اگر تصاویر، فیلم‌ها، اطلاعات و… شما توسط باج‌ افزار Stop/Djvu رمزگذاری شده باشند، نگران نباشید. این روزها بسیاری از افراد در اطلاعات ریز و درشت خود با این مشکلات مواجه می‌شوند و آن‌ها پس از حملات باج افزار دیگر دسترسی برای آن‌ها امکان پذیر نیست. این باج افزار یکی دیگر از انواع باج افزار است که بسیاری از شرکت‌ها و کاربران از آن رنج می‌برند. برای حذف باج‌ افزار Stop/Djvu و ریکاوری دیتابیس فقط کافی است به متخصصان ما اعتماد کنید.

باج‌ افزار Stop/Djvu چیست؟

باج‌ افزار Stop/Djvu بدون اغراق بدترین چیزی است که کاربر در فضای مجازی انتظارش را دارد. نه تنها باجگیر‌ها اغلب مبالغ هنگفتی را درخواست می‌کنند، بلکه حتی پس از پرداخت باج، فقط گاهی اوقات امکان رمزگشایی صحیح این فایل ها وجود دارد و در بسیاری از موارد گزارش شده هیچ گونه رمزگشایی صورت نگرفته است.

نوع باج افزار	باج افزار STOP/Djvu
پسوند فایل	zput, zpww, zpas, ithh, itrz, itqw, pthh, ptrz, ptqw, mlrd, mlap, and etc
تشخیص	Ransom.Win32.STOP.bot, Ransom.Win32.STOP.gd, Ransom.Win32.STOP.dd, Ransom.Win32.STOP.vb
الگوریتم	Salsa20
مقدار باج	از 490 تا 980 دلار (به بیت کوین)
درجه آسیب	⮞ فقط 150 کیلوبایت اول فایل‌ها را رمزگذاری می‌کند. ⮞ می‌تواند کپی‌های Volume Shadow را حذف کند تا تلاش قربانی برای بازیابی داده‌ها غیرممکن شود. ⮞ قبل از رمزگذاری، رمز عبور Redline، Vidar، Amadey، DcRat را روی دستگاه قربانی نصب می کند.
شیوه توزیع ویروس	⮞ نرم افزار دزدان دریایی و تورنت‌ها ⮞ اسکریپت‌های مخرب؛ ⮞ سایت‌های مشکوک و نامعتبر که برای دانلود فیلم‌ها ارائه می‌دهند.

یادداشت‌های باج‌ افزار Stop/Djvu

در این یادداشت که متن انگلیسی آن را کامل شرح داده‌ایم باج‌ افزار Stop/Djvu در ابتدا خطاب به کاربر می‌گوید تمام اطلاعات شما رمزگزاری شده است و تنها روش بازیابی فایل‌ها خرید ابزار یا همان کلید رمزگشایی است. او برای نشان دادن درستی حرفش در قبال در دست داشتن فایل ها می‌گوید که یکی از فایل ها را برای ما ارسال کنید که رمزگشایی کنیم. و بعد از آن قیمت کلید که حدودا 1000 دلار است را پیشنهاد می‌دهد. البته اگر قبل از 72 ساعت نصف این مبلغ پرداخت شود فایل‌ها را در اختیار کاربر قرار می‌دهد.

باج‌ افزار Stop/Djvu از چه طریقی وارد می‌شود؟

از آنجایی که باج‌ افزار Stop/Djvu روش خاص تعریف شده‌ای برای ورود به سیستم ندارد، انتقال آن می‌تواند متفاوت باشد. به همین دلیل، مهاجمان رویکرد نسبتاً مختلفی دارند که پیش‌بینی و تشخیص نشانه‌های اولیه را برای مدافعان سخت و پیشبینی ناپذیر می‌کند. برای مثال، استفاده از ایمیل‌های هرزنامه که از پیوست‌های خراب استفاده می‌شد روش اصلی انتشار این ویروس بود. با این حال، باج‌ افزار Stop/Djvu می تواند به عنوان طیف گسترده‌ای از انواع فایل در سایت‌های متفاوت ظاهر شود.

پسوند فایل‌های جعلی

✔ یکی از راه‌های ورود محبوب باج‌ افزار Stop/Djvu از طریق پسوند فایل‌های جعلی است. برای مثال، کاربران تازه کاری که سعی در دانلود برخی فایل‌ها، مانند سند word دارند، ممکن است با فایلی با پسوند دوگانه *.dox.exe مواجه شوند. در این حالت، آخرین پسوند واقعی خواهد بود، که به احتمال زیاد کاربر متوجه آن نخواهد شد، زیرا نماد فایل با فایل .dox واقعی یکسان خواهد بود. بنابراین، توجه به برنامه‌های افزودنی، دانلود در رایانه شما ضروری است.

اسکریپت‌های مخرب

✔ ویروس باج‌ افزار Stop/Djvu می‌تواند از طریق اسکریپت‌های مخرب نیز گسترش یابد. اغلب این انواع اسکریپت‌ها در وب‌سایت‌های مشکوک قابل دسترسی هستند. به عنوان مثال، زمانی که به سایت‌های پورنو در شبکه‌های ناامن مراجعه می‌کنید یا فایل‌ها را از طریق این پلتفرم‌ها به اشتراک می‌گذارید، خطر آلوده شدن کامپیوتر شما وجود دارد. همچنین، وقتی روی پاپ‌آپ‌ها یا بنرهای متناظر کلیک می‌کنید، ممکن است مسیر مرورگر شما به سایت‌های مخرب تغییر مسیر دهد. در نهایت، زمانی که در این پلتفرم‌ها برای دریافت هشدارها یا اعلان‌ها ثبت‌نام می‌کنید، بدافزار به رایانه شما دسترسی پیدا کرده و به آن نفوذ می‌کند.

تبلیغات و ارسال هرزنامه

✔ جلب توجه شرکت‌های مختلف و ارسال کلاهبردارانه ایمیل‌ها از تکتیک‌های مجرمانه است که توسط افراد بدنام بهره‌برداری می‌شود. در این روش، اطلاعات جعلی در هدر ایمیل ارسالی قرار می‌گیرد تا قربانی معتقاعد شود که ایمیل از سوی یک شرکت معتبر ارسال شده است. ایمیل به قربانی خبر می‌دهد که تلاش شده تا بسته به آدرس او تحویل داده شود، اما موفقیت آمیز نبوده است. گاهی اوقات این ایمیل‌ها ادعا می‌کنند که اعلان‌های مهمی دارند که شما انجام داده‌اید، اما به واقعیت، ایمیل حاوی یک فایل آلوده به عنوان پیوست ارسال شده است. باز کردن این فایل می‌تواند به عواقب بدی منجر شود.

همچنین، باج‌ افزار Stop/Djvu به طور متداول با بدافزارهای دیگر مانند Redline، Vidar، Amadey، DcRat و … همکاری می‌کند. به عنوان مثال، DJVU قادر است قبل از رمزگذاری روی دستگاه قربانی، دزدان اطلاعات را در دستگاه قرار دهد. این تعامل با دیگر خانواده‌های بدافزار، باعث می‌شود که DJVU تهدیداتی حتی مخرب‌تر ایجاد کند. به علاوه، DJVU به عنوان یک محموله از خانواده‌ی برنامه‌های مخرب مانند SmokeLoader نیز به کار گرفته می‌شود.

اجرای مراحل باج‌ افزار Stop/Djvu به صورت گام به گام

ویروس باج‌ افزار Stop/Djvu با هدف کاهش سرعت تجزیه و تحلیل کد توسط متخصصان امنیتی و جعبه‌های ابزار خودکار، زنجیره اجرایی خود را با چندین مرحله پیچیده طراحی کرده است. فعالیت مخرب DJVU زمانی آغاز می‌شود که از بخش heap به منظور محافظت از فایل اجرایی استفاده می‌کند، تا پوسته‌های رمزگذاری‌شده موجود در فایل اجرایی قابل‌حمل (PE) را آغاز کند. این مرحله ابتدایی از کد پوسته با استفاده از الگوریتم رمزگذاری کوچک (TEA) رمزگذاری می‌شود. نویسندگان این بدافزار تلاش کرده‌اند تا به صورت جداگانه ثوابت رمزگذاری را پنهان کنند که به عنوان یک روش اضافی برای مقابله با تجزیه و تحلیل انجام شده است. این اقدام احتمالاً به منظور جلوگیری از شناسایی الگوریتم TEA انجام شده است، زیرا بدافزار عمدتاً از این الگوریتم استفاده می‌کند.

⬅در مرحله دوم از الگوریتم پایه XOR برای رمزگذاری استفاده می‌شود. در اینجا کلید با استفاده از یک الگوریتم تولید اعداد شبه‌تصادفی، که قابل پیش‌بینی نیز است، تغییر می‌کند. سپس با استفاده از روشی معمول‌تر به نام Virtual Alloc، محتویات مرحله دوم در حافظه بارگذاری می‌شود. در این مرحله ، کد پوسته یک فرآیند جدید را با استفاده از همان باینری راه‌اندازی می‌کند. در نهایت، از یک فرآیند پاکسازی برای تزریق یک نسخه بازنشده از بدافزار به فرآیند جدید استفاده می‌کند. این مراحل تا زمانی که محموله در نهایت فعال شود، پیش می‌روند.

⬅فرآیند شروع فعالیت مخرب با تشخیص موقعیت دستگاه قربانی شروع می‌شود. برای این منظور، نرم‌افزار مخرب مکان دستگاه را با ارسال یک درخواست GET به api.2ip.ua/geo.json و استفاده از سرویس جستجوی GeoIP بررسی می‌کند.

⬅بدافزار یک پوشه جدید در مسیر %\AppData\Local\% ایجاد می‌کند. نام فایل ایجاد شده به صورت تصادفی با استفاده از UUID Version4 و با بهره‌گیری از UuidCreate و UuidToStringW تولید می‌شود. وقتی یک پوشه بااستفاده از تابع CreateDirectoryW ایجاد می‌شود، بدافزار یک نسخه از خود را در این مسیر کپی می‌کند.

⬅در مرحله بعد، باج‌ افزار Stop/Djvu از ابزار “icacls.exe”، یک ابزار خط فرمان ویندوز، برای تلاش در محافظت از پوشه ایجاد شده استفاده می‌کند. این ابزار با دستوراتی سعی می‌کند نسخه DJVU را با مجوزهای بالاتری اجرا کند. سپس از API های ShellExecute با استفاده از فعل “runas” استفاده می‌کند تا تلاش کند خود را با حقوق مدیریتی اجرا کند. بسته به تنظیمات دستگاه قربانی، ممکن است یک کادر محاوره‌ای کنترل حساب‌های کاربری (UAC) نمایش داده شود و از سیستم درخواست دهد تا حقوق مدیر را به فرآیند اختصاص دهد. اگر بدافزار با این امتیازات اجرا شود، این امکان فراهم می‌شود که فایل‌های مهم‌تر روی سیستم رمزگذاری شوند.

⬅محموله با مجوزهای مدیریتی بالا و با استفاده از آرگومان‌های “-Admin IsNotAutoStart IsNotTask” راه‌اندازی می‌شود. سپس باج‌ افزار Stop/Djvu با استفاده از ابزار schtasks.exe به عنوان روش‌های مشهور برای ایجاد وظایف از طریق زمان‌بندی کار، وظایفی با ماندگاری ایجاد می‌کند. این کار به معنی افزایش احتمال شناسایی آنها است، زیرا این وظایف به طور مستمر اجرا می‌شوند.

⬅سپس payload آدرس MAC کارت شبکه را استخراج می کند و یک هش MD5 از آن آدرس ایجاد می کند. آیا سپس از هش MD5 برای اتصال به سیستم مخرب C2 از طریق URL استفاده می کند: hxxps[:]//acacaca[.]org/d/test1/get.php?pid={MAC Address_MD5}&first=true. پاسخ به این پیام در فایل “Bowsakkdestx.txt” که در فهرست %\AppData\Local\% قرار دارد، ذخیره می شود.

⬅مقداری که در این فایل ذخیره می‌شود، شامل کلید عمومی و شناسه می‌باشد. این تهدید همچنین شناسه را در یک فایل جدیدی که در مسیر C:\SystemID\PersonalID.txt ایجاد می‌شود ذخیره می‌کند.

⬅هنگامی که کلیدها ذخیره می‌شوند، بدافزار به دو دامنه دیگر نیز متصل می‌شود. یکی از این دامنه‌ها به نام RedLine به عنوان یک سیستم شناخته شده برای سرقت اطلاعات از نوامبر 2022 شناخته می‌شود.

