فنی و امنیتی ندارند، این بدان معنی است که سیستم های کامپیوتری با حفره های امنیتی بالا مورد استفاده قرار می گیرد.
  • باج افزارها یک تاثیر بزرگ در انجام فعالیت های معمول میگذارند که باعث اختلالی بزرگ در کل مجموعه می گردد.
  • موفقیت حمله به نهادهای عمومی بزرگ باعث غرور مجرمان اینترنتی می شود. آنها ممکن است پول را بالاتر از همه چیز بخواهند اما آنها همیشه بدنبال استحکام بخشی به موقعیت خود جهت حمله به اهداف بزرگتر میگردند.

روشهای معمول مورد استفاده توسط مجرمان سایبری برای گسترش باج افزارها

 

  • ایمیل ( هرزنامه ) که حاوی لینک یا پیوست های مخرب هستند.
  • حفره های امنیتی در نرم افزارهای آسیب پذیر
  • هدایت ترافیک اینترنت به سمت وب سایتهای جعلی و مخرب
  • وب سایتهای سالم که محتوای آنها به کدهای مخرب آلوده شده است.
  • دانلودهای مخرب
  • پیامهای کوتاه در تلفنهای همراه ( هدف دستگاه های تلفن همراه )
  • بات نتهای زامبی
  • انتشار توسط کاربر (گسترش از یک کامپیوتر آلوده را به دیگری)
  • طرح های وابسته در باج افزار به عنوان یک سرویس (درآمد یک سهم از سود از طریق کمک به گسترش بیشتر باج افزار).

چگونه حملات باج افزارها اتفاق می افتد؟

 

هر چند چگونگی نفوذ باج افزارها متفاوت می باشد اما مراحل کلیدی نفوذ باج افزارها به شرح زیر می باشد:

 

۱- در ابتدا، قربانی ایمیلی که شامل یک لینک مخرب یا پیوست نرم افزارهای مخرب هست را دریافت می کند. روش دیگر، این نفوذ می تواند از یک وب سایت مخرب باشد که وظیفه ایجاد یک backdoor یا حفره امنیتی با استفاده از یک نرم افزار آسیب پذیر ( مانند Flash , Adobe Reader و...) برای ورود باج افزار را دارد.

۲- اگر کاربر قربانی بر روی لینک کلیک کرده و یا فایل ضمیمه ایمیل را دانلود و سپس باز کند، محموله در کامپیوتر آسیب دیده قرار می گیرد.

۳- دانلودر سیستم با اتصال به سروری که تحت کنترل مجرمان سایبری است اقدام به دانلود باج افزار و ذخیره آن در سیستم می نماید.

۴- پس از این باج افزار نفوذ کرده درخواستی مبنی بر ارسال اطلاعات از کامپیوتر کاربر به سمت سرور دریافت می کند.

۵- باج افزار کار خود را با به رمز در آوردن کل محتوای هارد دیسک، فایل های شخصی و اطلاعات حساس شروع کرده و همه چیز، از جمله داده های ذخیره شده در حساب های ابر (گوگل درایو، دراپ باکس) که در کامپیوتر همگام سازی شده اند و دسترسی به آنها باز می باشد را رمزگذاری و قفل میکند. همچنین می تواند داده ها را در کامپیوتر های دیگر متصل در شبکه محلی را رمزبندی کند.

۶- سپس هشداری بر روی صفحه نمایش ظاهر میشود که حاوی دستورالعمل در مورد چگونگی پرداخت برای دریافت کلید رمزگشایی است.

همه چیز در کمتر از چند ثانیه اتفاق می افتد، به طوری که قربانیان کاملا بهت زده در پی بازگرداندن شرایط پیشین هستند و مدام با خود میگویند من روی سیستم خود آنتی ویروس نصب داشته ام.

