باج افزار Bucbi یکی از انواع باج افزار است که با پیشرفت فناوری و استفاده گسترده از اینترنت، حفظ امنیت اطلاعات در مقابل حملات سایبری امری بسیار حائز اهمیت شده است. نرم افزارهای مخرب و مخصوصاً برنامههای باج افزار، به عنوان یکی از تهدیدات عمده در حوزه امنیت سایبری شناخته میشوند. در این مقاله، با نرم افزار باج افزار Bucbi آشنا خواهیم شد و درک بهتری از اهمیت آن در حفاظت از اطلاعات خواهیم داشت.
۱. باج افزار Bucbi چیست و عملکرد آن به چه صورت است؟
۱.۱ تعریف باج افزار
باج افزارها یک نوع نرم افزار مخرب هستند که از طریق رمزگذاری فایلها یا محدود کردن دسترسی به سیستم، از کار انداختن آن را ایجاد میکنند. بعد از آن، قربانی برای بازگرداندن دسترسی یا اطلاعات خود مجبور به پرداخت یک مبلغ از قبیل بیت کوین میشود.
۱.۲ باج افزار Bucbi
باج افزار Bucbi یکی از مخربترین و پرطرفدارترین نرم افزارهای باج افزار است. این نرم افزار مخرب ابتدا با نفوذ به سیستم هدف، فایلهای مختلف را رمزگذاری میکند و سپس تقاضای پرداخت باج را نمایش میدهد. تلاش برای بازیابی اطلاعات بدون پرداخت مبلغ مشخصی، ممکن است باعث از دست رفتن دادههای مهم و ارزشمند شود.
باج افزار Bucbi به عنوان یک تهدید جدی در حوزه امنیت سایبری شناخته میشود. وقتی این نرم افزار مخرب وارد یک سیستم میشود، میتواند تمامی فایلها را رمزگذاری کند و از کار انداختن سیستم را ممکن سازد. این موضوع میتواند منجر به آسیب جدی به سازمانها و فردی شود که در معرض این تهدید قرار گیرند.
۲.۲ از دست دادن اطلاعات مهم
با پرداخت باج، فرد مورد حمله قادر به بازیابی فایلهای خود میشود؛ اما در صورتی که این مبلغ پرداخت نشود، اطلاعات مهم و ارزشمندی که در فایلها قرار دارند از بین خواهد رفت. این مسئله برای شرکتها و فردانی که از اطلاعات حساس استفاده میکنند، بسیار خطرناک است.
۳. راهکارهای مقابله با باج افزار Bucbi
۳.۱ بروزرسانی نرم افزارها
بروزرسانی نرم افزارها و سیستم عامل به آخرین نسخهها، از جمله راهکارهای مهم در مقابله با باج افزار Bucbi است. بروزرسانیها عموماً شامل بهبودهای امنیتی میشوند که میتوانند از نفوذ این نرم افزار جلوگیری کنند.
۳.۲ پشتیبانگیری منظم
برای جلوگیری از از دست دادن اطلاعات در صورت حمله باج افزار Bucbi، باید بر روی پشتیبانگیری منظم از داده
ها تأکید کرد. به این ترتیب، در صورت لزوم، میتوان از نسخههای پشتیبان فایلها استفاده کرد و از از دست رفتن اطلاعات جلوگیری کرد.
۴. نتیجهگیری
باج افزار Bucbi به عنوان یک نرم افزار مخرب قدرتمند، تهدید جدیای در حوزه امنیت سایبری است. در این مقاله، با مفهوم باج افزار و عملکرد نرم افزار Bucbi آشنا شدیم و همچنین خطرات و اثرات آسیبرسان آن را مورد بررسی قرار دادیم. همچنین، راهکارهایی را برای مقابله با این تهدید ارائه دادیم. حفظ امنیت اطلاعات از اهمیت بسیاری برخوردار است و برای جلوگیری از وقوع حملات باج افزاری مانند Bucbi، باید از راهکارهای مؤثر و قابل اعتماد استفاده کرد. این باج افزار برای سازمانها و افرادی که به اطلاعات حساس دسترسی دارند، تهدید جدیای محسوب میشود. برای حفاظت از اطلاعات خود، باید از راهکارهای امنیتی مناسبی مانند بروزرسانی نرم افزارها و پشتیبان استفاده کرد.
پرسشهای متداول
پرسش ۱: آیا باج افزار Bucbi فقط بر روی سیستمهای ویندوز اثر میگذارد؟
پاسخ: خیر، باج افزار Bucbi قابلیت تأثیرگذاری بر روی سیستمهای عامل مختلف از جمله ویندوز، مک، و لینوکس را دارد.
پرسش ۲: آیا پرداخت باج تضمین بازیابی فایلها را به معنایی حتمی دارد؟
پاسخ: هرچند با پرداخت باج میتوانید دسترسی به فایلهای خود را بازیابی کنید، اما هیچ تضمینی وجود ندارد که پس از پرداخت باج، اطلاعات شما بدون تغییر بازگردانده شود.
پرسش ۳: آیا نصب یک نرم افزار ضد ویروس میتواند از نفوذ باج افزار Bucbi جلوگیری کند؟
پاسخ: نصب یک نرم افزار ضد ویروس میتواند به طور قابل توجهی امنیت سیستم را تقویت کند، اما برای مقابله با باج افزار Bucbi، باید از روشهای دیگری همچون بروزرسانی نرم افزارها و پشتیبانگیری منظم نیز استفاده کرد.
پرسش ۴: آیا قربانیان باج افزار Bucbi میتوانند با اطلاعات دیگری به غیر از بیت کوین برای پرداخت باج مواجه شوند؟
پاسخ: به طور کلی، باج افزارها از پرداخت با بیت کوین برای سادگی و ردیابی دشوارتر مبالغ استفاده میکنند. بنابراین، در بسیاری از موارد، پرداخت باج با استفاده از بیت کوین درخواست میشود.
پرسش ۵: چه تدابیری باید در صورت آلوده شدن سیستم به باج افزار Bucbi اتخاذ کرد؟
پاسخ: در صورت آلوده شدن سیستم به باج افزار Bucbi، اهمیت دارد که فوراً به یک تکنسین حرفهای مراجعه کنید. آنها میتوانند با استفاده از ابزارها و تکنیکهای مختلف، تلاش کنند تا فایلهای رمزگذاری شده را بازیابی کنند و به حل مشکل کمک کنند.
ویروس باج افزار یا باج گیر (ransomware) نوعی از بدافزارها هستند که کارشان حمله به سیستمهای مختلفی مانند کامپیوتر، لپتاپ، موبایل و… است که باعث از بین رفتن دسترسی کاربر به اطلاعاتش از طریق “رمزگذاری دادههای” او میشوند و برای اجازهی دسترسی دوباره باج میخواهند. باجافزار Locky یکی دیگر از خطرناکترین انواع باجافزار است. نوعی حمله سایبری است که با استفاده از بدافزارها دسترسی به یک سیستم رایانهای یا فایلهای موجود در آن را تا زمان پرداخت باج مسدود کند.
باج افزار locky (لاکی) چیست؟
باج افزار Locky یکی از انواع بدافزار است که به رمزگذاری فایلهای مهم رایانه شما میپردازد و آنها را غیر قابل دسترس میکند. این باج افزار اطلاعات قربانیان را به گروگان میگیرد و در ازای بازگشت فایلها از آنها باج میخواهد.
باج افزار Locky یکی از بدترین انواع باج افزاری است که در حال حاظر به دیتابیسهای شرکتی و کسب و کارها حمله میکند. یکی از ویژگیهای متمایز کننده این باج افزار عملکرد آن در حالت آفلاین است و این ویژگی از او در مقابل مراجع قانونی و بسیاری از آنتی ویروسهای آنلاین محافظت میکند.
روش رمزگذاری باج افزار Locky
این باج افزار بعد از اینکه فایلها را رمزگذاری کرد، فایل HELPinstructions.html را در هر پوشه که حاوی فایلهای رمزگذاری شده است را ایجاد میکند و همچنین تصویر دسکتاپ را نیز تغییر میدهد.
در اینجا فایل متنی و تصویر زمینه حاوی پیام یکسانی هستند که کاربران را از رمزگذاری مطلع میکنند و از طریق آن به قربانیان گفته میشود که فایلها در صورتی باز میشوند یا دوباره در دسترس قرار میگیرند که یا از یک decrypter پیشرفته استفاده شود و یا توسط مجرمان و با پرداخت هزینه تقریبا 0.5 بیتکوین رمزگشایی شود.(که این رقم درطول زمان دائما در حال تغییر است).
اما این نکته را باید در نظر گرفت که در حال حاضر، هیچ ابزاری خاصی وجود ندارد که بتواند به رمزگشایی فایلهای آسیب دیده توسط این باج افزار بپردازد و تنها راه حل موجود برای این مشکل این است که از یک نسخه پشتیبان برای بازگشایی رمزها استفاده شود.
نمونه هایی زیاد و گوناگونی از باج افزارهایی که مشابه باج افزار Locky عمل کنند وجود دارند. باج افزارهایی مانند Cryptowall، JobCrypter، UmbreCrypt، TeslaCrypt که تفاوت اصلی آنها با باج افزار فوق در اندازه باج خواسته شده و نوع الگوریتم استفاده شده برای رمزگذاری فایلها است.
در تحقیقات اخیر و گزارشات مختلف اذعان شده است که تضمین خاصی از سوی باجگیران وجود ندارد که فایلهای رمزگذاری شده را حتی بعد از پرداخت وجه خواسته شده، رمزگشایی کنند و فایلها را در اختیار کاربران قرار دهند.
چگونه می توانم باج افزار Locky را شناسایی کنم؟
اصلی ترین راه ورود این باج افزار از طریق ایمیلهای اسپم شده و فایلهای مخرب است. این ایمیلها اغلب به صورت حسابهای پرداختنی با موضوعاتی مانند پرداختهای آینده و اطلاعیههای مختلف کاری به دست کاربر میرسد. از آنجایی که اکثر کاربران قربانی شرکتها و کسب و کارها هستند همچین پیغامی ممکن است آنها را به باز کردن ایمیلها و این پیوستها ترغیب کند.
در اینجا اگر نکات ایمنی قبل از هجوم را رعایت کرده باشیم و یک ضد باج افزار قوی روی سیستم نصب شده باشد، میتوان به راحتی به شناسایی باج افزار بپردازید و قبل از باز کردن فایلها و پخش ویروس بر روی سیستم آن را حذف کنید.
چگونه می توان باج افزار Locky را حذف کرد؟
این باج افزار را نمیتوان به صورت دستی حذف کرد و یا با استفاده از آنتی ویروس به مقابله با آن پرداخت. برای حذف باج افزار Locky باید تمام کدهای اعمال شده بر روی فایل ها را دیکد یا رمزگشایی کرد. برای این کار شما به متخصصانی احتیاج دارید که توانایی بازگشت تام و تمام اطلاعاتتان را داشته باشد. برای اینکار میتوانید به تیم ما اطمینان کامل داشته باشید.
اورژانس باجافزارکه از گروهی از متخصصان امنیت دیجیتال تشکیل شده است، تلاش میکند راهکارهایی برای جلوگیری از آلودگی، شکستن قفل و بازیابی اطلاعات دیتابیسهای آلوده به باجافزار را با جدیدترین متدهای روز جهان در اختیار شما قرار دهد و تمام اطلاعات به سرقت رفته شما را در کمتر از 24 ساعت بازیابی کند.