⬅به منظور ذخیره بیشتر، بدافزار یک کلید راه‌اندازی رجیستری به نام “SysHelper” را در مسیر رجیستری “HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run” ایجاد می‌کند.

⬅سپس، قبل از آغاز فرآیند رمزگذاری، بدافزار یک mutex با نام “{1D6FC66E-D1F3-422C-8A53-C0BBCF3D900D}” ایجاد می‌کند. این عمل به منظور جلوگیری از رمزگذاری مضاعف انجام می‌شود و فایل را غیرقابل بازیابی می‌کند. این بدافزار همچنین شامل یک کلید عمومی و شناسه رمزگذاری شده است.

در طی فرآیند رمزگذاری، باج‌ افزار Stop/Djvu از فایل ها و پسوندهای زیر چشم پوشی می کند:

باج‌ افزار Stop/Djvuهمچنین دارای یک فهرست است که به پوشه‌های اصلی که بخشی از سیستم عامل ویندوز هستند اشاره دارد. علاوه بر این، بدافزار در تلاش است تا نام یک فایل سخت‌کد شده با پسوند .jpg را پیدا کند، اگرچه هدف از این جستجو باید مشخص شود. در پایان فرآیند رمزگذاری، بدافزار فایل _readme.txt را در ریشه درایو C:\ ذخیره می‌کند.

بازیابی فایل های رمزگذاری شده توسط باج‌ افزار Stop/Djvu

به طور قطع می‌توانید به افرادی که باج‌افزار را اجرا کرده‌اند پرداخت کنید، اما لازم به ذکر است که آنها افراد کلاهبردار هستند و هیچ تضمینی وجود ندارد که پس از پرداخت مبلغ مورد نظر، کلید رمزگشایی را دریافت کنید. علاوه بر این، این افراد ممکن است پس از دریافت وجه، شما را نادیده بگیرند و کاری نداشته باشند جز اینکه به دنبال راه‌های جدیدی برای افزایش مبلغی که از شما دریافت می‌کنند باشند. همچنین باید به این نکته توجه داشت که برخی محدودیت‌هایی برای بازیابی فایل‌ها وجود دارد. به عبارت دیگر، شما ممکن است توسط ابزارهای رمزگشایی آفلاین که توسط توسعه‌دهندگان Emsisoft Decryptor ارائه شده است، توانایی بازگشایی اطلاعات رمزگذاری شده با کلید‌های آفلاین را داشته باشید. با این حال، شما نمی‌توانید فایل‌هایی که با شناسه ONLINE و برخی از نسخه‌های اخیر STOP/DJVU که پس از آگوست 2019 توسعه یافته‌اند را بازگشایی کنید. در مورد نسخه‌های قدیمی‌تر، ممکن است با استفاده از جفت فایل‌های رمزگذاری‌شده و منبع ارائه‌شده در پورتال Decryptor STOP Djvu، توانایی بازگشایی فایل‌ها را داشته باشید.

چگونه از ورود باج‌ افزار Stop/Djvu جلوگیری کنیم؟

✔از اطلاعات خود پشتیبان تهیه کنید❕

تهیه نسخه پشتیبان از اطلاعات شما بهترین راه برای حفاظت از آنها است. بهتر است از اطلاعات خود روی یک رسانه جداگانه که به سیستم شما متصل نیست نسخه پشتیبان تهیه کنید. البته، نیازی نیست که از همه چیز پشتیبان گیری کنید، بلکه می‌توانید از مهم‌ترین فایل‌ها نسخه پشتیبان تهیه کنید. به عنوان مثال، برخی از ویروس‌های باج‌افزار ممکن است فایل‌هایی که در ابرهای ذخیره‌سازی آنلاین قرار دارند را آسیب برسانند، بنابراین استفاده از یک هارد دیسک خارجی که در جایی جدا از سیستم شما قرار دارد، بهترین انتخاب خواهد بود.

✔ سیستم عامل خود را همیشه به روز نگه دارید❕

استفاده از یک سیستم و نرم‌افزار به‌روز به این معناست که شما از بهترین نسخه‌های ممکن در آن زمان استفاده می‌کنید. استفاده از نرم‌افزارهای قدیمی احتمال هک شدن یا آلوده شدن کامپیوتر شما را افزایش می‌دهد. توسعه‌دهندگان نرم‌افزار به‌روزرسانی‌هایی را برای رفع باگ‌ها، آسیب‌پذیری‌ها و مشکلات منتشر می‌کنند و نصب آنها به معنای بهبود ضعف‌های نرم‌افزار و جلوگیری از سوء استفاده هکرها از آن‌ها است.

نتیجه‌گیری:

در دنیای امروزی، باج‌ افزار Stop/Djvu یک تهدید جدی در دنیای سایبری به شمار می‌رود که به داده‌ها و اطلاعات کاربران آسیب می‌زند. این مقاله به معرفی عملکرد و ویژگی‌های این باج‌افزار پررنگ و همچنین ارائه راهکارهای اساسی برای مقابله با آن پرداخت. مهمترین اقدامات شامل پشتیبان‌گیری منظم از داده‌ها، به‌روزرسانی نرم‌افزارها و سیستم‌عامل، استفاده از نرم‌افزارهای امنیتی و عدم پرداخت هزینه‌های مورد نیاز برای رمزگشایی فایل‌ها می‌باشند. اهمیت این اقدامات نمی‌تواند بیشتر تأکید شود و به کاربران و سازمان‌ها کمک می‌کند تا داده‌های خود را از دست ندهند و از تهدیدات سایبری محافظت کنند. این راهکارها باید به عنوان یک جزء اساسی از استراتژی امنیتی هر کاربر و سازمان در دنیای دیجیتال در نظر گرفته شوند. توجه به این موارد می‌تواند به جلوگیری از از دست دادن داده‌های ارزشمند و کاهش تأثیر باج‌افزارها کمک کند.

https://gridinsoft.com/ransomware/djvu

باج افزار Exfiltration یکی دیگر از انواع باج افزار است که به استخراج داده‌ها می‌پردازد. این روزها گروه‌های باج‌افزار با تهدید به انتشار عمومی داده‌های محرمانه، فشار بیشتری را بر قربانیان وارد می‌کنند تا قربانیان به خاطر وعده حذف کامل یا محرمانه نگه داشتن داده‌ها باج را بپردازند. گروه‌های باج‌افزار علاوه بر ارسال عمومی داده‌ها، داده‌های دزدیده شده را در انجمن‌های مجرمان سایبری و بازارهای وب تاریک برای درآمد بیشتر می‌فروشند. داده‌های Chainalysis نشان می‌دهد که مبلغ پرداختی توسط قربانیان باج‌افزار 311 درصد در سال 2020 افزایش یافته و همچنین 350 میلیون دلار ارز دیجیتال نیز باج گرفته شده است. برای پاکسازی باج افزار Exfiltration با ما تماس بگیرید.

باج افزار Exfiltration چیست؟

باج‌افزار Exfiltration یک نوع نرم‌افزار خبیث است که به منظور دسترسی غیرمجاز به داده‌ها و اطلاعات سازمانی طراحی شده است. این نوع باج‌افزار به شکل‌های مختلفی عمل می‌کند، از جمله رمزگذاری اطلاعات یا انتقال آنها به سرورهای مختصری که توسط مهاجمین کنترل می‌شوند. علاوه بر این، باج‌افزار Exfiltration معمولاً از روش‌هایی مبتنی بر شبکه برای انتقال اطلاعات استفاده می‌کند، مانند پروتکل‌های مخفی‌کاری یا استفاده از پورت‌های غیرمعمول.

حذف باج افزار Exfiltration

پاکسازی ویروس باج گیر یک وظیفه چالش برانگیز و حساس است که نیاز به توجه و مهارت دارد. در صورتی که سازمان یا شخصی با حمله این نوع باج‌افزار مواجه شود، مراحل زیر می‌توانند به حذف آن کمک کنند:

1. جدا سازی سیستم‌های آلوده: اگر ممکن است یک یا چند سیستم آلوده باج‌افزار Exfiltration داشته باشند، باید آن سیستم‌ها از شبکه جدا شوند تا جلوی انتشار بیشتر باج‌افزار را بگیرند.
2. تخلیه شبکه: پس از جدا سازی سیستم‌های آلوده، تخلیه شبکه از هر نوع ترافیک مخرب و مشکوک می‌تواند به جلوگیری از انتقال داده‌ها توسط باج‌افزار Exfiltration کمک کند.
3. تجزیه و تحلیل باج‌افزار: برای شناسایی نوع و عملکرد باج‌افزار Exfiltration، نیاز به تجزیه و تحلیل آن دارید. متخصصان امنیت می‌توانند به شناسایی کدها و عملکرد نرم‌افزار کمک کنند.
4. تخلیه و بازنشانی سیستم‌ها: سیستم‌هایی که تأیید شده است که توسط باج‌افزار آلوده شده‌اند، باید تخلیه و بازنشانی شوند. این به معنای حذف کامل نرم‌افزار باج‌افزار و نصب مجدد سیستم عامل و برنامه‌ها است.
5. به روزرسانی نرم‌افزارها و سیستم عامل: به‌روز نگه‌داشتن تمام نرم‌افزارها و سیستم عامل به آخرین نسخه‌ها و پچ‌های امنیتی موجود می‌تواند به جلوگیری از حملات مشابه در آینده کمک کند.
6. پیگیری و آموزش: پس از حذف باج‌افزار Exfiltration، مهم است تا برای پیگیری و ارتقاء امنیت سیستم‌ها و داده‌ها تلاش کنید. آموزش کارکنان در مورد شناسایی و پیشگیری از حملات امنیتی نیز بسیار اهمیت دارد.

تکنیک‌های باج افزار Exfiltration

بیشتر آلودگی‌های باج‌افزار از طریق یک حمله اولیه ساده، مانند ایمیل فیشینگ یا بهره‌برداری از پروتکل دسک‌تاپ از راه دور آغاز می‌شوند. پس از دسترسی اولیه، مجرمان سایبری از بدافزارها، ابزارهای تست نفوذ منبع باز و… برای افزایش امتیازات و حرکت جانبی در سراسر شبکه قربانی استفاده می‌کنند. افزایش دسترسی شبکه به CTA ها اجازه می‌دهد داده های حیاتی برای استخراج و رمزگذاری مورد هدف قرار گیرند.

تأثیرات باج افزار Exfiltration

باج‌افزار Exfiltration تأثیرات جدی بر امنیت سازمان‌ها و افراد دارد. این تأثیرات شامل موارد زیر می‌شوند:

1. دسترسی به داده‌های حساس: باج‌افزار Exfiltration به مهاجمین اجازه می‌دهد تا به داده‌ها و اطلاعات حساس سازمان دسترسی یابند. این اطلاعات می‌تواند اطلاعات مالی، اطلاعات مشتریان، یا اطلاعات مهم دیگر باشد.
2. خسارت به اعتبار سازمان: از آنجایی که باج‌افزار Exfiltration معمولاً به تهدید امنیت داده‌ها پایان می‌دهد و اطلاعات را تا زمان پرداخت اجازه بازیابی نمی‌دهد، سازمان‌ها ممکن است خسارات مالی و اعتباری قابل توجهی ببینند.

روش‌های پیشگیری و مقابله با باج افزار Exfiltration

برای پیشگیری از حملات باج‌افزار Exfiltration و مقابله با آن، سازمان‌ها می‌توانند اقدامات امنیتی زیر را اتخاذ کنند:

1. استفاده از نرم‌افزارهای امنیتی: استفاده از نرم‌افزارهای مخصوص امنیت، اسکنرهای آنتی‌ویروس و جلوگیری از نفوذ می‌تواند به شناسایی و جلوگیری از حملات Exfiltration کمک کند.
2. آموزش کارکنان: آموزش کارکنان در مورد شناسایی پیام‌های پیشنهادی، نگهداری از رمزها و به‌روزرسانی نرم‌افزارها می‌تواند به جلوگیری از حملات موفق Exfiltration کمک کند.
3. رمزنگاری داده‌ها: استفاده از رمزنگاری برای محافظت از داده‌های حساس در صورت دسترسی مهاجمین به آنها می‌تواند اطلاعات را محافظت کند.
4. پشتیبان‌گیری منظم: ایجاد نسخه‌پشتیبان منظم از داده‌ها به سازمان‌ها کمک می‌کند تا در صورت حملات Exfiltration قادر به بازیابی اطلاعات باشند.