چرا باج افزارها اغلب توسط آنتی ویروسها شناسایی نمی شوند؟ 

 

تاکتیک فرار باج افزار، مجموعه ای از روش های فنی که تضمین می کند عملیات رمزگذاری توسط آنتی ویروسها و محققان امنیت سایبری کشف نشده و قابل تعقیب توسط سازمانهای اجرای قانون نباشد. در اینجا تنها تعداد کمی از تاکتیک های مجرمان سایبری که برای پنهان باقی ماندن و حفظ گمنامی سازندگان و توزیع کنندگان باج افزار است را ذکر می کنیم:

۱- ارتباط با سرور کنترل و فرماندهی رمزگذاری شده است و تشخیص آن در ترافیک شبکه بسیار مشکل است.

۲- استفاده از واحد پولی Bitcoin که قابل ردیابی توسط سازمان های اجرای قانون نیست.

۳- استفاده از مکانیزم ضد sandboxing ( مقابله با محیط مجازی ایجاد شده آنتی ویروسها جهت بررسی رفتار بد افزارها ) بطوریکه آنتی ویروس توان تشخیص آنها را نداشته باشد.

۴- ایجاد دامنه سایه برای پنهان کردن ارتباط بین دانلود (محموله) و سروری (محل صدور باج افزار)  که توسط مجرمان اینترنتی کنترل می شود.

۵- جلوگیری از شناسایی آدرس IP سرور میزبان یکی دیگر از روش مورد استفاده برای حفظ منبع انتشار باج افزار

۶- گسترش محموله های رمزگذاری شده شامل نرم افزارهای مخرب که شناسایی را برای آنتی ویروس مشکل می کند.

۷- سرعت توانایی باج افزار در تولید نوع جدید با همان عملکرد پیشین

۸- توانایی مخفی ماندن، باج افزار می تواند بصورت غیر فعال بر روی سیستم باشد تا زمانی که کامپیوتر در آسیبپذیرترین شکل ممکن قرار بگیرد. این روش برای حمله به سریع و موثر بکار می رود.


 بدنامترین باج افزارها !

 

Reveton

سال انتشار ۲۰۱۲ - استفاده از حفره امنیتی نسخه قدیمی جاوا 

CryptoLocker

سال انتشار ۲۰۱۳ - رمزگذاری نشکن کلیه فایلها شامل فیلم، عکس، متن، دیتاو...

 CryptoWall 

سال انتشار ۲۰۱۵ - تمرکز حملات برای کسب و کار، موسسات مالی، سازمان های دولتی، موسسات دانشگاهی، و دیگر سازمان ها و در نتیجه از دست دادن اطلاعات حساس و اختصاصی

 

CTB Locker

یکی از آخرین مدل های باج افزار CryptoLocker است، اما در یک سطح کاملا متفاوت از پیچیدگی

شما چه فکر میکنید CTB مخفف چیست؟

C از Curve، که اشاره به تداوم رمزنگاری منحنی بیضوی آن که کد فایل های آسیب دیده با یک کلید RSA منحصر به فرد می آید.
T از TOR، استفاده از شبکه P2P معروف برای پنهان کردن فعالیت مجرمان سایبری از سازمان های اجرای قانون؛
B  از Bitcoin، روش پرداخت مورد استفاده توسط قربانیان به پرداخت باج،طراحی شده برای پنهان کردن مکان مهاجمان.

TorrentLocker

TeslaCrypt

تمرکز خاص بر مخاطبین خاص، شامل کاربرانی که علاقه به بازیهای کامپیوتری دارند بازیهایی همانند Call of Duty, World of Warcraft, Minecraft and World of Tanks

با بهره برداری از آسیب پذیری به طور عمده در ادوبی فلش

حال که به تعدادی از بدنام ترین باج افزارها اشاره کردیم در ادامه راه هایی را در جهت در امان ماندن از باج افزارها پیشنهاد می کنیم.