راهکارهای حفاظتی برای مقابله با باج افزار Locky:
بسیاری از راهکار های قبل از حمله این باج افزار با دیگر انواع باج افزار مشابه است که ما در مقاله مقابله با باج افزار به طور مفصل به توضیح آنها پرداختهایم و در اینجا نیز برخی از راهکارهای حفاظتی مهم برای مقابله با این باج افزار را ارائه کردهایم که به شرح زیر است:
محافظت از دیتا بیسهای شرکت در برابر باج افزار Locky
بهترین راه برای محافظت از اطلاعات خود در برابر اثرات ناشی از حملات باج افزار Locky، در وهله ی اول جلوگیری از ورود این بدافزار به سیستم است. یک رویکرد گسترده نسبت به امنیت داخلی ابتدایی ترین چیزی است که ما توصیه می کنیم.
_نصب یک آنتی ویروس خوب برای محافظت از اطلاعات هر شرکتی ضروری است، اما کافی نیست. برای محافظت کامل، توصیه میشود که ابزاری را انتخاب کنید که میتواند فیلتر DNS، اسکن سریع و لحظهای، مسدود کردن بدافزار مبتنی بر ترافیک و حفاظت چندلایه مبتنی بر هوش مصنوعی را ارائه دهد. یکی از آنتی ویروسهای شناخته شده برای این آنتی ویروس Avast One است که هم بصورت رایگان و هم پریمیوم آن در دسترس است.
امنیت ایمیل
بسیاری از هکرها بر این امر که شما توجه خاصی به محتوای واقعی ایمیلهایتان ندارید تکیه کردهاند و امید دارند که با باز کردن یک پیوست مخرب ارسال شده یا کلیک روی یک پیوند جعلی آلوده شوید. هرگز پیوستها را باز نکنید و یا پیوندهای دریافتی از منابع ناشناخته و غیرمنتظره را نادیده بگیرید. همچنین همهی شرکتها باید در مورد یک راه حل محافظت از ایمیل فکر کنند.
محافظت از حساب های شخصی خود در برابر باج افزار Locky
هنگام محافظت از سیستم خود در برابر حملاتی مانند حملات ویروس Locky، مهم است بدانید فایروال شما به تنهایی قادر به محافظت از دستگاههای شما نیست. داشتن یک راه حل امنیتی همه جانبه در محل زندگی خود به همان اندازه روشهای حفاظتی که در محل کار خود انجام می دهید مهم است.
سخن پایانی…
در دنیایی که امروز در آن زندگی می کنیم که بخش اعظمی از آن را فضای دیجیتال در بر گرفته است، شناختن و دانستن در مورد تهدیدهای بالقوهای که در میان ما زندگی میکنند و هر لحظه ممکن است دچار ترس و استرس ما شوند بسیار مهم است. ما دیگر نمی توانیم دست روی دست بگذاریم و منتظر بمانیم تا اتفاقی بیفتد و سپس واکنش نشان دهیم.
ما باید فعالانه در مورد تهدیدهای اطرافمان بیاموزیم، در غیر این صورت هکرها و مهاجمان سایبری به طور دائم و پیوسته میتوانند دستگاههای ما را به خطر بیاندازند و اطلاعات ما رمزگذاری کنند و یا از بین ببرند. و تفاوتی ندارد که در مورد چه نوع ویروسی سخن گفته میشود، باید هر لحظه مطمئن شوید که شما و شرکتتان اقدامات لازم را انجام دادهاید.
ویروس باج افزار (ransomware)نوعی از بدافزارها هستند که کارشان حمله به سیستمهای مختلفی مانند کامپیوتر، لپتاپ، موبایل و… است که باعث از بین رفتن دسترسی کاربر به اطلاعاتش از طریق “رمزگذاری دادههای” او میشوند و برای اجازهی دسترسی دوباره باج میخواهند.
باج افزار Petya(پیتا) یکی دیگر از انواع باج افزار است که در دستهی باج افزار Crypto( رمزگذاری) قرار میگیرد که سروکارش با ویندوز مایکروسافت است و به آلوده کردن رایانههایی میپردازد که از این ویندوز استفاده میکند.
باج افزار پتیا (Petya)، بایگانی و یا فضای اصلی بوت را آلوده و باری را اجرایی میکند که به رمزگذاری دادههای روی هارد دیسک بپردازد. قفل دادهها تنها در صورت در دست داشتن کلید رمزگذاری باز میشود؛ یعنی پس از پرداخت باج و تهیه کلید رمزگشایی.
باج افزار Petya(پتیا)
تاریخچه باج افزار Petya(پتیا):
پتیا برای اولین بار در سال 2016 دیده شد، ولی در سال 2017 با یک حمله سایبری وسیع علیه اهداف اوکراینی، بسیار خبرساز شد. این ویروس به سرعت در سراسر جهان گسترش یافت، کسب و کارها را فلج کرد و باعث خسارت چند میلیارد دلاری به آنها شد.
نوع جدیدی از این باج افزار وجود دارد که به دلیل تفاوتهای کلیدی با نسخه اصلی، «NotPetya» نامیده میشود. این گونهی جدید بدون اینکه کاربر کاری انجام دهد، سیستمهای جدید را آلوده میکند. این نوع رفتار بیشتر به “کرم باج”(ransomworm) شبیه است تا یک ویروس سنتی.
NotPetya به طور محدود مورد استفاده قرار گرفت، اگرچه به سرعت رشد کرد و به یک تهدید گسترده تبدیل شد اما به خیلی محدود مورد استفاده قرار گرفت. در مورد این ویروس جالب است که حتی با وجود نمایش نشانههای معمول حمله باجافزار – مانند تقاضای باجافزار – این ویروس برای باج گیری ساخته نشده بود. بررسی این ویژگیها باعث این نتیجهگیری از سوی محققان شد که این ویروس نه یک عمل و حملهی سایبری بلکه یک حمله مخرب تحت حمایت دولت است.
اورژانس باج افزار گروهی از متشکل از متخصصان امینت سایبری در کنار شماست تا بتوانید بدون پرداخت باج، اطلاعاتتان را بصورت کامل بازیابی کنید و اقدام به از بین بردن باج افزار کنید ❗❗❗
نحوه حذف باج افزار Petya (پتیا)
مانند اکثر ویروسهای باج افزار، حذف کردن باج افزار Petya پس از انتشار و آلوده کردن سیستم به سختی انجام پذیر است. در بیشتر موارد، قربانی به امید اینکه کلید را به دست میآورد یا نه باید تصمیم بگیرد که باج را بپردازد یا اینکه همه چیز را از بین ببرد و به بازیابی اطلاعات از طریق نسخه بشتیبانی بپردازد. ما در اینجا به طور کلی میخواهیم به آنچه که باید قبل، در زمان وقوع و بعد از حمله انجام دهید را شرح خواهیم داد.👇
قبل از وقوع حمله
در اینجا نیز قابل بازگویی است که پیشگیری بهتر از درمان است. یعنی اینکه بهترین استراتژی امنیتی این است که به طور کامل باعث عدم ورود باج افزار به سیستم شویم. که البته این امر مستلزم برنامه ریزی قبل از وقوع بحران است.
پشتیبان گیری و بازیابی: مهمترین بخش هر استراتژی امنیتی باج افزار، پشتیبانگیری پیوسته و منظم از دادههای در دست است. به طور چشمگیری آمار نشان دهنده این است که تعداد کمی از سازمانها، پشتیبانگیری و بازیابی را انجام میدهند. هر دو بخش_پشتیبان گیری و بازیابی_ دارای اهمیت هستند. انجام بازیابی در بازههای زمانی مختلف به صورت تمرینی، تنها راهی است که میتوان دانست که آیا طرح پشتیبان ما فعال است و کار می کند یا نه❗
به روز رسانی و تعمیر مشکلات سیستم: سیستم عاملها، نرم افزارهای امنیتی و پچها یا همان برنامه های تعمیرگر نارسایی های سیستمی، برای همه بخش های دستگاه باید به روز باشند.
تعلیم و آموزش کاربران: آموزش و آگاهی کارکنان بسیار مهم است. کارمندان شما و یا تمام یوزرهای متصل به سیستم شما باید بدانند چه بکنند و چه نه، چگونه از باج افزار دوری کرده و یا چگونه آن را گزارش دهند. اگر کارمندان با درخواست باج از طرف باجافزاری را دریافت کردند، باید بدانند که سریعا آن را به تیم امنیتی گزارش داده – و هرگز و هرگز سعی در پرداخت باج نداشته باشند.
سرمایه گذاری در راه حلهای امنیتی برای حذف باج افزار Petya: حتی با انجام بهترین آموزش برای کاربران نمیتوان امید داشت که هیچ وقت به ویروس باج افزار مبتلا نمیشویم. راهحلهای امنیتی پیشرفتهای برای ایمیل وجود دارد که سیستم را در برابر پیوست و لینکهای مخرب، اسناد و URLهای موجود در ایمیلها که باعث نفوذ باجافزار میشوند، مقاوم و از آن محافظت میکند.
در طول حمله
کامپیوتر را خاموش کنید و از شبکه جدا شوید:ویروس باج افزار Petya تقریبا یک ساعت پس از آلوده کردن سیستم و نمایش پیام مبنی بر اینکه سیستم فایل در حال تعمیر است، منتظر میماند. کارشناسان می گویند با خاموش کردن دستگاه ممکن است برخی از فایل ها کدگذاری و یا آلوده نشوند. زمانی که کارمندان تقاضای باج افزار را ببینند یا متوجه شوند چیز غیر عادیای رخ داده است، باید از شبکه جدا و سیستم آلوده را به بخش فناوری اطلاعات ببرند و فقط تیم امنیت فناوری اطلاعات باید به راهاندازی مجدد سیستم بپردازد.
محدوده مشکل را بر اساس اطلاعات تهدید مشخص کنید: پاسخ شما به چندین عامل بستگی دارد:
نوع حمله
چه کسی در شبکه شما در معرض خطر است.
هر حساب در معرض خطر چه مجوزهای شبکه ای دارد.
بازیابی از پشتیبان گیری: تنها راه برای بازیابی کامل از آلودگی باج افزار، بازیابی همه اطلاعات از پشتیبان است.
روی ابزارهای رمزگشایی رایگان باج افزار حساب نکنید❗
اکثر ابزارهای رایگان فقط برای یکی از انواع باج افزار یا نهایتا برای یک کمپین خاص حمله کارایی دارند. به همان طریقی که مهاجمان سایبری، باج افزار خود را به روز میکنند، ابزارهای رایگان قدیمی توان مقابله با آنها را ندارند. آنها کاراییشان را از دست داده و احتمالاً برای باج افزارهای جدید کار نکنند و آنها را از بین نبرند.
بعد از وقوع حمله
توصیه ما به شما این است که یک ارزیابی امنیتی کامل را برای یافتن تهدیدهایی که ممکن است هنوز در محیط شما باقی مانده باشند را انجام دهید. ابزارها و روش های امنیتی خود را به شکل دقیق و موشکافانه ای بررسی کنید که متوجه شوید کجا کم کاری کرده اید.
پاک کردن: برخی از باج افزارها حاوی تهدیدات دیگر یا تروجانهای به جا ماندهای هستند که می توانند در آینده به نوعی تهدید تبدیل شوند. در خیلی از موارد دیده شده است، محیط که قبلا آلوده شده بود خود به عنوان دری برای ورود مجدد باج افزار عمل کرده استبه دنبال تهدیدها و خطرات پنهانی باشید که ممکن است نادیده گرفته شده باشند.