باید توجه داشت که مقابله با باج افزار Exfiltration نیاز به همکاری با تیم‌های امنیتی حرفه‌ای دارد. همچنین، پرداخت هزینه‌های باج‌افزار توصیه نمی‌شود، زیرا ممکن است به تقویت تهدیدات امنیتی دیگر انگیزه دهد.

باج افزار Bucbi یکی از انواع باج افزار است که با پیشرفت فناوری و استفاده گسترده از اینترنت، حفظ امنیت اطلاعات در مقابل حملات سایبری امری بسیار حائز اهمیت شده است. نرم افزارهای مخرب و مخصوصاً برنامه‌های باج افزار، به عنوان یکی از تهدیدات عمده در حوزه امنیت سایبری شناخته می‌شوند. در این مقاله، با نرم افزار باج افزار Bucbi آشنا خواهیم شد و درک بهتری از اهمیت آن در حفاظت از اطلاعات خواهیم داشت.

۱. باج افزار Bucbi چیست و عملکرد آن به چه صورت است؟

۱.۱ تعریف باج افزار

باج افزارها یک نوع نرم افزار مخرب هستند که از طریق رمزگذاری فایل‌ها یا محدود کردن دسترسی به سیستم، از کار انداختن آن را ایجاد می‌کنند. بعد از آن، قربانی برای بازگرداندن دسترسی یا اطلاعات خود مجبور به پرداخت یک مبلغ از قبیل بیت کوین می‌شود.

۱.۲ باج افزار Bucbi

باج افزار Bucbi یکی از مخرب‌ترین و پرطرفدارترین نرم افزارهای باج افزار است. این نرم افزار مخرب ابتدا با نفوذ به سیستم هدف، فایل‌های مختلف را رمزگذاری می‌کند و سپس تقاضای پرداخت باج را نمایش می‌دهد. تلاش برای بازیابی اطلاعات بدون پرداخت مبلغ مشخصی، ممکن است باعث از دست رفتن داده‌های مهم و ارزشمند شود.

مطلب مرتبط: پاکسازی ویروس باج افزار

۲. خطرات و اثرات آسیب‌رسان باج افزار Bucbi

۲.۱ تهدید امنیتی

باج افزار Bucbi به عنوان یک تهدید جدی در حوزه امنیت سایبری شناخته می‌شود. وقتی این نرم افزار مخرب وارد یک سیستم می‌شود، می‌تواند تمامی فایل‌ها را رمزگذاری کند و از کار انداختن سیستم را ممکن سازد. این موضوع می‌تواند منجر به آسیب جدی به سازمان‌ها و فردی شود که در معرض این تهدید قرار گیرند.

۲.۲ از دست دادن اطلاعات مهم

با پرداخت باج، فرد مورد حمله قادر به بازیابی فایل‌های خود می‌شود؛ اما در صورتی که این مبلغ پرداخت نشود، اطلاعات مهم و ارزشمندی که در فایل‌ها قرار دارند از بین خواهد رفت. این مسئله برای شرکت‌ها و فردانی که از اطلاعات حساس استفاده می‌کنند، بسیار خطرناک است.

۳. راهکارهای مقابله با باج افزار Bucbi

۳.۱ بروزرسانی نرم افزارها

بروزرسانی نرم افزارها و سیستم عامل به آخرین نسخه‌ها، از جمله راهکارهای مهم در مقابله با باج افزار Bucbi است. بروزرسانی‌ها عموماً شامل بهبودهای امنیتی می‌شوند که می‌توانند از نفوذ این نرم افزار جلوگیری کنند.

۳.۲ پشتیبان‌گیری منظم

برای جلوگیری از از دست دادن اطلاعات در صورت حمله باج افزار Bucbi، باید بر روی پشتیبان‌گیری منظم از داده

‌ها تأکید کرد. به این ترتیب، در صورت لزوم، می‌توان از نسخه‌های پشتیبان فایل‌ها استفاده کرد و از از دست رفتن اطلاعات جلوگیری کرد.

۴. نتیجه‌گیری

باج افزار Bucbi به عنوان یک نرم افزار مخرب قدرتمند، تهدید جدی‌ای در حوزه امنیت سایبری است. در این مقاله، با مفهوم باج افزار و عملکرد نرم افزار Bucbi آشنا شدیم و همچنین خطرات و اثرات آسیب‌رسان آن را مورد بررسی قرار دادیم. همچنین، راهکارهایی را برای مقابله با این تهدید ارائه دادیم. حفظ امنیت اطلاعات از اهمیت بسیاری برخوردار است و برای جلوگیری از وقوع حملات باج افزاری مانند Bucbi، باید از راهکارهای مؤثر و قابل اعتماد استفاده کرد. این باج افزار برای سازمان‌ها و افرادی که به اطلاعات حساس دسترسی دارند، تهدید جدی‌ای محسوب می‌شود. برای حفاظت از اطلاعات خود، باید از راهکارهای امنیتی مناسبی مانند بروزرسانی نرم افزارها و پشتیبان استفاده کرد.

پرسش‌های متداول

پرسش ۱: آیا باج افزار Bucbi فقط بر روی سیستم‌های ویندوز اثر می‌گذارد؟

پاسخ: خیر، باج افزار Bucbi قابلیت تأثیرگذاری بر روی سیستم‌های عامل مختلف از جمله ویندوز، مک، و لینوکس را دارد.

پرسش ۲: آیا پرداخت باج تضمین بازیابی فایل‌ها را به معنایی حتمی دارد؟

پاسخ: هرچند با پرداخت باج می‌توانید دسترسی به فایل‌های خود را بازیابی کنید، اما هیچ تضمینی وجود ندارد که پس از پرداخت باج، اطلاعات شما بدون تغییر بازگردانده شود.

پرسش ۳: آیا نصب یک نرم افزار ضد ویروس می‌تواند از نفوذ باج افزار Bucbi جلوگیری کند؟

پاسخ: نصب یک نرم افزار ضد ویروس می‌تواند به طور قابل توجهی امنیت سیستم را تقویت کند، اما برای مقابله با باج افزار Bucbi، باید از روش‌های دیگری همچون بروزرسانی نرم افزارها و پشتیبان‌گیری منظم نیز استفاده کرد.

پرسش ۴: آیا قربانیان باج افزار Bucbi می‌توانند با اطلاعات دیگری به غیر از بیت کوین برای پرداخت باج مواجه شوند؟

پاسخ: به طور کلی، باج افزارها از پرداخت با بیت کوین برای سادگی و ردیابی دشوارتر مبالغ استفاده می‌کنند. بنابراین، در بسیاری از موارد، پرداخت باج با استفاده از بیت کوین درخواست می‌شود.

پرسش ۵: چه تدابیری باید در صورت آلوده شدن سیستم به باج افزار Bucbi اتخاذ کرد؟

پاسخ: در صورت آلوده شدن سیستم به باج افزار Bucbi، اهمیت دارد که فوراً به یک تکنسین حرفه‌ای مراجعه کنید. آنها می‌توانند با استفاده از ابزارها و تکنیک‌های مختلف، تلاش کنند تا فایل‌های رمزگذاری شده را بازیابی کنند و به حل مشکل کمک کنند.

ویروس باج افزار یا باج‌ گیر (ransomware) نوعی از بد‌‌افزارها هستند که کارشان حمله به سیستم‌های مختلفی مانند کامپیوتر، لپتاپ، موبایل و… است که باعث از بین رفتن دسترسی کاربر به اطلاعاتش از طریق “رمزگذاری داده‌های” او می‌شوند و برای اجازه‌ی دسترسی دوباره باج می‌خواهند. باج‌افزار Locky(لاکی) یکی دیگر از خطرناک‌ترین انواع باج‌افزار است. نوعی حمله سایبری است که با استفاده از بدافزارها دسترسی به یک سیستم رایانه‌ای یا فایل‌های موجود در آن را تا زمان پرداخت باج مسدود کند.

باج افزار locky (لاکی) چیست؟

باج افزار Locky یکی از انواع بدافزار است که به رمزگذاری فایل‌های مهم رایانه شما می‌پردازد و آن‌ها را غیر قابل دسترس می‌کند. این باج افزار اطلاعات قربانیان را به گروگان می‌گیرد و در ازای بازگشت فایل‌ها از آن‌ها باج می‌خواهد.

باج افزار Locky یکی از بدترین انواع باج افزاری است که در حال حاظر به دیتابیس‌های شرکتی و کسب و کارها حمله می‌کند. یکی از ویژگی‌های متمایز کننده این باج افزار عملکرد آن در حالت آفلاین است و این ویژگی از او در مقابل مراجع قانونی و بسیاری از آنتی ویروس‌های آنلاین محافظت میکند.

روش رمزگذاری باج افزار Locky

این باج افزار بعد از اینکه فایل‌ها را رمزگذاری کرد، فایل HELPinstructions.html را در هر پوشه که حاوی فایل‌های رمزگذاری شده است را ایجاد می‌کند و همچنین تصویر دسکتاپ را نیز تغییر می‌دهد.

در اینجا فایل متنی و تصویر زمینه حاوی پیام یکسانی هستند که کاربران را از رمزگذاری مطلع می‌کنند و از طریق آن به قربانیان گفته می‌شود که فایل‌ها در صورتی باز می‌شوند یا دوباره در دسترس قرار می‌گیرند که یا از یک decrypter پیشرفته استفاده شود و یا توسط مجرمان و با پرداخت هزینه تقریبا 0.5 بیتکوین رمزگشایی شود.(که این رقم درطول زمان دائما در حال تغییر است).

اما این نکته را باید در نظر گرفت که در حال حاضر، هیچ ابزاری خاصی وجود ندارد که بتواند به رمزگشایی فایل‌های آسیب دیده توسط این باج افزار بپردازد و تنها راه حل موجود برای این مشکل این است که از یک نسخه پشتیبان برای بازگشایی رمزها استفاده شود.

نمونه هایی زیاد و گوناگونی از باج افزارهایی که مشابه باج افزار Locky(لاکی) عمل کنند وجود دارند. باج افزارهایی مانند Cryptowall، JobCrypter، UmbreCrypt، TeslaCrypt که تفاوت اصلی آن‌ها با باج افزار فوق در اندازه باج خواسته شده و نوع الگوریتم استفاده شده برای رمزگذاری فایل‌ها است.

در تحقیقات اخیر و گزارشات مختلف اذعان شده است که تضمین خاصی از سوی باج‌گیران وجود ندارد که فایل‌های رمزگذاری شده را حتی بعد از پرداخت وجه خواسته شده، رمزگشایی کنند و فایل‌ها را در اختیار کاربران قرار دهند.

چگونه می توانم باج افزار Locky را شناسایی کنم؟

اصلی ترین راه ورود این باج افزار از طریق ایمیل‌های اسپم شده و فایل‌های مخرب است. این ایمیل‌ها اغلب به صورت حساب‌های پرداختنی با موضوعاتی مانند پرداخت‌های آینده و اطلاعیه‌های مختلف کاری به دست کاربر می‌رسد. از آنجایی که اکثر کاربران قربانی شرکت‌ها و کسب و کارها هستند همچین پیغامی ممکن است آن‌ها را به باز کردن ایمیل‌ها و این پیوست‌ها ترغیب کند.

در اینجا اگر نکات ایمنی قبل از هجوم را رعایت کرده باشیم و یک ضد باج افزار قوی روی سیستم نصب شده باشد، می‌توان به راحتی به شناسایی باج افزار بپردازید و قبل از باز کردن فایل‌ها و پخش ویروس بر روی سیستم آن را حذف کنید.

چگونه می توان باج افزار Locky را حذف کرد؟

این باج افزار را نمیتوان به صورت دستی  حذف کرد و یا با استفاده از آنتی ویروس به مقابله با آن پرداخت. برای از بین بردن باج افزار Locky باید تمام کدهای اعمال شده بر روی فایل ها را دی‌کد یا رمزگشایی کرد. برای این کار شما به متخصصانی احتیاج دارید که توانایی بازگشت تام و تمام اطلاعاتتان را داشته باشد. برای اینکار میتوانید به تیم ما اطمینان کامل داشته باشید.

اورژانس باج‌افزار که از گروهی از متخصصان امنیت دیجیتال تشکیل شده است، تلاش می‌کند راهکارهایی برای جلوگیری از آلودگی، شکستن قفل و بازیابی اطلاعات دیتابیس‌های آلوده به باج‌افزار را با جدیدترین متدهای روز جهان در اختیار شما قرار دهد و تمام اطلاعات به سرقت رفته شما را در کمتر از 24 ساعت بازیابی کند.