۱۵ پیشنهاد برای حفاظت در مقابل باج افزارها

 

۱- عدم نگهداری اطلاعات مهم و حیاطی بروی کامپیوتر

۲- تهیه ۲ نسخه پشتیبان از اطلاعات خود یکی روی سی دی و یا دی وی دی ذخیره گردد و یکی بروی فضای ابری از قبیل دراپ باکس یا گوگل درایو ( هرگز نسخه پشتیبان از اطلاعات خود را روی کامپیوتر نگه ندارید.)

۳- از نرم افزارهای همگام ساز حسابهای گوگل درایو یا دراپ باکس روی سیستم استفاده نکنید زیرا ورودی این نرم افزارهای به حساب کاربریتان همیشه باز بوده و خطر نفوذ باج افزار به آن حسابها را افزایش میدهد. برای استفاده از این سرویسها فقط از مرورگر امن استفاده کرده و هرکز اطلاعات کاربری را بروی مرورگر ذخیره نکنید.

۴- از آخرین به روز رسانی های امنیتی برای سیستم عامل و مرورگرهای اینترنتی حتما استفاده کنید و آنها را همیشه بروز نگه دارید.

۵- برای استفاده روزانه از سیستم عامل از حساب کاربری ادمین استفاده نکنید و یک کاربر جدید با دسترسی استاندارد تعریف کرده و هنگامی که آنلاین ار اینترنت استفاده میکنید از طریق آن وارد سیستم شوید.

۶- غیر فعال کردن افزونه های مجموعه مایکروسافت در مرورگرها

۷- غیرفعال کردن پلاگینهای Adobe Flash, Adobe Reader, Java ,Silverlight از مرورگر و فعال کردن آنها در مواقع لزوم

۸- تنظیمات امنیتی و حریم خصوصی مرورگرها برای افزایش حفاظت

۹- پاک کردن پلاگین های قدیمی و منسوخ شده از مرورگرها

۱۰- استفاده از یک مسدود کننده آگهی برای جلوگیری از تهدیدات تبلیغات به طور بالقوه مخرب در مرورگر

۱۱- باز نکردن ایمیلهای اسپم از فرستندگان ناشناس

۱۲- هرگز فایلهای ضمیمه ایمیل های اسپم و یا ایمیل های مشکوک را ذخیره و باز نکنید.

۱۳- هرگز بروی لینک ها در ایمیل های اسپم یا ایمیل های مشکوک کلیک کنید.

۱۴- استفاده از یک آنتی ویروس اورجینال با قابلیت بروزرسانی خودکار مجهز به فایروال

۱۵- استفاده از یک راه حل امنیتی جهت کنترل ترافیک اطلاعات ورودی و خروجی


به دست آوردن اطلاعات رمزگذاری شده بدون پرداخت باج

 

محققان امنیت سایبری موفق به شکستن رمزنگاری برخی از فایلهای رمزگذاری شده توسط باج افزارها شده اند. متاسفانه، بدنام ترین خانواده ثابت کرده اند که هنوز در مقابل این راه حلها مقاوم هستند. با وجود این، فایلهای رمزگذاری شده توسط بسیاری از گونه های cryptoware توسط متخصصان باز شده است.

استفاده از ابزار رمزگشایی 

 

برای کمک به شما در پیدا کردن یک راه حل برای بازیابی اطلاعات خود را بدون پرداخت پول به باجگیرنده ها ما یک لیست قابل توجه از ابزار رمزگشایی باج افزار در اختیار شما گذاشته ایم که میتوانید از آنها استفاده کنید.