بررسی پس از حذف: آنچه که به نظرتان باعث این حملات شده است را بررسی کرده و زنجیره رویدادهایی و پاسختان نسبت به تهدید های بالقوه را مرور کنید. بدون اینکه کشف کنید که حمله باج افزار چگونه صورت گرفته است، هیچ راهی برای توقف حمله بعدی نخواهید داشت.
ارزیابی آگاهی کاربران: مطمعا شوید که کارمندان، کارکنان یا اعضای مربوطه و متصل به وظیفه خود عمل به طور کامل عمل می کنند. چرا که یک کارمند مطلع و آگاه آخرین کسی است که قادر به دفاع از حملات است.
آموزش کارکنان: یک برنامه منظم برای رسیدگی به آسیب پذیری کارکنان در برابر حملات سایبری بسیار کمک کننده است. در صورتی که در آینده حمله ای رخ داد، یک برنامه ارتباطی بحران بسازید.
راه حل های را دنبال کنید که با تهدیدات جدید و نوظهور سازگار باشند و به شما کمک کنند سریعتر به آلودگی ها پاسخ دهید.
باج افزار Thanos توسط GrujaRS که یک پژوهشگر مستقل امنیتی است شناخته شد و یکی دیگر از انواع باج افزار است که در دستهی باج افزار Crypto( رمزگذاری) قرار میگیرد. این باج افزار با افزودن پسوند “locked” نام فایلها را تغییر و پس از آن پیغام درخواست باج را نمایش میدهد. به عنوان مثال پس از رمزگذاری، “1.jpg” به “1.jpg.locked” و “jpg2” به “2.jpg.locked” و غیره تغییر پیدا میکنند. در مقاله پسوندهای باج افزار به طور مفصل به پسوندهای مورد استفاده باج افزار پرداختهایم.
باج افزار Thanos فایل متنی “HOW_TO_DECYPHER_FILES.txt” (پیام باج) را در پوشههایی که رمزگذاری شدهاند را ایجاد کرده و به نمایش در میآورد.
یادداشتی که باج افزار Thanos نمایش میدهد
پیام باج افزار تانوس(Thanos) بدین شرح است: همه فایلهای سیستم شما رمزگذاری شده و کپیهای shadow از بین رفتهاند. همچنین، تمام فایلهای موجودی که در کامپیوتر شما ذخیره شدهاند را دانلود کردهایم و در صورت عدم پرداخت باج، تمامی اطلاعات در دست را پخش خواهیم کرد.
متأسفانه، قربانیان حملات باج گیر تانوس (Thanos) قادر نخواهند بود که فایلهای خود را بدون ابزارهایی که مهاجمان و توسعه دهندگان این باج افزار در دست دارند را رمزگشایی کنند. بدین وسیله هیچ ابزاری از طرف شخص دیگری وجود ندارد که اطلاعاتی را که توسط باج افزار Thanos رمزگذاری شده را باز کند. تنها راه بازیابی فایل ها، از طریق پشتیبان است. و هیچوقت فراموش نکنید که به این مجرمان هرگز نباید اعتماد کرد؛ آنها اگر حتی قربانیان باج را پرداخت کنند هیچ نرم افزار یا کلید رمزگشایی را ارسال نخواهند کرد.
در تصویر زیر فایلهای رمزگذاری شده توسط باج افزار تانوس (Thanos) را مشاهده میکنید (پسوند. locked):
یکی از پیام های باج افزار Thanos که کاربران را تشویق به پرداخت باج برای رمزگشایی میکند.
خلاصه اطلاعاتی از باج افزار تانوس (Thanos)
نام
باج افزار تانوس (Thanos)
نوع تهدید
باج افزار، ویروس رمزنگاری، قفل فایل ها
پسوند فایل های رمزگذاری شده
locked
پیام درخواست باج
HOW_TO_DECYPHER_FILES.txt
نام های تشخیص
AVG (FileRepMalware), BitDefender (Gen:Variant.MSILHeracles.3694), ESET-NOD32 (A Variant Of MSIL/Filecoder.Thanos.A), Kaspersky (HEUR:Trojan-Ransom.Win32.Generic), Microsoft (Ransom:MSIL/Filecoder.DL!MTB)
نشانهها
فایلهای ذخیره شده در سیستم شما قفل شدهاند، فایلهای کاربردی قبلی پسوندشان عوض شده است،(مثلا my.docx.locked). پیغام درخواست باج روی دسکتاپ سیستم شما ظاهر میشود. مهاجمان برای باز کردن قفل فایلهای شما، تقاضای باج (معمولاً به بیت کوین) دارند
همه فایلها و اطلاعات رمزگذاری شدهاند و بدون اینکه باج را پرداخت باز نمیشوند.
حذف باج افزار Thanos
در بالا هم گفتیم که روشی دستی برای حذف این باج افزار وجود ندارد و شما یا میتوانید از طریق پشتیبانی و یا پرداخت باج که اکیدا توصیه نمیشود به نتیجه برسید، اما اگر رایانه شما قبلاً به باج افزار Thanos آلوده شده است و با پرداخت باج و یا اینکه از پشتیبان استفاده کردهاید، توصیه میکنیم یک آنتی ویروس یا آنتی باج افزار را از Combo Cleaner Antivirus بر روی ویندوز خود اجرا کنید تا به طور خودکار این باج افزار را از بین ببرید.
سوالات رایج:
کامپیوتر من از چه طریقی هک شده و مهاجمان چگونه فایلهای من را رمزگذاری کردهاند؟
اغلب موارد، باجافزار فایلها را از طریق لینکهای آسیب دیده و خراب یا لینکهای دریافتی از طریق ایمیل، یا صفحات دانلود نرمافزار کرک شده رمزگذاری میکند. مجرمان از روش های گوناگونی برای فریب کاربران استفاده میکنند.
چگونه فایل های رمزگذاری شده توسط باج افزار Thanos را باز کنیم؟
بدون رمزگشایی فایل ها نمی توان به آن ها دسترسی داشت.
کجا باید به دنبال ابزارهای رمزگشایی رایگان برای باج افزار Thanos بگردم؟
در صورت حمله باج افزار، باید وب سایت No More Ransom را بررسی کنید
آیا تیم اورژانس باج افزار میتواند این باج افزار را حذف کند؟
پاسخ ما به شما بله است.
اورژانس باج افزار با سابقه بیش از ده سال فعالیت، متشکل از گروهی از متخصصان امینت سایبری است. شما با کمک این تیم متخصص میتوانید بدون پرداخت باج، اطلاعاتتان را بصورت کامل بازیابی کنید و به پاکسازی باج افزار بپردازید.
در این مقاله فهرست کاملی از پسوندهای باج افزار و گونه های باج افزاری که از این پسوندها استفاده میکنند را بر اساس گزارشاتی از کسپرسکی نوشتهایم که دقیقا برای شناختی بهتر و جزئیتر از ویروس باج گیر (ransomware) است.
ویروس باج افزار به رمزگذاری فایلهای کاربران میپردازد و پسوند فایلشان را به کلی به چیز دیگری تغییر میدهد. دقیقا اینکار را به این خاطر انجام میدهد که قربانی متوجه فایلهای قفل شده دستگاهش شود. پسوند موجود نشان میدهد که چه نوع ویروس باج افزاری به سیستم ما هجوم آورده است. شما با استفاده از این لیست میتوانید باج افزار را تشخیص دهید و با شناخت نوع باج افزار به استفاده از رمزگشا یا ضد باج افزار مناسب به پاکسازی باج افزار بپردازید.
پسوندهای باج افزار و نوع باج افزار به کار برده شده:
در این لیست که بر گرفته از مقالهای از سایت techviral است سعی بر آن شد که تمامی پسوندهای باج افزار رایج در چند سال گذشته و مخصوصا در سال 2022 را ارائه کنیم و همچنین نوع ویروس حمله کننده را به شما معرفی کنیم. برای هر یک از این ویروسها ضد باج افزارهای مناسبی اعم از رایگان و غیر رایگان وجود دارد که به راحتی میتوانید از آنها بهره ببرید.
چنانچه حذف باج افزار به صورت دستی و یا به وسیلهی این ضد باج افزارها امکان پذیر نبود، میتوانید بصورت شبانه روزی با کارشناسان ما در تماس باشید و از خدمات اورژانس باج افزار بهره ببرید.
باج افزار GandCrab(گندکرب) یکی دیگر از انواع باج افزار است که در دسته RaaS (باج افزار به عنوان یک سرویس) قرار دارد. این باج افزار در سال 2018 توسط کارشناسان شرکت امنیت سایبری LMNTRIX کشف شد. گردانندگان این نوع باجافزار که حتی به باجافزار چابک معروف شده، با انتشار بدافزاری که تعداد کمی از آن ساخته شده بود شروع به کار کردند و روز به روز روند کار رو تسریع و آن را بهبود میدادند. تبلیغ و ترویج این باج افزار معمولا بین هکرهای روسی در دارک وب انجام و در یک برنامه وابسته اجرا می شود.
اورژانس باجافزار که از گروهی از متخصصان امنیت دیجیتال تشکیل شده است، در تلاش است که راهکارهایی برای جلوگیری از آلودگی، شکستن قفل و بازیابی اطلاعات دیتابیسهای آلوده به باجافزار را با جدیدترین و بهترین متدهای روز جهان در اختیار شما قرار دهد.
باج افزار GandCrab چگونه کار میکند؟
برای توزیع این باج افزاراز کیتها یا بستههای بهرهبرداری RIG و GrandSoft از راه ارسال ایمیلهای فیشینگ استفاده میشود. در اولین ماه شروع کار این باج گیر، آلودهشدن حدود 50000 هزار رایانه تخمین زده شد، که بیشتر این قربانیان اروپایی بودند و از هر قربانی چیزی حدود 400 تا 700،000 دلار ارز دیجیتال DASH باج خواسته شده بود.
باج افزار GandCrab و Vidar – یک ترکیب بدافزاری خطرناک
تقریباً یک سال پس از کشف باج افزار GandCrab، یک حمله ترکیبی از GandCrab و Vidar، شناسایی شد. Vidar طیف وسیع و زیادی از دادهها، از جمله گذرواژهها، اسناد، اسکرین شاتها، اطلاعات احراز هویت دو مرحله ای ذخیره شده و کیف پولهای ارزهای دیجیتال را برداشته و آنها را به سرور C&C خود ارسال کرده بود. مرحله بعد، GandCrab رمزگذاری سیستم آلوده را شروع کرد و درخواست باج را برای قربانیان به نمایش گذاشته بود. این باج افزار برای توزیع این ترکیب از Fallout Exploit Kit استفاده کرده بود.
مهاجمان در اینجا حتی قبل از استقرار باج افزار به اجرای یک infostealer میپردازند، که حتی اگر قربانی از پرداخت باج امتناع کند، باعث تضمین حداقل درآمدی برای مهاجمان میشود. بدین معنا که مجرمان سایبری اگر هیچ استفادهای هم از اطلاعات نکنند، به راحتی میتوانند آن را در بازارهای زیرزمینی بفروشند.
تا چه حد باید نگران باج افزار GandCrab(گندکرب) باشیم؟
نسخههای اولیه این باج گیر کمخطر یا بعضا بیخطر بودند، و در محیطهایی کار میکردند که امنیت آنطور که باید وجود نداشت. اما الان هر کسی که هنوز از ویندوز XP یا ویندوز 2003 استفاده میکند در معرض خطر این باج افزار قرار دارد. در حالی که پچ مایکروسافت برای سیستمعاملهای قدیمیتر (به استثنای ویندوز 2000) در دسترس است. واین نکته هم نیز مهم است که بسیاری از راهحلهای AV خیلی وقت است از این سیستمعاملهای قدیمیتر پشتیبانی نمیکنند، و آنها را تبدیل به اهداف اصلی این باجافزار جدید و ارتقا یافته میکند.