راهکارهای حفاظتی برای مقابله با باج افزار Locky:

بسیاری از راهکار های قبل از حمله این باج افزار با دیگر انواع باج افزار مشابه است که ما در مقاله مقابله با باج افزار به طور مفصل به توضیح آنها پرداخته‌ایم و در اینجا نیز برخی از راهکارهای حفاظتی مهم برای مقابله با این باج افزار را ارائه کرده‌ایم که به شرح زیر است:

محافظت از دیتا بیس‌های شرکت در برابر باج افزار Locky

بهترین راه برای محافظت از اطلاعات خود در برابر اثرات ناشی از حملات باج افزار Locky، در وهله ی اول جلوگیری از ورود این بدافزار به سیستم است. یک رویکرد گسترده نسبت به امنیت داخلی ابتدایی ترین چیزی است که ما توصیه می کنیم.

_نصب یک آنتی ویروس خوب برای محافظت از اطلاعات هر شرکتی ضروری است، اما کافی نیست. برای محافظت کامل، توصیه می‌شود که ابزاری را انتخاب کنید که می‌تواند فیلتر DNS، اسکن سریع و لحظه‌ای، مسدود کردن بدافزار مبتنی بر ترافیک و حفاظت چندلایه مبتنی بر هوش مصنوعی را ارائه دهد. یکی از آنتی ویروس‌های شناخته شده برای این آنتی ویروس Avast One است که هم بصورت رایگان و هم پریمیوم آن در دسترس است.

امنیت ایمیل

بسیاری از هکرها بر این امر که شما توجه خاصی به محتوای واقعی ایمیل‌هایتان ندارید تکیه کرده‌اند و امید دارند که با باز کردن یک پیوست مخرب ارسال شده یا کلیک روی یک پیوند جعلی آلوده شوید. هرگز پیوست‌ها را باز نکنید و یا پیوندهای دریافتی از منابع ناشناخته و غیرمنتظره را نادیده بگیرید. همچنین همه‌ی شرکت‌ها باید در مورد یک راه حل محافظت از ایمیل فکر کنند.

محافظت از حساب های شخصی خود در برابر باج افزار Locky

هنگام محافظت از سیستم خود در برابر حملاتی مانند حملات ویروس Locky، مهم است بدانید فایروال شما به تنهایی قادر به محافظت از دستگاه‌های شما نیست. داشتن یک راه حل امنیتی همه جانبه در محل زندگی خود به همان اندازه روش‌های حفاظتی که در محل کار خود انجام می دهید مهم است.

سخن پایانی…

در دنیایی که امروز در آن زندگی می کنیم که بخش اعظمی از آن را فضای دیجیتال در بر گرفته است، شناختن و دانستن در مورد تهدیدهای بالقوه‌ای که در میان ما زندگی می‌کنند و هر لحظه ممکن است دچار ترس و استرس ما شوند بسیار مهم است. ما دیگر نمی توانیم دست روی دست بگذاریم و منتظر بمانیم تا اتفاقی بیفتد و سپس واکنش نشان دهیم.

ما باید فعالانه در مورد تهدیدهای اطرافمان بیاموزیم، در غیر این صورت هکرها و مهاجمان سایبری به طور دائم و پیوسته می‌توانند دستگاه‌های ما را به خطر بیاندازند و اطلاعات ما رمزگذاری کنند و یا از بین ببرند. و تفاوتی ندارد که در مورد چه نوع ویروسی سخن گفته می‌شود، باید هر لحظه مطمئن شوید که شما و شرکتتان اقدامات لازم را انجام داده‌اید.

باج افزار Petya(پیتا) یکی دیگر از انواع باج افزار است که در دسته‌ی باج افزار Crypto( رمزگذاری) قرار می‌گیرد که سروکارش با ویندوز مایکروسافت است و به آلوده کردن رایانه‌هایی می‌پردازد که از این ویندوز استفاده می‌کند.

ویروس باج افزار چیست؟

ویروس باج‌ افزار (ransomware) نوعی از بد‌‌افزارها هستند که کارشان حمله به سیستم‌های مختلفی مانند کامپیوتر، لپتاپ، موبایل و… است که باعث از بین رفتن دسترسی کاربر به اطلاعاتش از طریق “رمزگذاری داده‌های” او می‌شوند و برای اجازه‌ی دسترسی دوباره باج می‌خواهند. باج افزار پتیا (Petya)، بایگانی و یا فضای اصلی بوت را آلوده و باری را اجرایی می‌کند که به رمزگذاری داده‌های روی هارد دیسک بپردازد. قفل داده‌ها تنها در صورت در دست داشتن کلید رمزگذاری باز می‌شود؛ یعنی پس از پرداخت باج و تهیه کلید رمزگشایی.

تاریخچه باج افزار Petya(پتیا):

پتیا برای اولین بار در سال 2016 دیده شد، ولی در سال 2017 با یک حمله سایبری وسیع علیه اهداف اوکراینی، بسیار خبرساز شد. این ویروس به سرعت در سراسر جهان گسترش یافت، کسب و کارها را فلج کرد و باعث خسارت چند میلیارد دلاری به آن‌ها شد. نوع جدیدی از این باج افزار وجود دارد که به دلیل تفاوت‌های کلیدی با نسخه اصلی، «NotPetya» نامیده می‌شود. این گونه‌ی جدید بدون اینکه کاربر کاری انجام دهد، سیستم‌های جدید را آلوده می‌کند. این نوع رفتار بیشتر به “کرم باج”(ransomworm) شبیه است تا یک ویروس سنتی. NotPetya به طور محدود مورد استفاده قرار گرفت، اگرچه به سرعت رشد کرد و به یک تهدید گسترده تبدیل شد اما به خیلی محدود مورد استفاده قرار گرفت. در مورد این ویروس جالب است که حتی با وجود نمایش نشانه‌های معمول حمله باج‌افزار – مانند تقاضای باج‌افزار – این ویروس برای باج گیری ساخته نشده بود. بررسی این ویژگی‌ها باعث این نتیجه‌گیری از سوی محققان شد که این ویروس نه یک عمل و حمله‌ی سایبری بلکه یک حمله مخرب تحت حمایت دولت است.

_{اورژانس باج افزار گروهی از متشکل از متخصصان امینت سایبری در کنار شماست تا بتوانید بدون پرداخت باج، اطلاعاتتان را بصورت کامل بازیابی کنید و اقدام به از بین بردن باج افزار کنید} ❗❗❗

نحوه حذف باج افزار Petya (پتیا)

مانند اکثر ویروس‌های باج افزار، حذف کردن باج افزار Petya پس از انتشار و آلوده کردن سیستم به سختی انجام پذیر است. در بیشتر موارد، قربانی به امید اینکه کلید را به دست می‌آورد یا نه باید تصمیم بگیرد که باج را بپردازد یا اینکه همه چیز را از بین ببرد و به بازیابی اطلاعات از طریق نسخه بشتیبانی بپردازد. ما در اینجا به طور کلی میخواهیم به آنچه که باید قبل، در زمان وقوع و بعد از حمله انجام دهید را شرح خواهیم داد.👇

قبل از وقوع حمله

در اینجا نیز قابل بازگویی است که پیشگیری بهتر از درمان است. یعنی اینکه بهترین استراتژی امنیتی این است که به طور کامل باعث عدم ورود باج افزار به سیستم شویم. که البته این امر مستلزم برنامه ریزی قبل از وقوع بحران است.

• پشتیبان گیری و بازیابی: مهمترین بخش هر استراتژی امنیتی باج افزار، پشتیبان‌گیری پیوسته و منظم از داده‌های در دست است. به طور چشمگیری آمار نشان دهنده این است که  تعداد کمی از سازمان‌ها، پشتیبان‌گیری و بازیابی را انجام می‌دهند. هر دو بخش_پشتیبان گیری و بازیابی_ دارای اهمیت هستند. انجام بازیابی در بازه‌های زمانی مختلف به صورت تمرینی، تنها راهی است که می‌توان دانست که آیا طرح پشتیبان ما فعال است و کار می کند یا نه❗
• به روز رسانی و تعمیر مشکلات سیستم: سیستم عامل‌ها، نرم افزارهای امنیتی و پچ‌ها یا همان برنامه های تعمیرگر نارسایی های سیستمی، برای همه بخش های دستگاه باید به روز باشند.
• تعلیم و آموزش کاربران: آموزش و آگاهی کارکنان بسیار مهم است. کارمندان شما و یا تمام یوزرهای متصل به سیستم شما باید بدانند چه بکنند و چه نه، چگونه از باج افزار دوری کرده و یا چگونه آن را گزارش دهند. اگر کارمندان با درخواست باج از طرف باج‌افزاری را دریافت کردند، باید بدانند که سریعا آن را به تیم امنیتی گزارش داده – و هرگز و هرگز سعی در پرداخت باج نداشته باشند.
• سرمایه گذاری در راه حل‌های امنیتی برای حذف باج افزار Petya: حتی با انجام  بهترین آموزش برای کاربران نمی‌توان امید داشت که هیچ وقت به ویروس باج افزار مبتلا نمی‌شویم. راه‌حل‌های امنیتی پیشرفته‌ای برای ایمیل وجود دارد که سیستم را در برابر پیوست‌ و لینک‌های مخرب، اسناد و URLهای موجود در ایمیل‌ها که باعث نفوذ باج‌افزار می‌شوند، مقاوم و از آن محافظت می‌کند.

در طول حمله

• کامپیوتر را خاموش کنید و از شبکه جدا شوید: ویروس باج افزار Petya تقریبا یک ساعت پس از آلوده کردن سیستم و نمایش پیام مبنی بر اینکه سیستم فایل در حال تعمیر است، منتظر می‌ماند. کارشناسان می گویند با خاموش کردن دستگاه ممکن است برخی از فایل ها کدگذاری و یا آلوده نشوند. زمانی که کارمندان تقاضای باج افزار را ببینند یا متوجه شوند چیز غیر عادی‌ای رخ داده است، باید از شبکه جدا و سیستم آلوده را به بخش فناوری اطلاعات ببرند و فقط تیم امنیت فناوری اطلاعات باید به راه‌اندازی مجدد سیستم بپردازد.
• محدوده مشکل را بر اساس اطلاعات تهدید مشخص کنید: پاسخ شما به چندین عامل بستگی دارد:
  • نوع حمله
  • چه کسی در شبکه شما در معرض خطر است.
  • هر حساب در معرض خطر چه مجوزهای شبکه ای دارد.
• بازیابی از پشتیبان گیری: تنها راه برای بازیابی کامل از آلودگی باج افزار، بازیابی همه اطلاعات از پشتیبان است.

روی ابزارهای رمزگشایی رایگان باج افزار حساب نکنید❗

اکثر ابزارهای رایگان فقط برای یکی از انواع باج افزار یا نهایتا برای یک کمپین خاص حمله کارایی دارند. به همان طریقی که مهاجمان سایبری، باج افزار خود را به روز می‌کنند، ابزارهای رایگان قدیمی توان مقابله با آن‌ها را ندارند. آن‌ها کاراییشان را از دست داده و احتمالاً برای باج افزارهای جدید کار نکنند و آنها را از بین نبرند.

بعد از وقوع حمله

توصیه ما به شما این است که یک ارزیابی امنیتی کامل را برای یافتن تهدیدهایی که ممکن است هنوز در محیط شما باقی مانده باشند را انجام دهید. ابزارها و روش های امنیتی خود را به شکل دقیق و موشکافانه ای بررسی کنید که متوجه شوید کجا کم کاری کرده اید.

• پاک کردن: برخی از باج افزارها حاوی تهدیدات دیگر یا تروجان‌های به جا مانده‌ای هستند که می توانند در آینده به نوعی تهدید تبدیل شوند. در خیلی از موارد دیده شده است، محیط که قبلا آلوده شده بود خود به عنوان دری برای ورود مجدد باج افزار عمل کرده استبه دنبال تهدیدها و خطرات پنهانی باشید که ممکن است نادیده گرفته شده باشند.
• بررسی پس از حذف: آنچه که به نظرتان باعث این حملات شده است را بررسی کرده و زنجیره رویدادهایی و پاسختان نسبت به تهدید های بالقوه را مرور کنید. بدون اینکه کشف کنید که حمله باج افزار چگونه صورت گرفته است، هیچ راهی برای توقف حمله بعدی نخواهید داشت.
• ارزیابی آگاهی کاربران: مطمعا شوید که کارمندان، کارکنان یا اعضای مربوطه و متصل به وظیفه خود عمل به طور کامل عمل می کنند. چرا که یک کارمند مطلع و آگاه آخرین کسی است که قادر به دفاع از حملات است.
• آموزش کارکنان: یک برنامه منظم برای رسیدگی به آسیب پذیری کارکنان در برابر حملات سایبری بسیار کمک کننده است. در صورتی که در آینده حمله ای رخ داد، یک برنامه ارتباطی بحران بسازید.

