ویروس باج افزار چیست؟

ویروس باج‌ افزار (ransomware) نوعی از بد‌‌افزارها هستند که کارشان حمله به سیستم‌های مختلفی مانند کامپیوتر، لپتاپ، موبایل و… است که باعث از بین رفتن دسترسی کاربر به اطلاعاتش از طریق “رمزگذاری داده‌های” او می‌شوند و برای اجازه‌ی دسترسی دوباره باج می‌خواهند.

باج افزار Petya(پیتا) یکی دیگر از انواع باج افزار است که در دسته‌ی باج افزار Crypto( رمزگذاری) قرار می‌گیرد که سروکارش با ویندوز مایکروسافت است و به آلوده کردن رایانه‌هایی می‌پردازد که از این ویندوز استفاده می‌کند.

باج افزار Petya، بایگانی و یا فضای اصلی بوت را آلوده و باری را اجرایی می‌کند که به رمزگذاری داده‌های روی هارد دیسک بپردازد. قفل داده‌ها تنها در صورت در دست داشتن کلید رمزگذاری باز می‌شود؛ یعنی پس از پرداخت باج و تهیه کلید رمزگشایی.

تاریخچه باج افزار Petya(پتیا):

پتیا برای اولین بار در سال 2016 دیده شد، ولی در سال 2017 با یک حمله سایبری وسیع علیه اهداف اوکراینی، بسیار خبرساز شد. این ویروس به سرعت در سراسر جهان گسترش یافت، کسب و کارها را فلج کرد و باعث خسارت چند میلیارد دلاری به آن‌ها شد.

نوع جدیدی از این باج افزار وجود دارد که به دلیل تفاوت‌های کلیدی با نسخه اصلی، «NotPetya» نامیده می‌شود. این گونه‌ی جدید بدون اینکه کاربر کاری انجام دهد، سیستم‌های جدید را آلوده می‌کند. این نوع رفتار بیشتر به “کرم باج”(ransomworm) شبیه است تا یک ویروس سنتی.

NotPetya به طور محدود مورد استفاده قرار گرفت، اگرچه به سرعت رشد کرد و به یک تهدید گسترده تبدیل شد اما به خیلی محدود مورد استفاده قرار گرفت. در مورد این ویروس جالب است که حتی با وجود نمایش نشانه‌های معمول حمله باج‌افزار – مانند تقاضای باج‌افزار – این ویروس برای باج گیری ساخته نشده بود. بررسی این ویژگی‌ها باعث این نتیجه‌گیری از سوی محققان شد که این ویروس نه یک عمل و حمله‌ی سایبری بلکه یک حمله مخرب تحت حمایت دولت است.

_{اورژانس باج افزار گروهی از متشکل از متخصصان امینت سایبری در کنار شماست تا بتوانید بدون پرداخت باج، اطلاعاتتان را بصورت کامل بازیابی کنید و اقدام به از بین بردن باج افزار کنید} ❗❗❗

نحوه حذف باج افزار Petya (پتیا)

مانند اکثر ویروس‌های باج افزار، حذف کردن باج افزار Petya پس از انتشار و آلوده کردن سیستم به سختی انجام پذیر است. در بیشتر موارد، قربانی به امید اینکه کلید را به دست می‌آورد یا نه باید تصمیم بگیرد که باج را بپردازد یا اینکه همه چیز را از بین ببرد و به بازیابی اطلاعات از طریق نسخه بشتیبانی بپردازد. ما در اینجا به طور کلی میخواهیم به آنچه که باید قبل، در زمان وقوع و بعد از حمله انجام دهید را شرح خواهیم داد.👇

قبل از وقوع حمله

در اینجا نیز قابل بازگویی است که پیشگیری بهتر از درمان است. یعنی اینکه بهترین استراتژی امنیتی این است که به طور کامل باعث عدم ورود باج افزار به سیستم شویم. که البته این امر مستلزم برنامه ریزی قبل از وقوع بحران است.

• پشتیبان گیری و بازیابی: مهمترین بخش هر استراتژی امنیتی باج افزار، پشتیبان‌گیری پیوسته و منظم از داده‌های در دست است. به طور چشمگیری آمار نشان دهنده این است که  تعداد کمی از سازمان‌ها، پشتیبان‌گیری و بازیابی را انجام می‌دهند. هر دو بخش_پشتیبان گیری و بازیابی_ دارای اهمیت هستند. انجام بازیابی در بازه‌های زمانی مختلف به صورت تمرینی، تنها راهی است که می‌توان دانست که آیا طرح پشتیبان ما فعال است و کار می کند یا نه❗
• به روز رسانی و تعمیر مشکلات سیستم: سیستم عامل‌ها، نرم افزارهای امنیتی و پچ‌ها یا همان برنامه های تعمیرگر نارسایی های سیستمی، برای همه بخش های دستگاه باید به روز باشند.
• تعلیم و آموزش کاربران: آموزش و آگاهی کارکنان بسیار مهم است. کارمندان شما و یا تمام یوزرهای متصل به سیستم شما باید بدانند چه بکنند و چه نه، چگونه از باج افزار دوری کرده و یا چگونه آن را گزارش دهند. اگر کارمندان با درخواست باج از طرف باج‌افزاری را دریافت کردند، باید بدانند که سریعا آن را به تیم امنیتی گزارش داده – و هرگز و هرگز سعی در پرداخت باج نداشته باشند.
• سرمایه گذاری در راه حل‌های امنیتی برای حذف باج افزار Petya: حتی با انجام  بهترین آموزش برای کاربران نمی‌توان امید داشت که هیچ وقت به ویروس باج افزار مبتلا نمی‌شویم. راه‌حل‌های امنیتی پیشرفته‌ای برای ایمیل وجود دارد که سیستم را در برابر پیوست‌ و لینک‌های مخرب، اسناد و URLهای موجود در ایمیل‌ها که باعث نفوذ باج‌افزار می‌شوند، مقاوم و از آن محافظت می‌کند.