برای این کار فقط کافیست مراحل زیر را به درستی اجرا کنید و بعد از آن نگران این ویروس نباشید.
_از فایل های خود نسخه پشتیبان تهیه کنید
با پشتیبانگیری منظم، ویروس باجافزار خیلی کمخطر و بیآزار میشود. خیلی راحت سیستم خود را پاک کرده و بازیابی کنید و خیلی راحت ادامه دهید.
_مراقب پیوستها و لینکهای موجود در ایمیل باشید
اگر ایمیلی از طرف یک دوست یا هر شخص دیگری دریافت میکنید و به نظرتون ظاهر عجیبی داشت، مجددا آن را بررسی کنید. اگر این ایمیل از طرف شرکتی است که با آن کار میکنید، سعی کنید آن را به وب سایت شرکت هدایت کنید و در صورت امکان، از برنامههای ضد بدافزار استفاده کنید.
_به طور مرتب پچ و بروزرسانی کنید
به روز نگه داشتن سیستم، مهاجمان را از سوء استفاده برای دسترسی غیرمجاز به رایانه شما جلوگیری میکند.
_دسترسی از راه دور را محدود کنید
بهترین راه برای محافظت در برابر حمله پروتکل دسکتاپ از راه دور (RDP) محدود کردن دسترسی آن است. از خود بپرسید این سوال واقعا پرسیدنی است که آیا واقعاً نیاز به دسترسی از راه دور به این سیستم وجود دارد؟ اگر بله که تا حد ممکن دسترسی را فقط به کاربرانی که واقعا نیاز دارند بدهید و بقیه دسترسی ها را مسدود و محدود کنید. روش بهتر، پیاده سازی یک شبکه خصوصی مجازی (VPN) برای کاربران است، این کار باعث خنثی شدن هگونه احتمال حمله RDP میشود.
_از رمزهای عبور قوی استفاده کنید
از رمزهای عبور یکسان در سایتها استفاده نکنید. در صورتی که یک سیستم کاملاً نیاز به دسترسی از راه دور داشته باشد، از یک رمز عبور مناسب با احراز هویت چند عاملی استفاده کنید. شاید برایتان مسئله باشد که به خاطر سپردن تمام رمزهای عبور برای همه سایتها و برنامههای مختلف کار سختی است ؛ اما جای نگرانی نیست و به راحتی میتوان از یکی از ابزارهای مدیریت رمز عبور استفاده کنید.
_ از نرم افزارهای امنیت سایبری استفاده کنید
به عنوان مثال، Malwarebytes Premium ویروسها، تروجانها، دانلودهای مخرب، لینکهای بد و وبسایتهای جعلی را مسدود میکند و با اینکار از ورود باجافزارهایی مانند GandCrab و سایر آلودگیهای بدافزار جلوگیری میکند.
برای شناخت بیشتر باج افزارها و انواع دیگر آن به مقاله باج افزار چیست؟ رجوع کنید.
نحوه حذف باج افزار GandCrab
اگر جزء قربانیان قبلی GandCrab بودهاید، احتمال زیاد نیازی به پرداخت باج نداشته باشید. در غیر این صورت، این مراحل را باید برای حذف GandCrab از رایانه شخصی خود انجام دهید.
1.نمایش پسوند فایل در ویندوز
به طور پیش فرض، مایکروسافت ویندوز پسوندهای فایل (مانند .exe و .doc) را پنهان می کند و قبل از اینکه بتوانید مراحل بعدی را اجرا کنید ، باید پسوندها ببینید و آنها را از حالت پنهان بیرون بیاورید. برای اینکار، File Explorer را باز کرده، روی تب View کلیک کنید، و در آخر File Name Extensions را علامت بزنید. در اینجا شناخت درست و دقیق پسوندهای باج افزار و انواع مرتبط با آنها ضروری است.
2.نسخه باج افزار GandCrab را تعیین کنید.
اکنون که پسوند فایلها را میببینید، میتوانید با تأیید پسوندهای فایلهای رمزگذاریشده، متوجه شوید که کدام نسخه از GandCrab را سیستم شما را آلوده کرده است.
نسخه 1 GandCrab پسوند gdcb را دارد
نسخه 2 و 3 GandCrab پسوند crab را دارد.
نسخه 4 GandCrab پسوند krab را دارد.
نسخه 5 GandCrab یک پسوند تصادفی 5 حرفی را نشان میدهد.
3.رمزگشا(decryptor) را دانلود کنید.
یک رمزگشای رایگان GandCrab برای GandCrab(گندکرب) نسخه های 1، 4، 5.01 و 5.2 وجود دارد. اگر پسوند فایل شما با این نسخه های ذکر شده مطابقت دارد، خیلی نگران نباشید و میتوانید از این رمزگشا استفاده کنید. اما متأسفانه، هیچ ابزار رمزگشای رایگان برای GandCrab نسخه 2 و نسخه 3 وجود ندارد.
4.باج را نپردازید
اگر به GandCrab نسخه 2 یا نسخه 3 آلوده شده اید، ممکن است به پرداخت باج ترغیب شوید اما این کار را نکنید. با فرض اینکه سرورهای GandCrab هنوز فعال هستند، FBI، Europol و INTERPOL همگی توصیه به عدم پرداخت باج دارند. چرا که هیچ تضمینی برای بازگرداندن فایلهای خود ندارید و این کار تنها باعث میشه شما به طعمه ای خوب برای حملات بعدی باج افزار تبدیل بشید.
سخن پایانی…
در این مقاله سعی بر این بود که باج افزار GandCrab(گندکرب) را به طور کامل معرفی و نحوه پیشروی آن، روش مقابله با آن و همچنین حذف آن بصورت دستی را ارائه دهیم و امیدواریم که این برایتان مفید واقع شود و بتوانید در زمان وقوع حمله این باج افزار به درستی با آن مقابله کنید.
آیا سازمان شما چندین هزار دلار برای پرداخت باج را دارد؟ آیا شناسایی باج افزار برای پیشگیری بهتر از حملات، راه حل بهتری نیست؟ آیا شناسایی باج افزار هزینه کمتری تا تلاش برای حذف باج افزار ندارد؟
برای مبارزه با باج افزار، بسیاری از مباحث در خصوص پیشگیری و عکس العمل بعد از حمله است. با این حال، در واقع شناسایی باج افزار برای “ایمن سازی” کسب و کار اگر به همان اندازه مهم نباشد مطمعنا کمتر نیز نیست. برای درک بهتر این مطلب میخواهم به مثال زیر توجه کنید:
فرض کنید شما یک دامدار هستید و گلهای گوسفند دارید، پس طبیعتا نگران حمله گرگ نیز هستید. برای رفع این نگرانی یک حصار بزرگ برای محافظت نصب کرده اید و برای ترساندن گرگ از بوق استفاده میکنید. بنظر من این نوع پاسخ بسیار در خورد است. اما سوال اینجاست! آیا بهتر نیست از یک سیستم هشدار اسستفاده کنید که سریعا قبل از اینکه گرگ حمله کند شما اقدام کنید ؟! آیا این کار بهتر و درخورتر نیست؟
بیایید نگاهی به “پنج ستون اصلی تشخیص تغییرات” در زمان واقعی بیندازیم تا ابزارهایی را که برای استفاده از این تکنیکها برای شناسایی باج افزار و کاهش تأثیر آن لازم است را بهتر بشناسیم.
1. تجزیه و تحلیل فایل استاتیک
فرض کنید در یک تیم فناوری اطلاعات هستید و یک هشدار امنیتی در یکی از سرورهای کلیدی سازمان فعال شده است. هشدار خیلی شفاف نیست اما بیانگر این است که یک فایل مشکوک به باج افزار شناسایی شده است.
بدتر اینکه هش کدهای فایل (Hash Code) در VirusTotal نیست و شما هم نمیتوانید اطلاعاتی را در اینترنت پیدا کنید که تشخیص دهید آیا فایل موجود مخرب است یا نه.
برای تشخیص باج افزار و فهمیدن اینکه آیا این فایل باج افزار است یا نه (یا هر بدافزاری دیگر)، یکی از گزینهها بررسی یا تجزیه و تحلیل فایل استاتیک است. تجزیه و تحلیل این فایل، نوعی تجزیه و تحلیل است که به مشکوک بودن یک فایل اجرایی بدون اینکه به شکل واقعی کد را اجرا کندیا نموضوع را بررسی میکند که آیا این فایل اجرایی مشکوک است یا نه.
در مورد باجافزار، بررسی و آنالیز فایل استاتیک در پی دنبالههای کد مخربی است که شناختهشدهاند و به دنبال سرنخهای مشکوکی، مانند “پسوندهای فایل هدفگذاری شده” معمول و کلمات رایج مورد استفاده در یادداشتهای باج است.
یکی از ابزارهای رایگانی که میتواند مفید باشد PeStudio است. این ابزار، مصنوعات مشکوک را در فایلهای اجرایی علامتگذاری میکند و برای بررسی رشتههای تعبیهشده، کتابخانهها، واردات و سایر شاخصهای سازش (IOC) در یک فایل استفاده شود.
مزایا:
نرخ مثبت غیر واقعی آن پایین است.
در برابر باج افزارهای معروف موثر است.
برای اینکه هیچ فایلی رمزگذاری نشود، حملات را قبل از اجرا متوقف میکند
معایب:
– انجام آن بصورت دستی زمانبر است.
– با استفاده از Packers / Crypter یا با جایگزین کردن کاراکترها با ارقام یا کاراکترهای خاص میتوان آن را خیلی راحت دور زد.
با ابزارهای نظارت بر دسترسی به فایل، میتوان برای معروفترین “پسوندهای باجافزار“عمل تغییر نام فایل را در لیست سیاه قرار داد، یا اینکه به محض ایجاد فایل جدیدی با پسوندهای باج افزار، هشدار داده شود.
به عنوان مثال، یکی از ابزارهای نظارت بر دسترسی به فایل توسط Netapp این امکان را میدهد که انواع خاصی از افزونهها را قبل از ذخیره شدن در سیستم و یا اشتراکگذاری، مسدود کنید. سایر راه حل های لیست سیاه باج افزار شامل ownCloud یا Netwrix است.
لیست های متنوعی در اینترنت با از پسوندهای رایج باج افزار وجود دارد. به عنوان مثال https://fsrm.experiant.ca/
مزایا:
نرخ مثبت غیر واقعی آن پایین است.
در برابر باج افزارهای معروف موثر است.
معایب:
باج افزارها به راحتی میتوانند آن را با پسوند جدید رمزگذاری دور بزنند.
راه حل نظارت بر فایل که دارای ویژگی لیست سیاه پسوند باشد به راحتی پیدا نمیشود.
3. استفاده از فایل های Honeypot برای شناسایی باج افزار
فایل honey یک تکنیک برای فریب است که عمداً برای شناسایی مهاجم در یک پوشه قرار میگیرد و به محض باز شدن فایل، زنگ هشدار به صدا در میآید. مثلا، فایلی با این نام passwords.txt می تواند به عنوان فایل honey در یک workstation استفاده شود.
یکی از راه های محبوب و رایج برای ساخت سریع و آسان فایل های honey استفاده از Canarytokens است. Canarytokens یک ابزار رایگان است که Canarytokens _یک شناسه منحصر به فرد یا توکن_ را در سندی مانند Microsoft Word، Microsoft Excel، Adobe Acrobat، تصاویر، پوشههای دایرکتوری و غیره جاسازی میکند.