راه حل های را دنبال کنید که با تهدیدات جدید و نوظهور سازگار باشند و به شما کمک کنند سریعتر به آلودگی ها پاسخ دهید.

باج افزار Thanos توسط GrujaRS که یک پژوهشگر مستقل امنیتی است شناخته شد و یکی دیگر از انواع باج افزار است که در دسته‌ی باج افزار Crypto( رمزگذاری) قرار می‌گیرد. این باج افزار با افزودن پسوند “locked” نام فایل‌ها را تغییر و پس از آن پیغام درخواست باج را نمایش می‌دهد. به عنوان مثال پس از رمزگذاری، “1.jpg” به “1.jpg.locked” و “jpg2” به “2.jpg.locked” و غیره تغییر پیدا می‌کنند. در مقاله پسوندهای باج افزار به طور مفصل به پسوندهای مورد استفاده باج افزار پرداخته‌ایم. باج افزار Thanos فایل متنی “HOW_TO_DECYPHER_FILES.txt” (پیام باج) را در پوشه‌هایی که رمزگذاری شده‌اند را ایجاد کرده و به نمایش در می‌آورد.

یادداشتی که باج افزار Thanos نمایش می‌دهد

پیام باج افزار تانوس(Thanos) بدین شرح است: همه فایل‌های سیستم شما رمزگذاری شده و کپی‌های shadow  از بین رفته‌اند. همچنین، تمام فایل‌های موجودی که در کامپیوتر شما ذخیره شده‌اند را دانلود کرده‌ایم و در صورت عدم پرداخت باج، تمامی اطلاعات در دست را پخش خواهیم کرد.

متأسفانه، قربانیان حملات باج‌ گیر تانوس (Thanos) قادر نخواهند بود که فایل‌های خود را بدون ابزارهایی که مهاجمان و توسعه دهندگان این باج افزار در دست دارند را رمزگشایی کنند. بدین وسیله هیچ ابزاری از طرف شخص دیگری وجود ندارد که اطلاعاتی را که توسط باج افزار Thanos رمزگذاری شده را باز کند. تنها راه بازیابی فایل ها، از طریق پشتیبان است. و هیچوقت فراموش نکنید که به این مجرمان هرگز نباید اعتماد کرد؛ آنها اگر حتی قربانیان باج را پرداخت کنند هیچ نرم افزار یا کلید رمزگشایی را ارسال نخواهند کرد.

در تصویر زیر فایل‌های رمزگذاری شده توسط باج افزار تانوس (Thanos) را مشاهده می‌کنید (پسوند. locked):

یکی از پیام های باج افزار Thanos  که کاربران را تشویق به پرداخت باج برای رمزگشایی می‌کند.

خلاصه اطلاعاتی از باج افزار تانوس (Thanos)

نام	باج افزار تانوس (Thanos)
نوع تهدید	باج افزار، ویروس رمزنگاری، قفل فایل ها
پسوند فایل های رمزگذاری شده	locked
پیام درخواست باج	HOW_TO_DECYPHER_FILES.txt
نام های تشخیص	AVG (FileRepMalware), BitDefender (Gen:Variant.MSILHeracles.3694), ESET-NOD32 (A Variant Of MSIL/Filecoder.Thanos.A), Kaspersky (HEUR:Trojan-Ransom.Win32.Generic), Microsoft (Ransom:MSIL/Filecoder.DL!MTB)
نشانه‌ها	فایل‌های ذخیره شده در سیستم شما قفل شده‌اند، فایل‌های کاربردی قبلی پسوندشان عوض شده است،(مثلا my.docx.locked). پیغام درخواست باج روی دسکتاپ سیستم شما ظاهر می‌شود. مهاجمان برای باز کردن قفل فایل‌های شما، تقاضای باج (معمولاً به بیت کوین) دارند
روش های پخش ویروس	لینک‌های ایمیل آلوده (ماکروها)، وب سایت‌های تورنت(Torrent )، تبلیغات مخرب و آسیب‌زا.
آسیب	همه فایل‌ها و اطلاعات رمزگذاری شده‌اند و بدون اینکه باج را پرداخت باز نمی‌شوند.

حذف باج افزار Thanos

در بالا هم گفتیم که روشی دستی برای حذف این باج افزار وجود ندارد و شما یا می‌توانید از طریق پشتیبانی و یا پرداخت باج که اکیدا توصیه نمی‌شود به نتیجه برسید، اما اگر رایانه شما قبلاً به باج افزار Thanos آلوده شده است و با پرداخت باج و یا اینکه از پشتیبان استفاده کرده‌اید، توصیه می‌کنیم یک آنتی ویروس یا آنتی باج افزار را از Combo Cleaner Antivirus  بر روی ویندوز خود اجرا کنید تا به طور خودکار این باج افزار را از بین ببرید.

سوالات رایج:

کامپیوتر من از چه طریقی هک شده و مهاجمان چگونه فایل‌های من را رمزگذاری کرده‌اند؟

اغلب موارد، باج‌افزار فایل‌ها را از طریق لینک‌های آسیب دیده و خراب یا لینک‌های دریافتی از طریق ایمیل، یا صفحات دانلود نرم‌افزار کرک شده رمزگذاری می‌کند. مجرمان از روش های گوناگونی برای فریب کاربران استفاده می‌کنند.

چگونه فایل های رمزگذاری شده توسط باج افزار Thanos را باز کنیم؟

بدون رمزگشایی فایل ها  نمی توان به آن ها دسترسی  داشت.

کجا باید به دنبال ابزارهای رمزگشایی رایگان برای باج افزار Thanos بگردم؟

در صورت حمله باج افزار، باید وب سایت No More Ransom را بررسی کنید

آیا تیم اورژانس باج افزار می‌تواند این باج افزار را حذف کند؟

پاسخ ما به شما بله است.

اورژانس باج افزار با سابقه بیش از ده سال فعالیت، متشکل از گروهی از متخصصان امینت سایبری است. شما با کمک این تیم متخصص می‌توانید بدون پرداخت باج، اطلاعاتتان را بصورت کامل بازیابی کنید و به پاکسازی باج افزار بپردازید.

باج افزار GandCrab(گندکرب) یکی دیگر از انواع باج افزار است که در دسته RaaS (باج افزار به عنوان یک سرویس) قرار دارد. این باج افزار در سال 2018 توسط کارشناسان شرکت امنیت سایبری LMNTRIX کشف شد. گردانندگان این نوع باج‌افزار که حتی به باج‌افزار چابک معروف شده، با انتشار بدافزاری که تعداد کمی از آن ساخته شده بود شروع به کار کردند و روز به روز روند کار رو تسریع و آن را بهبود می‌دادند. تبلیغ و ترویج این باج افزار معمولا بین هکرهای روسی در دارک وب انجام و در یک برنامه وابسته اجرا می شود.

اورژانس باج‌افزار که از گروهی از متخصصان امنیت دیجیتال تشکیل شده است، در تلاش است که راهکارهایی برای جلوگیری از آلودگی، شکستن قفل و بازیابی اطلاعات دیتابیس‌های آلوده به باج‌افزار را با جدیدترین و بهترین متدهای روز جهان در اختیار شما قرار دهد.

باج افزار GandCrab چگونه کار می‌کند؟

برای توزیع این باج افزار از کیت‌ها یا بسته‌های بهره‌برداری RIG و GrandSoft از راه ارسال ایمیل‌های فیشینگ استفاده می‌شود. در اولین ماه شروع کار این باج گیر، آلوده‌شدن حدود 50000 هزار رایانه تخمین زده شد، که بیشتر این قربانیان اروپایی بودند و از هر قربانی چیزی حدود 400 تا 700،000 دلار ارز دیجیتال DASH باج خواسته شده بود.

باج افزار GandCrab و Vidar – یک ترکیب بدافزاری خطرناک

تقریباً یک سال پس از کشف باج افزار GandCrab، یک حمله ترکیبی از GandCrab و Vidar، شناسایی شد. Vidar طیف وسیع و زیادی از داده‌ها، از جمله گذرواژه‌ها، اسناد، اسکرین شات‌ها، اطلاعات احراز هویت دو مرحله ای ذخیره شده و کیف پول‌های ارزهای دیجیتال را برداشته و آن‌ها را به سرور C&C خود ارسال کرده بود. مرحله بعد، GandCrab رمزگذاری سیستم آلوده را شروع کرد و درخواست باج را برای قربانیان به نمایش گذاشته بود. این باج افزار برای توزیع این ترکیب از  Fallout Exploit Kit استفاده کرده بود.

مهاجمان در اینجا حتی قبل از استقرار باج افزار به اجرای یک  infostealer می‌پردازند، که حتی اگر قربانی از پرداخت باج امتناع کند، باعث تضمین حداقل درآمدی برای مهاجمان می‌شود. بدین معنا که مجرمان سایبری اگر هیچ استفاده‌ای هم از اطلاعات نکنند، به راحتی می‌توانند آن را در بازارهای زیرزمینی بفروشند.

تا چه حد باید نگران باج افزار GandCrab(گندکرب) باشیم؟

نسخه‌های اولیه این باج گیر کم‌خطر یا بعضا بی‌خطر بودند، و در محیط‌هایی کار می‌کردند که امنیت آن‌طور که باید وجود نداشت. اما الان هر کسی که هنوز از ویندوز XP یا ویندوز 2003 استفاده می‌کند در معرض خطر این باج افزار قرار دارد. در حالی که پچ مایکروسافت برای سیستم‌عامل‌های قدیمی‌تر (به استثنای ویندوز 2000) در دسترس است. واین نکته هم نیز مهم است که بسیاری از راه‌حل‌های AV خیلی وقت است از این سیستم‌عامل‌های قدیمی‌تر پشتیبانی نمی‌کنند، و آنها را تبدیل به اهداف اصلی این باج‌افزار جدید و ارتقا یافته می‌کند.

مطالب مرتبط:حذف باج افزار، رمزگشایی داده‌ها و بازیابی اطلاعات

روش محافظت در برابر باج افزار GandCrab

برای این کار فقط کافیست مراحل زیر را به درستی اجرا کنید و بعد از آن نگران این ویروس نباشید.

_از فایل های خود نسخه پشتیبان تهیه کنید

با پشتیبان‌گیری منظم، ویروس باج‌افزار خیلی کم‌خطر و بی‌آزار می‌شود. خیلی راحت سیستم خود را پاک کرده و بازیابی کنید و خیلی راحت ادامه دهید.

_مراقب پیوست‌ها و لینک‌های موجود در ایمیل باشید

اگر ایمیلی از طرف یک دوست یا هر شخص دیگری دریافت می‌کنید و به نظرتون ظاهر عجیبی داشت، مجددا آن را بررسی کنید. اگر این ایمیل از طرف شرکتی است که با آن کار می‌کنید، سعی کنید آن‌ را به وب سایت شرکت هدایت کنید و در صورت امکان، از برنامه‌های ضد بدافزار استفاده کنید.

_به طور مرتب پچ و بروزرسانی کنید

به روز نگه داشتن سیستم، مهاجمان را از سوء استفاده برای دسترسی غیرمجاز به رایانه شما جلوگیری می‌کند.

_دسترسی از راه دور را محدود کنید

بهترین راه برای محافظت در برابر حمله پروتکل دسکتاپ از راه دور (RDP) محدود کردن دسترسی آن است. از خود بپرسید این سوال واقعا پرسیدنی است که آیا واقعاً نیاز به دسترسی از راه دور به این سیستم وجود دارد؟ اگر بله که تا حد ممکن دسترسی را فقط به کاربرانی که واقعا نیاز دارند بدهید و بقیه دسترسی ها را مسدود و محدود کنید. روش بهتر، پیاده سازی یک شبکه خصوصی مجازی (VPN) برای کاربران است، این کار باعث خنثی شدن هگونه احتمال حمله RDP می‌شود.