.777 ransomware decrypting tool
7even-HONE$T decrypting tool
.8lock8 ransomware decrypting tool + explanations
7ev3n decrypting tool
Agent.iih decrypting tool (decrypted by the Rakhni Decryptor)
Alma decrypting tool
Al-Namrood decrypting tool
Alpha decrypting tool
AlphaLocker decrypting tool
Apocalypse decrypting tool
ApocalypseVM decrypting tool + alternative
Aura decrypting tool (decrypted by the Rakhni Decryptor)
AutoIt decrypting tool (decrypted by the Rannoh Decryptor)
Autolocky decrypting tool
Badblock decrypting tool + alternative 1
Bart decrypting tool
BitCryptor decrypting tool
BitStak decrypting tool
Chimera decrypting tool + alternative 1 + alternative 2
CoinVault decrypting tool
Cryaki decrypting tool (decrypted by the Rannoh Decryptor)
Crybola decrypting tool (decrypted by the Rannoh Decryptor)
CrypBoss decrypting tool
Crypren decrypting tool
Crypt38 decrypting tool
Crypt888 (see also Mircop) decrypting tool
CryptInfinite decrypting tool
CryptoDefense decrypting tool
CryptoHost (a.k.a. Manamecrypt) decrypting tool
Cryptokluchen decrypting tool (decrypted by the Rakhni Decryptor)
CryptoTorLocker decrypting tool
CryptXXX decrypting tool
CTB-Locker Web decrypting tool
CuteRansomware decrypting tool
DeCrypt Protect decrypting tool
Democry decrypting tool (decrypted by the Rakhni Decryptor)
DMA Locker decrypting tool + DMA2 Locker decoding tool
Fabiansomware decrypting tool
FenixLocker – decrypting tool
Fury decrypting tool (decrypted by the Rannoh Decryptor)
GhostCrypt decrypting tool
Globe / Purge decrypting tool + alternative
Gomasom decrypting tool
Harasom decrypting tool
HydraCrypt decrypting tool
Jigsaw/CryptoHit decrypting tool + alternative
KeRanger decrypting tool
KeyBTC decrypting tool
KimcilWare decrypting tool
Lamer decrypting tool (decrypted by the Rakhni Decryptor)
LeChiffre decrypting tool + alternative
Legion decrypting tool
Linux.Encoder decrypting tool
Lock Screen ransomware decrypting tool
Locker decrypting tool
Lortok decrypting tool (decrypted by the Rakhni Decryptor)
Manamecrypt decrypting tool (a.k.a. CryptoHost)
Mircop decrypting tool + alternative
Nanolocker decrypting tool
Nemucod decrypting tool + alternative
ODCODC decrypting tool
Operation Global III Ransomware decrypting tool
PClock decrypting tool
Petya decrypting tool
Philadelphia decrypting tool
PizzaCrypts decrypting tool
Pletor decrypting tool (decrypted by the Rakhni Decryptor)
Pompous decrypting tool
PowerWare / PoshCoder decrypting tool
Radamant decrypting tool
Rakhni decrypting tool
Rannoh decrypting tool
Rector decrypting tool
Rotor decrypting tool (decrypted by the Rakhni Decryptor)
Scraper decrypting tool
Shade decrypting tool
SNSLocker decrypting tool
Stampado decrypting tool + alternative
SZFlocker decrypting tool
TeslaCrypt decrypting tool + alternative 1 + alternative 2
TorrentLocker decrypting tool
Umbrecrypt decrypting tool
Wildfire decrypting tool
XORBAT decrypting tool
XORIST decrypting tool + alternative


 دنیای دیجیتال امنی برای شما آرزومندیم 

درباره ما

گروه مگنت کامپیوتر یک مجموعه تخصصی عرضه کننده محصولات نرم افزار و سخت افزار در ایران میباشد که با بهره گیری از توان فنی بالا تمامی محصولات عرضه شده خود را تا اتمام زمان گارانتی پشتیبانی کرده و پس از آن نیز کاربران خود را تنها نمیگذارد.

تماس با ما

آدرس:تهران ، فلکه دوم صادقیه ، برج مینا
تلفن مستقیم : ۴۴۰۹۳۷۲۸ - ۰۲۱
فروش : ۰۹۳۰۳۳۳۴۰۵۵
پشتیبانی فنی : ۰۹۱۹۰۰۳۵۰۶۳