بعد از اینکه Canarytoken دسترسی پیدا کرد، Canary یک ایمیل اعلان به آدرس مرتبط با توکن مربوطه را برای شما ارسال می کند. میتوان نام فایلهای Canary را به نامهایی تغییر داد که باجگیرها در شبکه قربانی بدنبال آن هستند، مانند «statement »، «policy » یا « insurance ».
مزایا:
شناسایی باج افزارهایی که موتورهای ساکن آن را نمیگیرند.
معایب:
به شکل کاذب و معیوبی برخی از موارد را مثبت نشان میدهد، زیرا کاربران و برنامهها ممکن است فایلهایی را باز کنند که به عنوان طعمه گذاشته شدهاند.
وقتی پوشههای خاصی را تارگت میکند از برخی فایلها یا پوشههای مخفی عبور میکند
4_نظارت پویا بر عملیات فایلهای انبوه و حجیم
با اینکار میتوان در یک بازه زمانی معین، حمله باجافزارها را که در زمان واقعی اتفاق میافتد را شناسایی کرد و حتی به طور خودکار آن را مسدود کرد.
برای شناسایی باج افزار از این طریق، ابزار نظارت بر یکپارچگی فایل(File Integrity Monitoring) می تواند کارا باشد. یک FIM آخرین نسخه فایلها را با هم مقایسه کرده و با یک «خط مبنا» قابل اعتماد وشناخته شده اعتبارسنجی میکند و آن زمان که فایلها تغییر، بهروزرسانی یا در معرض خطر قرار گرفتهاند به شما هشدار میدهد.
ابزارهای رایگانی از FIM مانند OSSEC و Samhain File Integrity در دسترس است، که بسرعت قابل اصلاح هستند تا بتوان فورا برای پاسخ خودکار این تهدیدات، باج افزار شناسایی شده را مسدود کرد.
مزایا:
شناسایی باج افزارهایی که موتورهای ساکن آن را نمیگیرند.
معایب:
رمزگذاری فایلها فراتر از حد تعریف شده.
با ایجاد تاخیر بین رمزگذاریها به راحتی دور میخورند.
5_اندازه گیری تغییرات داده های فایل ها (آنتروپی)
درمباحث امنیت سایبری، آنتروپی یک فایل به معیار خاصی از تصادفی بودن به نام «آنتروپی شانون» اشاره دارد. برای تشخیص انواع باج افزار، فایلهای متنی معمولی دارای آنتروپی کمتری هستند و فایلهای رمزگذاری شده یا فشرده آنتروپی بالاتری دارند. به بیان دیگر، در صورت تغییر نرخ دادههای فایلها، میتوان تشخیص داد که فایلها رمزگذاری شدهاند یا نه.
ابزاری است برای اندازه گیری تغییرات داده های فایل ها(آنتروپی) که به شناسایی باج افزارو مسدود کردن آن میپردازد. این ابزار فرآیندهای مشکوک و نامعتبر که فایل های شخصی شما را رمزگذاری می کنند،شناسایی میکند. RansomWhere همچنین میتواند فرآیندها را پس از تغییرات متعدد و تغییرات قابل توجه را مسدود کنند.
مزایا:
شناسایی انواع باج افزارهایی که موتورهای ساکن آن را نمیگیرند.
نکات مثبت مصنوعی کمتری نسبت به تکنیکهای دینامیکی که قبلا ذکر شد را نشان میدهدو دقیقتر است.
معایب:
در نقطه پایانی از CPU در سطح بالایی استفاده میکند.
فایلها تا سرحد اطمینان تعیین شده رمزگذاری میشوند، بنابراین همه آسیبها و تخریبات مسدود نخواهد شد.
نتیجه گیری:
تکنیکها برای شناسایی باج افزار و تشخیص عفونتهای باج افزار میتوانند بسیار کمک کننده باشند. هدف اصلی ما در اینجا معرفی راههای مختلفی برای تشخیص انواع باج افزار قبل از ایجاد آسیب جدی بود. همچنین این بخش را میتوان بخش مهمی از استراتژیهای حفاظت از باجگیرها دانست.
این روزها باج افزار ransomware مهمترین دغدغهی “امنیت سایبری” برای شرکتها شده است؛ چرا که میتواند تاثیرات بسیار مخربی را ایجاد کند. از جمله مهمترین این آسیبها، از دست رفتن دادهها، بالابودن هزینههای بازیابی و همچنین آسیب به شهرت کسب و کارها است.
در این راستا اگر بدانید با چه باج افزاری روبه رو هستید و بتوانید به تشخیص باج افزار بپردازید شاید تا حد خیلی زیادی بتوانید با استفاده از برنامههای مختلف به محافظت از کسب و کارتان در مقابل حملات آنها بپردازید.
اما سوال اصلی اینجاست که با این افزایش چشمگیر حملات سایبری، چگونه میتوان از اطلاعات ارزشمند خود محافظت کرده و یا به حذف باج افزار بپردازیم؟
در این پست سعی داریم برخی از مهمترین انواع باج افزار که امروزه نسبت به شکلهای دیگر آن استفاده میشنوند را بررسی کنیم. همچنین بزرگترین حملات باج افزاری را نیز به اختصار توضیح میدهیم.
اصلی ترین انواع باج افزار کدام است؟
باج افزار به اشکال مختلفی عرضه می شود که همه آنها دارای چندین ویژگی مشترک هستند. انواع مختلفی از باج افزار وجود دارد؛ اما میتوان گفت که همه آنها دارای ویژگیهای زیر هستند:
اول اینکه همه آنها انگیزه مالی دارند(که میتوان اصلی ترین ویژگیشان دانست)
دوم حامل نوعی تهدید برای سیستمهای IT هستند.
و سوم اینکه پیامی اخطار دهنده را بر روی سیستم قربانی نشان میدهند که از آنها باج میخواهد.
اما تفاوت اصلی و متمایز کننده انواع باج افزار ها به خاطر نحوهی حمله آنها و تکنیکی است که به کار میبردند. با بررسی نمونههای زیر دقیقا متوجه میشوید که منظورمان از تکنیک چه است.
باج افزار کریپتو(رمزنگاری) یکی از مهمترین باج افزارهای موجود است. یک روش برای حمله موثر سایبریها محسوب میشود که بسیار سودآور نیز است. این گونه باج افزار به “رمزگذاری دادهها“ میپردازد و آنها را غیرقابل خواندن میکند. سپس برای رمزگشایی و ارائه کد از قربانی باج میخواهد. توسعه دهندگان این نوع از انواع باج افزار اغلب یک “شماره معکوس” را در صفحه قربانی اضافه میکنند و این اخطار را نمایش میدهند:” اگر تا انتهای شمارش معکوس باج پرداخت نشود همه فایلهای رمزگذاری شده حذف خواهد شد“. و در نتیجه، بسیاری هستند که برای برگرداندن دادههای خود حاظر به پرداخت باج هستند.
2. باج افزار Exfiltration
Exfiltration که یکی از مهمترین انواع باج افزار است به عنوان doxware یا leakware نیز شناخته میشود، با دزدیدن اطلاعات و دادههای قربانی او را تهدید به نشر عمومی آنها میکند.
این مورد علاوه بر اینکه به کسب و کار و شهرت قربانیان آسیب میرساند، همچنین منجر به جریمه شدن توسط مراجع قضایی در نقض مقررات حفاظت نیز میشود. مهاجمان اغلب دادههایی را رمزگذاری میکنند که مرتبط با یکدیگر هستند و به این دلیل میتوانند فشار را برای پرداخت باج چندین برابر کنند.
3. باج افزار DDoS
برخلاف باجافزارهای رمزنگاریشده و نفوذ کننده، حملات باجافزار (DDoS) به خدمات شبکه است و کاری به اطلاعات و دادههای کاربر ندارد.
آنها برای متوقف کردن سرورهای کاربر شروع به “درخواستهای اتصال جعلی” میکنند تا با ایجاد ترافیک کاذب، سایت مورد نظر را درگیر کنند. با این کار تمام منابع سرورها صرفا درگیر این درخواستها میشوند و این امر باعث میشود کاربران اصلی برای اتصال به سرور با مشکل روبه رو شوند.
پس از انجام این حملات با نمایش یک یادداشت، کاربر را به پرداخت باج برای اتمام حمله ترغیب میکند. اما DDoS از آن نوع حملاتی هستند که گاهی اوقات مهاجمان چه با پرداخت باج و چه عدم پرداخت آن، دست از حمله بر میدارند.
یک حمله باجافزار DDoS به شدت نیازمند منابع است. بنابراین یک هکر ممکن است برای حفظ آن برای مدت طولانی تلاش کند. علاوه بر این، باج افزار DDoS خطری برای دادههای واقعی شما ایجاد نمی کند.
4. باج افزار Locker یا قفل صفحه
یکی از انواع باج افزار ها که از اهمیت بالایی برخوردار است، قفل کنندههای صفحه هستند. این باج گیر اجازه دسترسی قربانی را تا زمانی که باج پرداخت نشود را از او میگیرد.
دستگاه آلوده به باج افزار Locker بعد از روشن کردن سیستم خراب شده و در قسمت قفل صفحه، پیامی که خواستار پرداخت باج است را نشان میدهد. Locker هم برای ترساندن قربانی تایمر شمارش معکوسی را طراحی میکند و در صفحه قفل به نمایش میگذارد.
به طور کلی بازیابی از حملات قفل صفحه (Locker)آسان تر است، زیرا آنها اطلاعات شما را رمزگذاری نمیکنند. به عنوان مثال، اغلب ممکن است با راه اندازی مجدد آن در حالت ایمن و اجرای نرم افزار آنتی ویروس، این بدافزار را از دستگاه حذف کنید.
5. باج افزار Scareware یا ترس افزار
این بدافزار از روشی به اسم” تاکتیکهای مهندسی اجتماعی” استفاده میکند. این روش به این معناست که کاربر را فریب میدهد که با مشکلی مانند بدافزارها مواجه است و او را ترغیب میکند که مثلا برای حل این مشکل نیاز به خریداری و نصب فلان نرم افزار را دارد.
این هشدار به صورت “پاپ آپ” و اغلب موارد “لوگوی نرم افزار امنیتی قانونی” به نمایش گذاشته میشود و دستور خریداری نرم افزاری را میدهد؛ که ممکن است حاوی بدافزار باشد یا شروع به آسیب رساندنهای حادتری بکند.
هکرها چگونه اقدام میکنند؟
با وجود گوناگونی انواع باج افزار، تکنیکهای که باج گیران _یا در اصل همان مجرمان سایبری_ برای حلمه بکار میگیرند، شباهت بسیار زیادی به هم دارند. روشهایی که اکثر آنها به کار میگیرند شامل موارد زیر است:
ایمیل های فیشینگ(فریب دهنده) با لینکها یا پیوستهای مخرب و خراب
وبسایتها و شبکههای اشتراکگذاری فایل های شبیه به هم که در معرض خطر هستند.
بهره برداری و استفاده از نقاط ضعف امنیتی
درایوهای فلش USB
بزرگترین تهدیدات انواع باج افزار از گذشته تا به حال
در اینجا به بررسی برخی از انواع باج افزار هایی پرداخته شده است که بیشترین آسیب را در گذشته و حال ایجاد کرده اند.
WannaCry
کار WannaCry رمزگذاری باج افزار است. از یک آسیب پذیری در “پروتکل SMB“ ویندوز سوء استفاده میکند و وارد میشود. WannaCry شروع به تکثیر کرده و از این طریق به آلوده کردن سیستمهای دیگر نیز میپردازد.