_از رمزهای عبور قوی استفاده کنید

از رمزهای عبور یکسان در سایت‌ها استفاده نکنید. در صورتی که یک سیستم کاملاً نیاز به دسترسی از راه دور داشته باشد، از یک رمز عبور مناسب با احراز هویت چند عاملی استفاده کنید. شاید برایتان مسئله باشد که به خاطر سپردن تمام رمزهای عبور برای همه سایت‌ها و برنامه‌های مختلف کار سختی است ؛ اما جای نگرانی نیست و به راحتی میتوان از یکی از ابزارهای مدیریت رمز عبور استفاده کنید.

_ از نرم افزارهای امنیت سایبری استفاده کنید

به عنوان مثال، Malwarebytes Premium ویروس‌ها، تروجان‌ها، دانلودهای مخرب، لینک‌های بد و وب‌سایت‌های جعلی را مسدود می‌کند و با اینکار از ورود باج‌افزارهایی مانند GandCrab و سایر آلودگی‌های بدافزار جلوگیری می‌کند.

نحوه حذف باج افزار GandCrab

اگر جزء قربانیان قبلی  GandCrab بوده‌اید، احتمال زیاد نیازی به پرداخت باج نداشته باشید. در غیر این صورت، این مراحل را باید برای حذف GandCrab از رایانه شخصی خود انجام دهید.

1.نمایش پسوند فایل در ویندوز

 به طور پیش فرض، مایکروسافت ویندوز پسوندهای فایل (مانند .exe و .doc) را پنهان می کند و قبل از اینکه بتوانید مراحل بعدی را اجرا کنید ، باید پسوندها ببینید و آن‌ها را از حالت پنهان بیرون بیاورید. برای این‌کار، File Explorer را باز کرده، روی تب View کلیک کنید، و در آخر File Name Extensions را علامت بزنید. در اینجا شناخت درست و دقیق پسوندهای باج افزار و انواع مرتبط با آن‌ها ضروری است.

2.نسخه باج افزار GandCrab را تعیین کنید.

 اکنون که پسوند فایل‌ها را می‌ببینید، می‌توانید با تأیید پسوندهای فایل‌های رمزگذاری‌شده، متوجه شوید که کدام نسخه از GandCrab را سیستم شما را آلوده کرده است.

• نسخه 1 GandCrab پسوند gdcb را دارد
• نسخه 2 و 3  GandCrab پسوند crab را دارد.
• نسخه 4 GandCrab پسوند krab را دارد.
• نسخه 5 GandCrab یک پسوند تصادفی 5 حرفی را نشان می‌دهد.

3.رمزگشا(decryptor) را دانلود کنید.

 یک رمزگشای رایگان GandCrab برای GandCrab(گندکرب) نسخه های 1، 4، 5.01 و 5.2 وجود دارد. اگر پسوند فایل شما با این نسخه های ذکر شده مطابقت دارد، خیلی نگران نباشید و می‌توانید از این رمزگشا استفاده کنید. اما متأسفانه، هیچ ابزار رمزگشای رایگان برای GandCrab نسخه 2 و نسخه 3 وجود ندارد.

4.باج را نپردازید

 اگر به GandCrab نسخه 2 یا نسخه 3 آلوده شده اید، ممکن است به پرداخت باج ترغیب شوید اما این کار را نکنید. با فرض اینکه سرورهای GandCrab هنوز فعال هستند، FBI، Europol و INTERPOL همگی توصیه به عدم پرداخت باج دارند. چرا که هیچ تضمینی برای بازگرداندن فایل‌های خود ندارید و این کار تنها باعث میشه شما به طعمه ای خوب برای حملات بعدی باج افزار تبدیل بشید.

سخن پایانی…

در این مقاله سعی بر این بود که باج افزار GandCrab(گندکرب) را به طور کامل معرفی و نحوه پیشروی آن، روش مقابله با آن و همچنین حذف آن بصورت دستی را ارائه دهیم و امیدواریم که این برایتان مفید واقع شود و بتوانید در زمان وقوع حمله این باج افزار به درستی با آن مقابله کنید.

این روزها باج افزار ransomware مهمترین دغدغه‌ی “امنیت سایبری” برای شرکت‌ها شده است؛ چرا که میتواند تاثیرات بسیار مخربی را ایجاد کند. از جمله مهمترین این آسیب‌ها، از دست رفتن داده‌ها، بالابودن هزینه‌های بازیابی و همچنین آسیب به شهرت کسب و کارها است.  در این راستا اگر بدانید با چه باج افزاری روبه رو هستید و بتوانید به تشخیص باج افزار بپردازید شاید تا حد خیلی زیادی بشود با استفاده از برنامه‌های مختلف به محافظت از کسب و کارتان در مقابل حملات آن‌ها بپردازید. اما سوال اصلی اینجاست که با این افزایش چشمگیر حملات سایبری، چگونه میتوان از اطلاعات ارزشمند خود محافظت کرده و یا به حذف باج افزار بپردازیم؟ در این پست سعی داریم برخی از مهمترین انواع باج افزار که امروزه نسبت به شکل‌های دیگر آن استفاده می‌شنوند را بررسی کنیم. همچنین بزرگترین حملات باج افزاری را نیز به اختصار توضیح می‌دهیم.

_{اورژانس باج افزار گروهی از متشکل از متخصصان امینت سایبری در کنار شماست تا بتوانید بدون پرداخت باج، اطلاعاتتان را بصورت کامل بازیابی کنید و اقدام به از بین بردن باج افزار کنید} ❗❗❗

اصلی ترین انواع باج افزار کدام است؟

باج افزار به اشکال مختلفی عرضه می شود که همه آنها دارای چندین ویژگی مشترک هستند. انواع مختلفی از باج افزار وجود دارد؛ اما میتوان گفت که همه‌ آن‌ها دارای ویژگی‌های زیر هستند:

• اول اینکه همه آنها انگیزه مالی دارند(که میتوان اصلی ترین ویژگیشان دانست)
• دوم حامل نوعی تهدید برای سیستم‌های IT هستند.
• و سوم اینکه پیامی اخطار دهنده را بر روی سیستم قربانی نشان میدهند که از آن‌ها باج میخواهد. اما تفاوت اصلی و متمایز کننده انواع باج افزار ها به خاطر نحوه‌ی حمله آنها و تکنیکی است که به کار میبردند. با بررسی نمونه‌های زیر دقیقا متوجه میشوید که منظورمان از تکنیک چه است.

❗❗❗ برای شناخت پسوندهای باج افزارکلیک کنید

باج افزارCrypto  (رمزنگاری)

باج افزار کریپتو(رمزنگاری) یکی از مهمترین باج افزارهای موجود است. یک روش برای حمله موثر سایبری‌ها محسوب می‌شود که بسیار سودآور نیز است. این گونه باج افزار به “رمزگذاری داده‌ها“ می‌پردازد و آن‌ها را غیرقابل خواندن می‌کند. سپس برای رمزگشایی و ارائه کد از قربانی باج می‌خواهد. توسعه دهندگان این نوع از انواع باج افزار اغلب یک “شماره معکوس” را در صفحه قربانی اضافه می‌کنند و این اخطار را نمایش می‌دهند:” اگر تا انتهای شمارش معکوس باج پرداخت نشود همه فایل‌های رمزگذاری شده حذف خواهد شد“. و در نتیجه، بسیاری هستند که برای برگرداندن داده‌های خود حاظر به پرداخت باج هستند.

 باج افزار Exfiltration

باج افزار Exfiltration که یکی از مهمترین انواع باج افزار است به عنوان doxware یا leakware نیز شناخته می‌شود، با دزدیدن اطلاعات و داده‌های قربانی او را تهدید به نشر عمومی آن‌ها می‌کند. این مورد علاوه بر اینکه به کسب و کار و شهرت قربانیان آسیب می‌رساند، همچنین منجر به جریمه شدن توسط مراجع قضایی در نقض مقررات حفاظت نیز میشود. مهاجمان اغلب داده‌هایی را رمزگذاری می‌کنند که مرتبط با یکدیگر هستند و به این دلیل میتوانند فشار را برای پرداخت باج چندین برابر کنند.

باج افزار DDoS

برخلاف باج‌افزارهای رمزنگاری‌شده و نفوذ کننده، حملات باج‌افزار (DDoS) به خدمات شبکه است و کاری به اطلاعات و داده‌های کاربر ندارد. آنها برای متوقف کردن سرورهای کاربر شروع به “درخواست‌های اتصال جعلی” میکنند تا با ایجاد ترافیک کاذب، سایت مورد نظر را درگیر کنند. با این کار تمام منابع سرورها صرفا درگیر این درخواست‌ها می‌شوند و این امر باعث می‌شود کاربران اصلی برای اتصال به سرور با مشکل روبه رو شوند.  پس از انجام این حملات با نمایش یک یادداشت، کاربر را به پرداخت باج برای اتمام حمله ترغیب می‌کند. اما DDoS از آن نوع حملاتی هستند که گاهی اوقات مهاجمان چه با پرداخت باج و چه عدم پرداخت آن، دست از حمله بر می‌دارند. یک حمله باج‌افزار DDoS به شدت نیازمند منابع است. بنابراین یک هکر ممکن است برای حفظ آن برای مدت طولانی تلاش کند. علاوه بر این، باج افزار DDoS خطری برای داده‌های واقعی شما ایجاد نمی کند.

باج افزار Scareware یا ترس افزار

این بدافزار از روشی به اسم” تاکتیک‌های مهندسی اجتماعی” استفاده می‌کند. این روش به این معناست که کاربر را فریب می‌دهد که با مشکلی مانند بدافزارها مواجه است و او را ترغیب میکند که مثلا برای حل این مشکل نیاز به خریداری و نصب فلان نرم افزار را دارد. این هشدار به صورت “پاپ آپ” و اغلب موارد “لوگوی نرم افزار امنیتی قانونی” به نمایش گذاشته می‌شود و دستور خریداری نرم افزاری را می‌دهد؛ که ممکن است حاوی بدافزار باشد یا شروع به آسیب رساندن‌های حادتری بکند.

WannaCry

کار WannaCry رمزگذاری باج افزار است. از یک آسیب پذیری در “پروتکل SMB“ ویندوز سوء استفاده می‌کند و وارد می‌شود. WannaCry شروع به تکثیر کرده و از این طریق به آلوده کردن سیستم‌های دیگر نیز می‌پردازد. WannaCry یک برنامه مستقل است. این برنامه قابلیت این را دارد که فایل‌های حاوی کلیدهای رمزگذاری، برنامه های کاربردی رمزگذاری/رمزگشایی و “برنامه ارتباطی Tor” را استخراج کند. مهاجمان WannaCry را مبهم و پیچیده نمی‌کنند و به راحتی میتوان آن را شناسایی و سپس حذف کرد. بیشترین نرخ آلودگی آن در سال 2017 بوده است که  23000 دستگاه را در 150 کشور جهان تحت تأثیر قرار داد. و همچنین حدود 4 میلیارد دلار خسارت وارد کرد.

Cerber

Cerber یک باج افزار از دسته (RaaS)_باج افزار به عنوان سرویس_ است. Cerber زمانی که در حال اجرای رمزگذاری است، بدون شناسایی، فایل های رمزگذاری را اجرا کرده و از فعالیت آنتی ویروس‌ها تا حد ممکن جلوگیری می‌کند. بعد از آنکه که به طور درست فایل ها را روی دستگاه رمزگذاری کرد، یک یادداشت حامل درخواست باج را در پس زمینه دسکتاپ به نمایش می‌گذارد.

CryptoLocker

باج افزار در چند دهه گذشته به اشکال مختلف ظهور کرده است . در سال 2013، CryptoLocker، به شهرت رسید. فروشندگان و متخصصان فناوری اطلاعات، در می 2014 پس از اخاذی 3 میلیون دلار از قربانیان توسط مجرمان سایبری، بات نت اصلی CryptoLocker را کاملا از بین بردند. با این حال و با از بین رفتن CryptoLocker، کپی کردن آن توسط مجرمان به راحتی انجام می‌گیرد. اما این تغییرات با نسخه اصلی آن مرتبط نیست. تعداد CryptoLocker به حدی زیاد شده است که آن را حتی مترادف با باج افزار می‌دانند.

Locky

باج افزار Locky یا لاکی با به کارگیری بات نت Necurs شروع به توزیع ایمیل‌های فیشینگ کرد که حاوی دستورالعمل‌های مخرب بود. این عمل از طریق پیوست های Excel یا Word صورت می‌گرفت. نسخه Locky در سال 2016 مشخص شد که در جعبه ایمنی نیز قابل اجرا است و یک ماه بعد این بد افزار حتی قادر به رمزگذاری فایل‌ها به صورت آفلاین بود. Locky در سپتامبر 2017 در حمله‌ای فعال شد که در آن حدودا 23 میلیون پیام فیشینگ توسط مهاجمان در مدت 24 ساعت فرستاده شد.

باج افزار Maze

Maze یکی دیگر از انواع باج‌افزار است که از سال 2019 اثراتش دیده شده است. اولین بار یک گروه اصلی Maze را ایجاد کردند،اما چندی بعد برخی دیگر از مهاجمین از Maze برای اهداف باج گیری خود شروع به استفاده از آن کرده‌اند. بیشتر اپراتورهای Maze علاوه بر رمزگذاری، “داده‌هایی را که رمزگذاری می‌کنند را نیز کپی کرده” و همچنین تهدید به افشای آن‌ها می‌کنند و با اینکار فشار زیادی را برای پرداخت باج اعمال می‌کنند.

باج افزار Maze بیشتر از طریق پیوست‌های ایمیل مخرب توزیع می‌شد. اما در حملات اخیر از روش‌های دیگری برای به خطر انداختن شبکه استفاده می‌کنند. به عنوان مثال، بسیاری از حملاتی که  باج‌افزار Maze انجام می‌دهد از اعتبارنامه‌های پروتکل دسکتاپ از راه دور (RDP) دزدیده شده و برای نفوذ به شبکه استفاده کرده‌اند. حملات دیگر با به خطر انداختن سرور شبکه خصوصی مجازی (VPN) آغاز شده اند.

مطالب مرتبط: باج افزار چیست❗

Ryuk

Ryuk  باج افزاری است که با یک برنامه dropper توزیع شده و روی دستگاه قربانی مستقر می‌شود. سپس یک بد افزار را نصب می‌کند و راه ارتباط دائمی را با سرور فرمان و کنترل (C&C) باز می کند. “ویروس” Ryuk از طریق TrickBot وارد شبکه می‌شود. و این کار را از راه‌های مختلفی انجام می‌دهد. ایمیل اسپم شده یکی از رایج‌ترین روش‌هایی است که از آن استفاده می‌کند. همچنین از طریق بات‌نت Emotet که از قبل وجود داشت، پخش می‌شود، که از ایمیل‌های مخرب – به‌ویژه، پیوست‌های ایمیل و سند word برای آلوده کردن رایانه‌ها استفاده می‌کند.

Stop/Djvu

باج‌ افزار Stop/Djvu بدون اغراق بدترین چیزی است که کاربر در فضای مجازی انتظارش را دارد. نه تنها باجگیر‌ها اغلب مبالغ هنگفتی را درخواست می‌کنند، بلکه حتی پس از پرداخت باج، فقط گاهی اوقات امکان رمزگشایی صحیح این فایل ها وجود دارد و در بسیاری از موارد گزارش شده هیچ گونه رمزگشایی صورت نگرفته است.

نکته‌ های امنیتی مربوط به فضاهای ذخیره‌سازی

برای مقابله با هر یک از انواع باج افزارها، نکات زیر به ارائه بخش مهمی از اقداماتی که تیم های ذخیره سازی داده محور می توانند برای محافظت از کسب و کارها در برابر تهاجم انواع ویروس باج افزار پرخطر را انجام دهند، ارائه می دهد.

مجوزهای فایل ناامن را شناسایی و اصلاح کنید

کاربران باید اطلاعات و داده‌های خود را به درستی بشناسند تا از آنها محافظت کنند. مخصوصا این نکته را  باید بدانند که کسب و کارشان چه داده‌هایی را ذخیره می‌کند و دسترسی آنها در اختیار چه کسانی است. برای شروع، تجزیه و تحلیل مجوزهای فایل میتواند گزینه مناسبی باشد. تجزیه و تحلیل مجوزهای فایل این قابلیت را به مدیران می‌دهد که توانایی رصد کردن کاربرانی را داشته باشند که داده‌های آن‌ها در اختیارشان است و میتوانند بررسی کنند که چه کاری را می‌توانند انجام دهند. و بعد از آن شروع به سخت‌گیری در مورد اعطای مجوزهایی کنند که آنچنان ضروری نیستند.

آن‌ها باید سوء استفاده از مجوزهایی که توسط کاربرانی که در حال خواندن، تغییر یا حذف داده‌هایی هستند که جزئی از کارشان نیست را پیگیری کنند و آن‌ها را لغو کنند. مثلا، یک توسعه‌دهنده برنامه‌های کاربردی را در نظر داشته باشید که اطلاعات شرکت را در سیستم تغییر می‌دهد. با این حال، درک عمیق در مورد مجوزهای فایل در صورتی کامل است که ماهیت داده‌های که در دسترس هست را نیز بشناسیم. به همین جهت، به ابزارهایی نیاز است که بتوانند تجزیه و تحلیل مجوز فایل‌ها را با اطلاعات متنی، مانند انواع داده در دسته‌های مختلف، حساسیت، مالکیت و مکان ذخیره‌سازی را قدرتمند کنند.

الگوهای استفاده از داده‌ها ثبت و سپس نظارت شوند

علاوه بر نکات گفته شده، تمام فعالیت‌های صورت گرفته توسط کاربر باید برای نظارت و تجزیه و تحلیل ثبت شود. این امر در صورت هجوم بسیار کاربردی خواهد بود، چرا که این گزارش‌های ثبت شده حاوی اطلاعاتی است که در ارزیابی هجوم و پس از آن انجام اقدامات اصلاحی بسیار میتواند کمک کننده باشد.

آنها همچنین جزئیات را برای کمک به  تعیین علت اصلی حمله در آینده ارائه می دهند. با این وجود میتوان به اجرای اقدامات پیشگیرانه پرداخت.

حمله گونه های باج افزار دارای چنین نشانه‌هایی است:  

• خواندن، نوشتن، یا حذف تمام فعالیت‌ها بصورت گروهی
• رمزگذاری‌ها به شکلی غیرطبیعی افزایش پیدا کند
• کاربران در ساعات غیر عادی به سیستم‌ها دسترسی داشته باشند
• از یک موقعیت زمانی- مکانی که مورد انتظار نیست یک دستگاه دسترسی به داده‌ها و یا سیستم را داشته باشد.

نه تنها باید بر فعالیت کاربر نظارت داشت، بلکه باید رفتار سیستم را نیز در نظر گرفت و کنترل کرد. این کار کمک می‌کند که در زمان حمله سیگنال های دیگر شناسایی شوند.

رمزگذاری داده‌ها در حالت پرواز

برای جلوگیری از نفوذ، بهترین راه رمزگذاری داده‌ها است؛ چرا که دسترسی را عملا از مهاجمان میگیرد و داده‌ها بی فایده می‌شوند. اما این تنها در صورتی امکان پذیر است که مهاجمان نتوانند کلیدهای رمزنگاری شما را به دست بیاورند. این نکته نیز قابل بازگویی است که اطلاعات پشتیبانی که شمار در اختیار دارید به همان اندازه برای مهاجمان نیز سودمند است. به همین خاطر باید داده‌ها را در زمان استراحت یا حالت پرواز در محیط پشتیبان و در زمانی که مشغول به پشتیبانی از داده‌های خود هستید به فرآیند رمزگذاری بپردازید. همچنین برای جلوگیری از افتادن کلید‌های شما به دست مهاجمان یا سایبری‌ها باید از بهترین روش‌های مدیریت کلیدها استفاده کرد.

در نهایت، باید توجه داشت که رمزگذاری نمی‌تواند به صورت تمام و کمال باج افزار رمزنگاری را متوقف کند، زیرا سایبری‌ها می توانند حتی شکل رمزگذاری شده داده‌ها را رمزگذاری کنند. و این معنی را می‌دهد که در صورتی که این اتفاق بیوفتد باید برای رمزگشایی هر دو کلید خو و مهاجم را داشته باشید.

نسخه پشتیبان دیتاهای خود را تهیه کنید

این نکته حائز اهمیت است که داشتن یک استراتژی پشیبانی برای حفاظت در مقابل حمله‌ی احتمالی crypto بسیار مهم و حیاتی است. اصل پشتیبان گیری1-2-3 باید مورد استفاده قرار گیرد که به شرح زیر است:

• حداقل باید در سه نسخه داده‌ها را ذخیره کنید
• برای کاهش حداکثری خطر، حداقل از دو فضای مختلف محیط برای ذخیره سازی استفاده کنید.
• برای داده‌های خود در یکی از فضاهای خارج از سایت نسخه پشتیبان تهیه کنید—و به این صورت به‌طور مؤثری از سیستم فعال و مورد استفاده‌تان جدا می‌شود

برای به حداکثر رساندن محافظت در برابر باج‌افزار، تهیه کردن “نسخه‌های پشتیبان غیرقابل تغییر” نیز مفید است. این نسخه‌ها را هیچ کس نمی‌تواند تا پایان یک دوره قفل مشخص اصلاح، رمزگذاری یا حذف کند، حتی کسانی که  امتیاز سرپرستی را دارند. همچنین باید اطمینان حاصل کرد که پشتیبان‌گیری‌های شما واقعاً درست انجام گرفته‌اند و کار می‌کنند، به همین خاطر نباید فراموش کنید که به طور منظم آن‌ها را آزمایش کنید.

سوالات رایج

رایج ترین انواع باج افزار کدام است؟

رایج‌ترین نوع حمله ویروس باج افزار، باج افزار “کریپتو(crypto)” است. این نوع از حملات به دلیل تاثیر در قفل کردن و غیر دسترس کردن کاربران از داده ها و سیستم‌ها، توسط باج گیرها استفاده می‌شود. این باج افزار، قسمتی یا تمامی از داده‌های کاربر را با کدی مخرب رمزگذاری می‌کند، دسترسی کاربران را قفل می‌کند و سیستم را تا زمان دریافت باج  بی‌استفاده می‌کند. بدیهی است که چرا به این نوع باج‌افزار اغلب «ربایش داده»  می‌گویند.

تهدید کننده ترین حمله انواع باج افزار کدام است؟

از بین تمامی انواع حمله ویروس باج‌افزار، باج‌افزار رمزنگاری(crypto) مؤثرترین روش در قفل کردن و باج گیری از کاربران است و از بسیاری جهات این ویژگی، آن را به تهدیدکننده‌ترین ویروس باج گیر تبدیل می‌کند. Exfiltration یکی دیگر از جدی‌ترین تهدیدات است، زیرا علاوه بر اینکه داده‌ها را قفل و برای باج نگه میدارد، همچنین احتمال دارد آن دسته از داده‌های حساس را به صورت عمومی نیز انتشار کند، که این کار علاوه بر ضرر تجاری، بر اعتبار شرکت نیز ضرر و زیان وارد کند.

باج افزارهای پراستفاده کدام اند ؟

در حالی که باج افزارهای مختلفی وجود دارند، اما چهار مورد از پرکاربردترین آن‌ها عبارتند از: باج افزار رمزنگاری (crypto)، نفوذپذیری یا نشت افزار (exfiltration or leakware)، قفل صفحه(screen lockers) و ابزار ترسناک(scareware). از میان اینها، باج‌افزارهای رمزنگاری‌شده و نفوذپذیری مهم‌ترین تهدیدها را ایجاد می‌کنند، زیرا عملا داده‌های شما را به باج میگیرند، مگر اینکه مالک باج درخواستی را پرداخت کند و یا توانایی محافظت درمقابل باج‌افزار را داشته باشد.

سخن پایانی…

انواع باج افزار ها به گونه‌های مختلفی حمله می‌کنند و در شکل و شمایل متفاوتی دیده می‌شوند. مسیر و جهت حمله یک عامل مهم برای انواع باج افزارها است. برای تخمین اندازه و وسعت حمله، باید همیشه در نظر داشت که چه چیزی‌هایی  در خطر هستند و یا چه داده هایی می توانند نابود شوند یا انتشار یابند. صرف نظر از نوع باج افزار مهاجم، پشتیبان گیری از داده ها از قبل و به صورت منظم و همچنین استفاده صحیح  از نرم افزارهای امنیتی می تواند شدت حمله را به طور چشمگیری کاهش دهد.