WannaCry یک برنامه مستقل است. این برنامه قابلیت این را دارد که فایلهای حاوی کلیدهای رمزگذاری، برنامه های کاربردی رمزگذاری/رمزگشایی و “برنامه ارتباطی Tor” را استخراج کند. مهاجمان WannaCry را مبهم و پیچیده نمیکنند و به راحتی میتوان آن را شناسایی و سپس حذف کرد.
بیشترین نرخ آلودگی آن در سال 2017 بوده است که 23000 دستگاه را در 150 کشور جهان تحت تأثیر قرار داد. و همچنین حدود 4 میلیارد دلار خسارت وارد کرد.
Cerber
Cerber یک باج افزار از دسته (RaaS)_باج افزار به عنوان سرویس_ است. Cerber زمانی که در حال اجرای رمزگذاری است، بدون شناسایی، فایل های رمزگذاری را اجرا کرده و از فعالیت آنتی ویروسها تا حد ممکن جلوگیری میکند. بعد از آنکه که به طور درست فایل ها را روی دستگاه رمزگذاری کرد، یک یادداشت حامل درخواست باج را در پس زمینه دسکتاپ به نمایش میگذارد.
CryptoLocker
باج افزار در چند دهه گذشته به اشکال مختلف ظهور کرده است . در سال 2013، CryptoLocker، به شهرت رسید. فروشندگان و متخصصان فناوری اطلاعات، در می 2014 پس از اخاذی 3 میلیون دلار از قربانیان توسط مجرمان سایبری، بات نت اصلی CryptoLocker را کاملا از بین بردند.
با این حال و با از بین رفتن CryptoLocker، کپی کردن آن توسط مجرمان به راحتی انجام میگیرد. اما این تغییرات با نسخه اصلی آن مرتبط نیست.
تعداد CryptoLocker به حدی زیاد شده است که آن را حتی مترادف با باج افزار میدانند.
Locky
باج افزار Locky یا لاکی با به کارگیری بات نت Necurs شروع به توزیع ایمیلهای فیشینگ کرد که حاوی دستورالعملهای مخرب بود. این عمل از طریق پیوست های Excel یا Word صورت میگرفت.
نسخه Locky در سال 2016 مشخص شد که در جعبه ایمنی نیز قابل اجرا است و یک ماه بعد این بد افزار حتی قادر به رمزگذاری فایلها به صورت آفلاین بود. Locky در سپتامبر 2017 در حملهای فعال شد که در آن حدودا 23 میلیون پیام فیشینگ توسط مهاجمان در مدت 24 ساعت فرستاده شد.
باج افزار Maze
Maze یکی دیگر از انواع باجافزار است که از سال 2019 اثراتش دیده شده است. اولین بار یک گروه اصلی Maze را ایجاد کردند،اما چندی بعد برخی دیگر از مهاجمین از Maze برای اهداف باج گیری خود شروع به استفاده از آن کردهاند.
بیشتر اپراتورهای Maze علاوه بر رمزگذاری، “دادههایی را که رمزگذاری میکنند را نیز کپی کرده” و همچنین تهدید به افشای آنها میکنند و با اینکار فشار زیادی را برای پرداخت باج اعمال میکنند.
باج افزار Maze بیشتر از طریق پیوستهای ایمیل مخرب توزیع میشد. اما در حملات اخیر از روشهای دیگری برای به خطر انداختن شبکه استفاده میکنند. به عنوان مثال، بسیاری از حملاتی که باجافزار Maze انجام میدهد از اعتبارنامههای پروتکل دسکتاپ از راه دور (RDP) دزدیده شده و برای نفوذ به شبکه استفاده کردهاند. حملات دیگر با به خطر انداختن سرور شبکه خصوصی مجازی (VPN) آغاز شده اند.
Ryuk
Ryuk باج افزاری است که با یک برنامه dropper توزیع شده و روی دستگاه قربانی مستقر میشود. سپس یک بد افزار را نصب میکند و راه ارتباط دائمی را با سرور فرمان و کنترل (C&C) باز می کند.
“ویروس” Ryuk از طریق عفونت TrickBot وارد شبکه میشود. و این کار را از راههای مختلفی انجام میدهد. ایمیل اسپم شده یکی از رایجترین روشهایی است که از آن استفاده میکند. همچنین از طریق باتنت Emotet که از قبل وجود داشت، پخش میشود، که از ایمیلهای مخرب – بهویژه، پیوستهای ایمیل و سند word برای آلوده کردن رایانهها استفاده میکند.
برای مقابله با هر یک از انواع باج افزارها، نکات زیر به ارائه بخش مهمی از اقداماتی که تیم های ذخیره سازی داده محور می توانند برای محافظت از کسب و کارها در برابر تهاجم انواع ویروس باج افزار پرخطر را انجام دهند، ارائه می دهد.
مجوزهای فایل ناامن را شناسایی و اصلاح کنید
کاربران باید اطلاعات و دادههای خود را به درستی بشناسند تا از آنها محافظت کنند. مخصوصا این نکته را باید بدانند که کسب و کارشان چه دادههایی را ذخیره میکند و دسترسی آنها در اختیار چه کسانی است.
برای شروع، تجزیه و تحلیل مجوزهای فایل میتواند گزینه مناسبی باشد. تجزیه و تحلیل مجوزهای فایل این قابلیت را به مدیران میدهد که توانایی رصد کردن کاربرانی را داشته باشند که دادههای آنها در اختیارشان است و میتوانند بررسی کنند که چه کاری را میتوانند انجام دهند. و بعد از آن شروع به سختگیری در مورد اعطای مجوزهایی کنند که آنچنان ضروری نیستند.
آنها باید سوء استفاده از مجوزهایی که توسط کاربرانی که در حال خواندن، تغییر یا حذف دادههایی هستند که جزئی از کارشان نیست را پیگیری کنند و آنها را لغو کنند. مثلا، یک توسعهدهنده برنامههای کاربردی را در نظر داشته باشید که اطلاعات شرکت را در سیستم تغییر میدهد.
با این حال، درک عمیق در مورد مجوزهای فایل در صورتی کامل است که ماهیت دادههای که در دسترس هست را نیز بشناسیم. به همین جهت، به ابزارهایی نیاز است که بتوانند تجزیه و تحلیل مجوز فایلها را با اطلاعات متنی، مانند انواع داده در دستههای مختلف، حساسیت، مالکیت و مکان ذخیرهسازی را قدرتمند کنند.
الگوهای استفاده از دادهها ثبت و سپس نظارت شوند
علاوه بر نکات گفته شده، تمام فعالیتهای صورت گرفته توسط کاربر باید برای نظارت و تجزیه و تحلیل ثبت شود.
این امر در صورت هجوم بسیار کاربردی خواهد بود، چرا که این گزارشهای ثبت شده حاوی اطلاعاتی است که در ارزیابی هجوم و پس از آن انجام اقدامات اصلاحی بسیار میتواند کمک کننده باشد.
آنها همچنین جزئیات را برای کمک به تعیین علت اصلی حمله در آینده ارائه می دهند. با این وجود میتوان به اجرای اقدامات پیشگیرانه پرداخت.
حمله گونه های باج افزار دارای چنین نشانههایی است:
خواندن، نوشتن، یا حذف تمام فعالیتها بصورت گروهی
رمزگذاریها به شکلی غیرطبیعی افزایش پیدا کند
کاربران در ساعات غیر عادی به سیستمها دسترسی داشته باشند
از یک موقعیت زمانی- مکانی که مورد انتظار نیست یک دستگاه دسترسی به دادهها و یا سیستم را داشته باشد.
نه تنها باید بر فعالیت کاربر نظارت داشت، بلکه باید رفتار سیستم را نیز در نظر گرفت و کنترل کرد. این کار کمک میکند که در زمان حمله سیگنال های دیگر شناسایی شوند.
رمزگذاری دادهها در حالت پرواز
برای جلوگیری از نفوذ، بهترین راه رمزگذاری دادهها است؛ چرا که دسترسی را عملا از مهاجمان میگیرد و دادهها بی فایده میشوند. اما این تنها در صورتی امکان پذیر است که مهاجمان نتوانند کلیدهای رمزنگاری شما را به دست بیاورند. این نکته نیز قابل بازگویی است که اطلاعات پشتیبانی که شمار در اختیار دارید به همان اندازه برای مهاجمان نیز سودمند است. به همین خاطر باید دادهها را در زمان استراحت یا حالت پرواز در محیط پشتیبان و در زمانی که مشغول به پشتیبانی از دادههای خود هستید به فرآیند رمزگذاری بپردازید.
همچنین برای جلوگیری از افتادن کلیدهای شما به دست مهاجمان یا سایبریها باید از بهترین روشهای مدیریت کلیدها استفاده کرد.
در نهایت، باید توجه داشت که رمزگذاری نمیتواند به صورت تمام و کمال باج افزار رمزنگاری را متوقف کند، زیرا سایبریها می توانند حتی شکل رمزگذاری شده دادهها را رمزگذاری کنند. و این معنی را میدهد که در صورتی که این اتفاق بیوفتد باید برای رمزگشایی هر دو کلید خو و مهاجم را داشته باشید.
نسخه پشتیبان دیتاهای خود را تهیه کنید
این نکته حائز اهمیت است که داشتن یک استراتژی پشیبانی برای حفاظت در مقابل حملهی احتمالی crypto بسیار مهم و حیاتی است. اصل پشتیبان گیری1-2-3 باید مورد استفاده قرار گیرد که به شرح زیر است:
حداقل باید در سه نسخه دادهها را ذخیره کنید
برای کاهش حداکثری خطر، حداقل از دو فضای مختلف محیط برای ذخیره سازی استفاده کنید.
برای دادههای خود در یکی از فضاهای خارج از سایت نسخه پشتیبان تهیه کنید—و به این صورت بهطور مؤثری از سیستم فعال و مورد استفادهتان جدا میشود
برای به حداکثر رساندن محافظت در برابر باجافزار، تهیه کردن “نسخههای پشتیبان غیرقابل تغییر” نیز مفید است. این نسخهها را هیچ کس نمیتواند تا پایان یک دوره قفل مشخص اصلاح، رمزگذاری یا حذف کند، حتی کسانی که امتیاز سرپرستی را دارند.
همچنین باید اطمینان حاصل کرد که پشتیبانگیریهای شما واقعاً درست انجام گرفتهاند و کار میکنند، به همین خاطر نباید فراموش کنید که به طور منظم آنها را آزمایش کنید.
سوالات رایج
رایج ترین انواع باج افزار کدام است؟
رایجترین نوع حمله ویروس باج افزار، باج افزار “کریپتو(crypto)” است. این نوع از حملات به دلیل تاثیر در قفل کردن و غیر دسترس کردن کاربران از داده ها و سیستمها، توسط باج گیرها استفاده میشود.
این باج افزار، قسمتی یا تمامی از دادههای کاربر را با کدی مخرب رمزگذاری میکند، دسترسی کاربران را قفل میکند و سیستم را تا زمان دریافت باج بیاستفاده میکند. بدیهی است که چرا به این نوع باجافزار اغلب «ربایش داده» میگویند.
تهدید کننده ترین حمله انواع باج افزار کدام است؟
از بین تمامی انواع حمله ویروس باجافزار، باجافزار رمزنگاری(crypto) مؤثرترین روش در قفل کردن و باج گیری از کاربران است و از بسیاری جهات این ویژگی، آن را به تهدیدکنندهترین ویروس باج گیر تبدیل میکند.
Exfiltration یکی دیگر از جدیترین تهدیدات است، زیرا علاوه بر اینکه دادهها را قفل و برای باج نگه میدارد، همچنین احتمال دارد آن دسته از دادههای حساس را به صورت عمومی نیز انتشار کند، که این کار علاوه بر ضرر تجاری، بر اعتبار شرکت نیز ضرر و زیان وارد کند.
باج افزارهای پراستفاده کدام اند ؟
در حالی که باج افزارهای مختلفی وجود دارند، اما چهار مورد از پرکاربردترین آنها عبارتند از: باج افزار رمزنگاری (crypto)، نفوذپذیری یا نشت افزار (exfiltration or leakware)، قفل صفحه(screen lockers) و ابزار ترسناک(scareware). از میان اینها، باجافزارهای رمزنگاریشده و نفوذپذیری مهمترین تهدیدها را ایجاد میکنند، زیرا عملا دادههای شما را به باج میگیرند، مگر اینکه مالک باج درخواستی را پرداخت کند و یا توانایی محافظت درمقابل باجافزار را داشته باشد.
سخن پایانی…
انواع باج افزار ها به گونههای مختلفی حمله میکنند و در شکل و شمایل متفاوتی دیده میشوند. مسیر و جهت حمله یک عامل مهم برای انواع باج افزارها است. برای تخمین اندازه و وسعت حمله، باید همیشه در نظر داشت که چه چیزیهایی در خطر هستند و یا چه داده هایی می توانند نابود شوند یا انتشار یابند. صرف نظر از نوع باج افزار مهاجم، پشتیبان گیری از داده ها از قبل و به صورت منظم و همچنین استفاده صحیح از نرم افزارهای امنیتی می تواند شدت حمله را به طور چشمگیری کاهش دهد.
شما در حال کلیک کردن هستید اما فایلهای مورد نظر قفل است و باز نمیشود! بله درست است شما احتمالا با ویروس باجافزار ( Ransomware) روبهرو شدهاید. بگذارید سادهتر بگویم؛ شما تا دیروز مالک چیزی بودهاید اما شخصی میآید و آن را از شما میگیرد و در ازای آن از شما باج میخواهد.
این روزها ویروس باج افزار به کابوس کسب و کارها تبدیل شده و این نگرانی بیمورد نیست، چرا که انواع باج افزار با دیتاها که مهمترین دارایی هر سازمان محسوب میشوند سروکار دارند و ممکن است هر لحظه تمام این دارایی را از شما بگیرد و شرکت را وارد بحران کند.
برای شناخت ویروس باجگیر، راههای پیشگیری از نفوذ آن، شیوهی فعالیت آن، روش حذف باج افزار، انواع مخرب آن و … در ادامه مقاله با ما همراه باشید.
باج افزار چیست؟
باج افزار (ransomware) یا ویروس باجگیر نوعی از بدافزارها هستند که کارشان حمله به سیستمهای مختلفی مانند کامپیوتر، لپتاپ، موبایل و… است که باعث از بین رفتن دسترسی کاربر به اطلاعاتش از طریق “رمزگذاری دادههای” او میشوند و برای اجازهی دسترسی دوباره باج میخواهند. مهاجمها با ارسال ایمیل یا پیامهای مختلف از جمله پاپآپ، کاربران را ترغیب میکنند که روی لینک خاص ارسال شده کلیک کنند. سپس از این طریق به سیستم کاربر نفوذ کرده، شروع به اخاذی و باج گرفتن از کاربر و یا سواستفادههای دیگر میکنند.
مهاجمها معمولا با توجه به بزرگی شرکت، اهمیت اطلاعات و توان پرداخت کاربران، مبالغ متفاوتی را برای بازپس دادن اطلاعات و یا در اختیار گذاشتن رمزهای اعمالشده بر روی فایلهای سیستم کاربر درخواست میکنند؛ به گونهای که حتی درخواستهای پرداخت چندین هزار دلاری مشاهده شده است.
تاریخچهی باجافزارها:
برای شناخت دقیق یک مفهوم یا یک مسئله بنظرم اولین کاری که باید کرد رجوع به گذشته و تاریخچه آن است؛ که دراینجا سعی داریم مختصری از تاریخچه باج افزار را خدمت شما ارائه دهیم.
با وجود اینکه باج گیرها در پنج سال گذشته به طور دائمی در سرفصل خبرها بوده است، اما این ایده دزدی فایلهای کاربران و رمزگذاریشان، اجازه ندادن دسترسی به سیستم و… و سپس درخواست باج برای بازگرداندن آنها بسیار قدیمی است.
اواخر دهه 90 میلادی بود که مجرمان در ازای دریافت پول که از طریق خدمات پستی فرستاده میشد، پروندههای رمزگذاری شده را گروگان میگرفتند. از جمله اولین حملات باج افزاری که ثبت شده است، ویروس باج گیر ایدز بود که از طریق فلاپی دیسک در سال 1989 منتشر شد. کاربران باید 189 دلار را به یک P.O ارسال میکردند.
اما در قرن جدید و در شروع سال 2004 خانوادههای پیچیدهتری از بدافزارها شروع به فعالیت کردند. معروفترین آنها GpCode بود که از طریق کمپینهای malspam انتشار یافتند و پرداختهای خود را از طریق کارتهای هدیهای همچون Ukash از قربانیان میخواستند.
و اما در حوالی سال 2011 نوع جدیدی از ransomware به اسم Reveton که معروف به “باج گیر پلیس” بود پدید آمد. این ویروس باج گیر برخلاف سایر انواع ransomware رمزگذاری میکرد. در ابتدا صفحه نمایش را قفل و سپس هشداری تهدیدآمیز را نشان میداد؛ به گونهای که قربانیان فکر میکردند این هشدار را پلیس ارسال کرده است. این اخطارها به زبانهای مختلف بومیسازی شده و با استفاده از آرمهای پلیس باعث گمراهی قربانیان و واقعی جلوه دادن هشدار برای آنان میشد.
ویروس باج افزار به چه طریقی کار می کنند؟
ویروس باج افزار از طریق “رمزگذاری نامتقارن” فعالیت دارند. این نوع رمزنگاری از یک جفت کلید برای رمزگذاری و رمزگشایی یک فایل استفاده میکند. مهاجم کلید مخصوص رمزگشایی را تنها زمانی در اختیار قربانی قرار میدهد که او باج را پرداخت کرده است، و بدون دسترسی به این کلید، رمزگشایی فایلهایی به سرقت برده شده تقریبا غیرممکن است.
ویروس باجگیر ( Ransomware) انواع مختلفی دارند. اغلب این ویروسها(و سایر بدافزارها) از طریق کمپینهای اسپم ایمیل یا از طریق حملات هدفمند گسترش مییابند. بدافزار برای ثابت کردن خود در نقطهی پایانی به یک بردار برای حمله نیازمند است. و پس از اینکه استقرار یافت، تا زمانی که وظیفهاش تمام نشود، روی سیستم باقی خواهد ماند.
پس از رمزگذاری فایلها، 24 تا 48 ساعت به کاربر وقت میدهد که برای رمزگشایی فایلها باج را پرداخت کند که در غیر این صورت همهی اطلاعات از بین خواهد رفت. اگر پشتیبانگیری دادهها رمزگذاری شده باشد و یا کلا در دسترس نباشند کاربر با پرداخت باج برای ریکاوری فایلهای شخصی مواجه است.
باج افزار چگونه به سیستم نفوذ میکند؟
ویروس باجگیر(ransomware)با ظاهری موجه و قابل اعتماد شروع میکنند که بتوانند اعتماد افراد را بدست بیاورند. آنها به این صورت عمل میکنند که از طریق ارسال ایمیل، پیامک، وب سایت، فایلهای آلوده و… در سیستم مورد نظر نفوذ کرده و از طریق یک الگوریتم رمزنگاری، بخشهای مختلف سیستمهای هدف را رمزگزاری میکنند.
آیا میتوان عاملان باجافزار را شناسایی کرد؟
عاملان بهدلیل استفاده از رمزپایههای ناشناس برای پرداخت مثل بیت کویین، ردیابی مجرمان و پیدا کردن آنان را سخت و دشوار کرده است.
و در حال حاظر به طور کاملا رو به رشدی گروههای سایبری در حال ساختن بد افزارهای مختلفی برای کسب سود هستند. به طور معمول باجگیرهای پیشرفته، به صورت چند شکلی هستند که باعث میشود سایبریها خیلی راحت امنیت مبتنی بر امضاهای سنتی را دور بزنند.
راهکارهای حفاظتی و پیشگیرانه در مقابل باج گیرها:
ایمیلهای اسپم شده و لینکهای درون آن را باز نکنیم
بر روی لینکهای تخریبکننده کلیک نکنیم
فایلهای سایتهای نامعتبر را باز نکنیم
به ایمیلهایی که درخواست اطلاعات شخصی(نام کاربری، پسورد و..) پاسخ ندهیم
آنتیویروسهای به روزی داشته باشیم
به طور منظم و در زمانهای مقرر پشتیبانگیری داشته باشیم
AVG: بهترین ضدباجافزارها برای تشخیص باج افزاری همیشه فعال.
ویژگیها:
به طور دائم به روز می شود
نوآوری دائمی
حفاظت جامع و کامل
8 نمونه از مخربترین باجافزارها را بشناسیم:
باج افزار GandCrab (گند کرب): یکی از خطرناکترین باجافزارهای موجود است که از طریق تهدید انتشار کردن عکس ها و فیلم های خصوصی کاربران از آنها شروع به باج گیری میکند
باج افزار Thanos(تانوس): تانوس در سال ۲۰۲۰ کشف شده و. در حال حاضر یکی از خطرناک ترین انواع ransomware موجود است و میتواند خیلی از اقدامات ضد باجگیری را دور بزند.
باج افزار Petya(پتیا): این ها از طریق ایمیلهای مزاحم که ظاهرا شامل درخواستهای استخدام هستند نفود میکنند
باج افزار Locky(لاکی): شیوهی نفوذ این ویروس باج گیر از طریق فایلها با پسوند doc است. این ویروس باج افزار از قابلیت نصب ماکرو در word بهره میبرد. از شما میخواهد تنظیمات امنیتی word خود را عوض کنید.
باج افزار Crypto (رمزنگاری): یکی از انواع باج افزار آسیبزا و مضر است که برای باج گیری شروع به رمزگذاری فایلهای ذخیره شده رایانه یا موبایل میکند.
باج افزار Bucbi: این باج افزار از حمله به سرویس ریموت دسکتاپ (RDP) استفاده میکند.
باج افزار seven: آغاز کار این باج افزار در سال 2016 بود. این باج افزار دسترسی به سیستم را با نمایش یک پنجرهی تمام صفحهی مسدود میکند. شیوه ی رمزگذاری این ویروس باج گیر مشخص نیست و راهکار رایگانی برای رمزگشایی آن وجود ندارد.
Shark: این ransomware این امکان را به باجگیران میدهد که تنها با چند کلید ساده و با حداقل دانش فنی شروع به ایجاد باجافزار دلخواه خود کنند.
مطالب تکمیلی مرتبط: اصلی ترین پسوندهای باج افزار برای تشخیص نوع باج افزار
کلام پایانی…
در این مقاله سعی بر این بود که انواع باج افزار(ransomware)، طریقه مقابله با باج افزار نوع فعالیتشان، تاریخچه آنها، ضد باج گیرها و روشهای مقابله با آنها را به شما معرفی کنیم تا علاوه بر شناخت کلی آنها، در زمان وقوع حمله مهاجمان اقدامات ضروری را به عمل آورید.