این مقاله برگرفته از مقالات زیر است…

• Ransomware Types: 5 Common Types of Ransomware Attack
• Ransomware Attacks and Types – How Encryption Trojans Differ

باج‌افزارها (Ransomwares) در چه ابعادی برای کاربران سیستم‌های رایانه‌ای مشکل ایجاد می‌کنند؟ بر اساس گزارش مجله‌ی Cybercrime  که در ۱۳ نوامبر ۲۰۲۰ منتشر شد که به گونه‌ای می‌توان گفت که تاریخچه باج‌ افزار را بررسی کرده است ، برآورد می‌شود که هر ۱۱ ثانیه یک حمله‌ی باج‌ افزاری اتفاق می‌افتد؛ به عبارتی ۳ میلیون حمله در سال! به این آمار دقت کنید؛ منظور در اینجا تعداد فایل‌های رمزگذاری شده و یا متأثر از این حملات نیست. صحبت از ۳ میلیون مورد حمله به سازمان‌های مختلف است.

تهدیدی که ۳۰ سال از آغاز شکل‌گیری‌اش می‌گذرد

اکثر سازمان‌هایی که از حملات ویروس‌های باج‌گیر آسیب دیده‌اند خسارات قابل توجهی را بر کسب‌وکار خود تجربه کرده‌اند که به کاهش درآمد، آسیب به جایگاه برند، تعدیل پیش‌بینی‌نشده‌ی نیروی کار و یا حتی تعطیلی کل کسب‌وکار انجامیده است.

از ابتدای سال ۲۰۲۱ تا پایان نوامبر همان سال تعداد ۲۰۰ حمله‌ی باج‌افزاری تیترهای خبری را به خود اختصاص دادند‌؛ البته این‌ها تنها حملاتی هستند که به طور رسمی تایید شده‌اند. در ادامه به سیر تاریخچه باج‌ افزار در ۳۰ سال اخیر می‌پردازیم.

1989: اولین حمله در تاریخچه باج‌افزار

در دسامبر ۱۹۸۹، ژوزف پاپ (Joseph Popp)، زیست‌شناس تکاملی دانش‌آموخته‌ی دانشگاه هاروارد، ۲۰ هزار فلاپی‌دیسک آلوده به یک ویروس کامپیوتری را برای شرکت‌کنندگان در همایش اِیدز سازمان بهداشت جهانی در استکهلم فرستاد.

این ویروس پس از اتصال به رایانه‌ها مسیرهای فایل‌ها را پنهان و اسم فایل‌ها را قفل می‌کرد. سپس به کاربران اطلاع می‌داد که برای دسترسی به فایل‌هایشان باید ۱۸۹ دلار به یک صندوق پستی واقع در پاناما ارسال کنند.

در زمان کوتاهی بعد از این حادثه، دکتر پاپ، که در تاریخچه باج‌ افزار به پدر باج‌افزار معروف است، در خانه‌ی پدری خود در اوهایوی آمریکاه دستگیر و به  انگلستان تحویل داده شد. در آنجا او با ۱۰ مورد اتهام باج گیری و همچنین تخریب اموال از طریق توزیع Ransomware مواجه بود؛ بدافزاری که امروزه به ‌تروجانِ ایدز (AIDS Trojan) معروف است.

حمله‌ی نوع دیگری از باج‌افزارهای قفل‌کننده (Locker) در سال 2007

حدود ۲۰ سال بعد از حمله‌ی تروجان ایدز، شکل دیگری از ویروس‌های قفل‌کننده (Locker) پا به عرصه‌ی ظهورگذاشتند که در تاریخچه باج‌ افزار نامش به ثبت رسید. اولین نسخه این باج‌افزار که به کاربران روسی هجوم برده بود، عملکردهای اولیه‌ی دستگاه رایانه مانند کیبورد و موس را از کار انداخته بود. سپس همزمان با نمایش تصاویر پورنوگرافیک، از کاربر می‌خواست تا با تماس با یک شماره‌ی تلفن پریمیوم (شماره‌هایی که جهت ارائه‌ی سرویس خاصی ایجاد شده‌اند و هزینه‌ی تماس با آنها بیشتر از حالت معمولی است) و یا فرستادن پیامک نسبت به پرداخت مبلغ درخواستی اقدام نماید.

CryptoLocker اولین باج‌افزار رمزگذار در تاریخ باج‌ افزار در سال 2013

در سال ۲۰۱۳ وبلاگ خبری Naked Security اطلاعاتی از یک تهدید باج‌افزاری به دست آورد که در پوشه‌ی Documents and Settings ویندوز نصب و همچنین به ریجستری اضافه می‌شد. بعد از اتصال به یکی از سرورهای فرمان و کنترل (C&C: Command and Control) که تحت کدنویسی استاتیک یا سخت (hard-coding) کار می‌کردند، این Ransomware که کریپتولاکر (CryptoLocker) نام دارد، فایلی را برای شناسایی قربانی آپلود می‌کرد که سرور از این طریق به تولید یک زوج کلید عمومی-اختصاصی بپردازد.

قبل از نمایش پیام باج‌خواهی، از کلید عمومی برای رمزگذاری فایل‌های قربانی استفاده می‌شد. پیام حاوی فرصتی ۷۲ ساعته برای اخاذی ۳۰۰ دلار بود؛ که البته در برابر اخاذی‌های بدافزارهای امروزی که به ده‌ها میلیون دلار می‌رسد قطره‌ای از دریا هم به حساب نمی‌آید.

بعد از ۲۰۱۳ حملات کریپتولاکر وسیع‌تر شد. بر اساس تحقیقات دانشگاه ایالتی کینیسا (Kennesaw State University)، پلیس اف‌بی‌آی آمریکا مبلغ اخاذی شده به کریپتولاکر تا پایان سال ۲۰۱۵ را ۲۷ میلیون دلار برآورد کرده است.

مطالب مرتبط: برای حذف باج افزار و بازیابی اطلاعات کلیک کنید.

طعمه‌های بزرگ برای باج گیران در سال 2018

با آغاز سال ۲۰۱۸، اف‌بی‌آی متوجه شد که حملات باج‌گیرانه‌ای که قربانیان خاصی را هدف قرار نمی‌دادند در حال کاهش‌اند. تحلیل‌گران این سازمان دریافتند که مسیر حملات باج‌افزاری برای هدف قرار دادن سازمان‌های بزرگ، به‌ویژه دولت‌های ایالتی، واحدهای خدمات بهداشتی، شرکت‌های صنعتی و سازمان‌های ترابری هموار شده است. به گزارش وبسایت Ars Technica که در ۷ اکتبر ۲۰۱۹ منتشر شد، بسیاری از گروه‌های باج‌افزاری به شکارهای بزرگ پرداخته‌اند تا از این طریق بتوانند مبالغ بیشتری را اخاذی کنند.

بنا بر مطلبی از Cybereason که در ابتدای همین متن بدان اشاره، بعضی از اثراتی که این حملات می‌توانند بر سازمان‌ها بگذارند عبارتند از:

• کاهش درآمد کسب و کار؛ ۶۶ درصد سازمان‌ها کاهش چشمگیری را در سطح درآمد خود گزارش کرده‌اند.
• آسیب به شهرت برند (Brand Reputation)؛ ۵۳ درصد سازمان‌ها گزارش داده‌اند که شهرت نشان تجاریشان در اثر حملات باج‌افزاری موثر آسیب دیده است.
• از دست دادن مدیران سطح C؛ ۳۲ درصد سازمان‌ها از دست دادن مدیران سطح C خود را گزارش داده‌اند.
• تعدیل نیروی انسانی؛ ۲۹ درصد گزارش کرده‌اند که به سبب فشار مالی ناشی از حملات Ransomwareها مجبور به تعدیل نیرو شده‌اند.

۲۰۱۹: باج‌افزار Maze و ابداع اخاذی مضاعف

اواخر نوامبر ۲۰۱۹، وبسایت Bleeping Computer پیامی را از یک ایمیل شناخته‌شده که توسط دارودسته‌ی طراح باج‌افزار ماز (Maze) استفاده می‌شد دریافت کرد. پیام حاوی خبر موفقیت این گروه در رخنه به یک شرکت خدمات حفاظتی و سرقت اطلاعات از این شرکت بود؛ اطلاعاتی که به صورت متنی بوده و هنوز رمزگذاری نشده بودند. برای اثبات این مدعا، این بزه‌کاران نمونه‌ای از فایل‌های سرقتی را نیز ضمیمه‌ی ایمیل کردند و سپس ۲۰۰ مگابایت از این اطلاعات را در فضای آنلاین نشت دادند.

طی چند ماه بعد، سایر گروه‌های باج‌افزاری نیز از این تکنیک اخاذی مضاعف (multiple extortion) استقبال کردند. نتیجه این بود که این گروه‌ها دست بالا را بر سازمان‌هایی پیدا کردند که از استراتژی‌های پشتیبانی داده (Data Backup Strategies) استفاده می‌کردند. این گروه‌های تبه‌کاری می‌دانستند که قربانیانشان از نسخه‌های پشتیبان داده‌های خود برای  بازیابی سیستم‌های مورد حمله استفاده می‌کنند اما قادر به بازگرداندن داده‌های دزدیده شده نیستند. بنابراین سارقین در کنار اخاذی برای بازکردن رمز‌هایی که خودشان روی داده‌ها گذاشته بودند مبلغ مضاعفی را هم برای از بین نبردن داده‌های سرقتی و یا منتشر نکردنشان طلب می‌کردند.

ظهور عملیات باج‌افزاری سازماندهی‌ شده‌ – RansomOps

امروزه حملات باج‌افزاری تنها محدود به بدافزارهایی نیست که به صورت خودکار داده‌های قربانیان را به گروگان می‌گرفتند. در عوض مجموعه‌های پیچیده از عملیات وجود دارند که توسط اشخاص هدایت شده و سازوکاری شبیه به تهدیدات پیشرفته‌ی مداوم (APT: Advanced Persistent Threat) دارند. این مدل از حملات RansomOps نام دارند که می‌توان معادل خدمات باج‌افزاری را برایشان به کار برد.

قفل‌بازکن‌های سایبری (IAB: Initial Access Brokers) با نفوذ در یک شبکه و گذر از دیوارهای امنیتی و اپراتورهای باج‌افزار به عنوان سرویس (RaaS: Ransomware-as-a-Service) با فرآهم آوردن زیرساخت‌ها برای همدستانی که مجری حمله‌ی سایبری هستند در این مجموعه‌های عملیاتی با هم همکاری می‌کنند. این میزان از سازش در یک RansomOps امکان طلب مبالغ به مراتب گزاف‌تری را برای این مجرمان فرآهم می‌کند. تکنیک‌های RansomOps معمولا موارد اخاذی مضاعف  که پیش‌تر به آن اشاره شد را نیز شامل می‌شوند.

بعضی از گروه‌های باج‌افزاری پا را از این نیز فراتر گذاشته‌اند. بر اساس گزارش وبسایت Bleeping Computer که در اواسط سپتامبر 2021 منتشر شد، دارودسته‌ی باج‌افزاری گریف (Grief) قربانیان را تهدید کرده‌اند که در صورت به‌کارگیری شخص یا اشخاصی برای مذاکره به هدف کاهش مبلغ درخواستی، کلید رمزگشایی داده‌های رمزگذاری‌شده را از بین‌ می‌برند. این تهدید بعد از آن صورت گرفت که، بر اساس گزارش وبسایت Threatpost، دار و دسته‌ی راگنار لاکر (Ragnar Locker) قربانی را تهدید کرده بودند که در صورت اطلاع دادن به اف‌بی‌آی و یا مقامات ایالتی داده‌های به سرقت رفته را منتشر می‌کنند.

سخن آخر…

آنچه که گفته شد مروری بر تاریخچه باج‌ افزار و روش‌های استفاده از آن‌ها توسط تبهکاران سایبری بود. [این سیر تحولی به ما نشان داد که امروزه RansomOps بیشترین میزان از حملات باج‌افزاری را دارد و تیم امنیت سایبری، باید آمادگی برای مقابله با این حملات را از اولویت‌های اصلی خود قرار دهد.] باید توجه داشته باشیم که در فاز پایانی یک حمله‌ی RansomOps است که باج‌افزار اجرا می‌شود؛ بنابراین مدت‌ها قبل از اجرای Ransomware می توان فعالیت‌های مقدماتی تیم حمله کننده را شناسایی کرد تا از ورود خسارات جدی جلوگیری شود.

راه حل غلبه بر حملات باج‌افزاری در به حداقل رساندن فاصله‌ی زمانی بین نفوذ اولیه به فضای داده‌ای و لحظه‌ای است که تیم امنیت سایبری شما این نفوذ را تشخیص می‌دهد و خنثی می‌کند.

برگرفته از مقاله: A Brief History of Ransomware Evolution