البته این نکته در اینجا قابل بازگویی است که شما با اعتماد به تیم اورژانس باج افزار (ransomware115) میتوانید به حذف باج افزار با هزینهی خیلی پایینتر بپردازید.
باجافزارها(Ransomwares) در چه ابعادی برای کاربران سیستمهای رایانهای مشکل ایجاد میکنند؟ بر اساس گزارش مجلهی Cybercrime که در ۱۳ نوامبر ۲۰۲۰ منتشر شد که به گونهای میتوان گفت که تاریخچه باج افزار را بررسی کرده است ، برآورد میشود که هر ۱۱ ثانیه یک حملهی باج افزاری اتفاق میافتد؛ به عبارتی ۳ میلیون حمله در سال! به این آمار دقت کنید؛ منظور در اینجا تعداد فایلهای رمزگذاری شده و یا متأثر از این حملات نیست. صحبت از ۳ میلیون مورد حمله به سازمانهای مختلف است.
تهدیدی که ۳۰ سال از آغاز شکلگیریاش میگذرد
اکثر سازمانهایی که از حملات ویروسهای باجگیر آسیب دیدهاند خسارات قابل توجهی را بر کسبوکار خود تجربه کردهاند که به کاهش درآمد، آسیب به جایگاه برند، تعدیل پیشبینینشدهی نیروی کار و یا حتی تعطیلی کل کسبوکار انجامیده است.
از ابتدای سال ۲۰۲۱ تا پایان نوامبر همان سال تعداد ۲۰۰ حملهی باجافزاری تیترهای خبری را به خود اختصاص دادند؛ البته اینها تنها حملاتی هستند که به طور رسمی تایید شدهاند. در ادامه به سیر تاریخچه باج افزار در ۳۰ سال اخیر میپردازیم.
1989: اولین حمله در تاریخچه باجافزار
در دسامبر ۱۹۸۹، ژوزف پاپ (Joseph Popp)، زیستشناس تکاملی دانشآموختهی دانشگاه هاروارد، ۲۰ هزار فلاپیدیسک آلوده به یک ویروس کامپیوتری را برای شرکتکنندگان در همایش اِیدز سازمان بهداشت جهانی در استکهلم فرستاد.
این ویروس پس از اتصال به رایانهها مسیرهای فایلها را پنهان و اسم فایلها را قفل میکرد. سپس به کاربران اطلاع میداد که برای دسترسی به فایلهایشان باید ۱۸۹ دلار به یک صندوق پستی واقع در پاناما ارسال کنند.
در زمان کوتاهی بعد از این حادثه، دکتر پاپ، که در تاریخچه باج افزار به پدر باجافزار معروف است، در خانهی پدری خود در اوهایوی آمریکاه دستگیر و به انگلستان تحویل داده شد. در آنجا او با ۱۰ مورد اتهام باج گیری و همچنین تخریب اموال از طریق توزیع Ransomware مواجه بود؛ بدافزاری که امروزه به تروجانِایدز(AIDS Trojan) معروف است.
حملهی نوع دیگری از باجافزارهای قفلکننده (Locker) در سال 2007
حدود ۲۰ سال بعد از حملهی تروجان ایدز، شکل دیگری از ویروسهای قفلکننده (Locker) پا به عرصهی ظهورگذاشتند که در تاریخچه باج افزار نامش به ثبت رسید. اولین نسخه این باجافزار که به کاربران روسی هجوم برده بود، عملکردهای اولیهی دستگاه رایانه مانند کیبورد و موس را از کار انداخته بود. سپس همزمان با نمایش تصاویر پورنوگرافیک، از کاربر میخواست تا با تماس با یک شمارهی تلفن پریمیوم (شمارههایی که جهت ارائهی سرویس خاصی ایجاد شدهاند و هزینهی تماس با آنها بیشتر از حالت معمولی است) و یا فرستادن پیامک نسبت به پرداخت مبلغ درخواستی اقدام نماید.
CryptoLocker اولین باجافزار رمزگذار در تاریخ باج افزار در سال 2013
در سال ۲۰۱۳ وبلاگ خبری Naked Security اطلاعاتی از یک تهدید باجافزاری به دست آورد که در پوشهی Documents and Settings ویندوز نصب و همچنین به ریجستری اضافه میشد. بعد از اتصال به یکی از سرورهای فرمان و کنترل(C&C: Command and Control) که تحت کدنویسی استاتیک یا سخت (hard-coding) کار میکردند، این Ransomware که کریپتولاکر (CryptoLocker) نام دارد، فایلی را برای شناسایی قربانی آپلود میکرد که سرور از این طریق به تولید یک زوج کلید عمومی-اختصاصی بپردازد.
قبل از نمایش پیام باجخواهی، از کلید عمومی برای رمزگذاری فایلهای قربانی استفاده میشد. پیام حاوی فرصتی ۷۲ ساعته برای اخاذی ۳۰۰ دلار بود؛ که البته در برابر اخاذیهای بدافزارهای امروزی که به دهها میلیون دلار میرسد قطرهای از دریا هم به حساب نمیآید.
بعد از ۲۰۱۳ حملات کریپتولاکر وسیعتر شد. بر اساس تحقیقات دانشگاه ایالتی کینیسا (Kennesaw State University)، پلیس افبیآی آمریکا مبلغ اخاذی شده به کریپتولاکر تا پایان سال ۲۰۱۵ را ۲۷ میلیون دلار برآورد کرده است.
با آغاز سال ۲۰۱۸، افبیآی متوجه شد که حملات باجگیرانهای که قربانیان خاصی را هدف قرار نمیدادند در حال کاهشاند. تحلیلگران این سازمان دریافتند که مسیر حملات باجافزاری برای هدف قرار دادن سازمانهای بزرگ، بهویژه دولتهای ایالتی، واحدهای خدمات بهداشتی، شرکتهای صنعتی و سازمانهای ترابری هموار شده است. به گزارش وبسایت Ars Technica که در ۷ اکتبر ۲۰۱۹ منتشر شد، بسیاری از گروههای باجافزاری به شکارهای بزرگ پرداختهاند تا از این طریق بتوانند مبالغ بیشتری را اخاذی کنند.
بنا بر مطلبی از Cybereason که در ابتدای همین متن بدان اشاره، بعضی از اثراتی که این حملات میتوانند بر سازمانها بگذارند عبارتند از:
کاهش درآمد کسب و کار؛ ۶۶ درصد سازمانها کاهش چشمگیری را در سطح درآمد خود گزارش کردهاند.
آسیب به شهرت برند (Brand Reputation)؛ ۵۳ درصد سازمانها گزارش دادهاند که شهرت نشان تجاریشان در اثر حملات باجافزاری موثر آسیب دیده است.
از دست دادن مدیران سطح C؛ ۳۲ درصد سازمانها از دست دادن مدیران سطح C خود را گزارش دادهاند.
تعدیل نیروی انسانی؛ ۲۹ درصد گزارش کردهاند که به سبب فشار مالی ناشی از حملات Ransomwareها مجبور به تعدیل نیرو شدهاند.
۲۰۱۹: باجافزار Maze و ابداع اخاذی مضاعف
اواخر نوامبر ۲۰۱۹، وبسایت Bleeping Computer پیامی را از یک ایمیل شناختهشده که توسط دارودستهی طراح باجافزار ماز (Maze) استفاده میشد دریافت کرد. پیام حاوی خبر موفقیت این گروه در رخنه به یک شرکت خدمات حفاظتی و سرقت اطلاعات از این شرکت بود؛ اطلاعاتی که به صورت متنی بوده و هنوز رمزگذاری نشده بودند. برای اثبات این مدعا، این بزهکاران نمونهای از فایلهای سرقتی را نیز ضمیمهی ایمیل کردند و سپس ۲۰۰ مگابایت از این اطلاعات را در فضای آنلاین نشت دادند.
طی چند ماه بعد، سایر گروههای باجافزاری نیز از این تکنیک اخاذی مضاعف(multiple extortion) استقبال کردند. نتیجه این بود که این گروهها دست بالا را بر سازمانهایی پیدا کردند که از استراتژیهای پشتیبانی داده(Data Backup Strategies) استفاده میکردند. این گروههای تبهکاری میدانستند که قربانیانشان از نسخههای پشتیبان دادههای خود برای بازیابی سیستمهای مورد حمله استفاده میکنند اما قادر به بازگرداندن دادههای دزدیده شده نیستند. بنابراین سارقین در کنار اخاذی برای بازکردن رمزهایی که خودشان روی دادهها گذاشته بودند مبلغ مضاعفی را هم برای از بین نبردن دادههای سرقتی و یا منتشر نکردنشان طلب میکردند.
ظهور عملیات باجافزاری سازماندهی شده – RansomOps
امروزه حملات باجافزاری تنها محدود به بدافزارهایی نیست که به صورت خودکار دادههای قربانیان را به گروگان میگرفتند. در عوض مجموعههای پیچیده از عملیات وجود دارند که توسط اشخاص هدایت شده و سازوکاری شبیه به تهدیدات پیشرفتهی مداوم (APT: Advanced Persistent Threat) دارند. این مدل از حملات RansomOps نام دارند که میتوان معادل خدمات باجافزاری را برایشان به کار برد.
قفلبازکنهای سایبری (IAB: Initial Access Brokers) با نفوذ در یک شبکه و گذر از دیوارهای امنیتی و اپراتورهای باجافزار به عنوان سرویس (RaaS: Ransomware-as-a-Service) با فرآهم آوردن زیرساختها برای همدستانی که مجری حملهی سایبری هستند در این مجموعههای عملیاتی با هم همکاری میکنند. این میزان از سازش در یک RansomOps امکان طلب مبالغ به مراتب گزافتری را برای این مجرمان فرآهم میکند. تکنیکهای RansomOps معمولا موارد اخاذی مضاعف که پیشتر به آن اشاره شد را نیز شامل میشوند.
بعضی از گروههای باجافزاری پا را از این نیز فراتر گذاشتهاند. بر اساس گزارش وبسایت Bleeping Computer که در اواسط سپتامبر 2021 منتشر شد، دارودستهی باجافزاری گریف (Grief) قربانیان را تهدید کردهاند که در صورت بهکارگیری شخص یا اشخاصی برای مذاکره به هدف کاهش مبلغ درخواستی، کلید رمزگشایی دادههای رمزگذاریشده را از بین میبرند. این تهدید بعد از آن صورت گرفت که، بر اساس گزارش وبسایت Threatpost، دار و دستهی راگنار لاکر(Ragnar Locker) قربانی را تهدید کرده بودند که در صورت اطلاع دادن به افبیآی و یا مقامات ایالتی دادههای به سرقت رفته را منتشر میکنند.
سخن آخر…
آنچه که گفته شد مروری بر تاریخچه باج افزار و روشهای استفاده از آنها توسط تبهکاران سایبری بود. [این سیر تحولی به ما نشان داد که امروزه RansomOps بیشترین میزان از حملات باجافزاری را دارد و تیم امنیت سایبری، باید آمادگی برای مقابله با این حملات را از اولویتهای اصلی خود قرار دهد.] باید توجه داشته باشیم که در فاز پایانی یک حملهی RansomOps است که باجافزار اجرا میشود؛ بنابراین مدتها قبل از اجرای Ransomware می توان فعالیتهای مقدماتی تیم حمله کننده را شناسایی کرد تا از ورود خسارات جدی جلوگیری شود.
راه حل غلبه بر حملات باجافزاری در به حداقل رساندن فاصلهی زمانی بین نفوذ اولیه به فضای دادهای و لحظهای است که تیم امنیت سایبری شما این نفوذ را تشخیص میدهد و خنثی میکند.