در طول حمله

• کامپیوتر را خاموش کنید و از شبکه جدا شوید: ویروس باج افزار Petya تقریبا یک ساعت پس از آلوده کردن سیستم و نمایش پیام مبنی بر اینکه سیستم فایل در حال تعمیر است، منتظر می‌ماند. کارشناسان می گویند با خاموش کردن دستگاه ممکن است برخی از فایل ها کدگذاری و یا آلوده نشوند. زمانی که کارمندان تقاضای باج افزار را ببینند یا متوجه شوند چیز غیر عادی‌ای رخ داده است، باید از شبکه جدا و سیستم آلوده را به بخش فناوری اطلاعات ببرند و فقط تیم امنیت فناوری اطلاعات باید به راه‌اندازی مجدد سیستم بپردازد.
• محدوده مشکل را بر اساس اطلاعات تهدید مشخص کنید: پاسخ شما به چندین عامل بستگی دارد:
  • نوع حمله
  • چه کسی در شبکه شما در معرض خطر است.
  • هر حساب در معرض خطر چه مجوزهای شبکه ای دارد.
• بازیابی از پشتیبان گیری: تنها راه برای بازیابی کامل از آلودگی باج افزار، بازیابی همه اطلاعات از پشتیبان است.

روی ابزارهای رمزگشایی رایگان باج افزار حساب نکنید❗

اکثر ابزارهای رایگان فقط برای یکی از انواع باج افزار یا نهایتا برای یک کمپین خاص حمله کارایی دارند. به همان طریقی که مهاجمان سایبری، باج افزار خود را به روز می‌کنند، ابزارهای رایگان قدیمی توان مقابله با آن‌ها را ندارند. آن‌ها کاراییشان را از دست داده و احتمالاً برای باج افزارهای جدید کار نکنند و آنها را از بین نبرند.

بعد از وقوع حمله

توصیه ما به شما این است که یک ارزیابی امنیتی کامل را برای یافتن تهدیدهایی که ممکن است هنوز در محیط شما باقی مانده باشند را انجام دهید. ابزارها و روش های امنیتی خود را به شکل دقیق و موشکافانه ای بررسی کنید که متوجه شوید کجا کم کاری کرده اید.

• پاک کردن: برخی از باج افزارها حاوی تهدیدات دیگر یا تروجان‌های به جا مانده‌ای هستند که می توانند در آینده به نوعی تهدید تبدیل شوند. در خیلی از موارد دیده شده است، محیط که قبلا آلوده شده بود خود به عنوان دری برای ورود مجدد باج افزار عمل کرده استبه دنبال تهدیدها و خطرات پنهانی باشید که ممکن است نادیده گرفته شده باشند.
• بررسی پس از حذف: آنچه که به نظرتان باعث این حملات شده است را بررسی کرده و زنجیره رویدادهایی و پاسختان نسبت به تهدید های بالقوه را مرور کنید. بدون اینکه کشف کنید که حمله باج افزار چگونه صورت گرفته است، هیچ راهی برای توقف حمله بعدی نخواهید داشت.
• ارزیابی آگاهی کاربران: مطمعا شوید که کارمندان، کارکنان یا اعضای مربوطه و متصل به وظیفه خود عمل به طور کامل عمل می کنند. چرا که یک کارمند مطلع و آگاه آخرین کسی است که قادر به دفاع از حملات است.
• آموزش کارکنان: یک برنامه منظم برای رسیدگی به آسیب پذیری کارکنان در برابر حملات سایبری بسیار کمک کننده است. در صورتی که در آینده حمله ای رخ داد، یک برنامه ارتباطی بحران بسازید.

راه حل های را دنبال کنید که با تهدیدات جدید و نوظهور سازگار باشند و به شما کمک کنند سریعتر به آلودگی ها پاسخ دهید.

باج افزار Thanos توسط GrujaRS که یک پژوهشگر مستقل امنیتی است شناخته شد و یکی دیگر از انواع باج افزار است که در دسته‌ی باج افزار Crypto( رمزگذاری) قرار می‌گیرد. این باج افزار با افزودن پسوند “locked” نام فایل‌ها را تغییر و پس از آن پیغام درخواست باج را نمایش می‌دهد. به عنوان مثال پس از رمزگذاری، “1.jpg” به “1.jpg.locked” و “jpg2” به “2.jpg.locked” و غیره تغییر پیدا می‌کنند. در مقاله پسوندهای باج افزار به طور مفصل به پسوندهای مورد استفاده باج افزار پرداخته‌ایم.

باج افزار Thanos فایل متنی “HOW_TO_DECYPHER_FILES.txt” (پیام باج) را در پوشه‌هایی که رمزگذاری شده‌اند را ایجاد کرده و به نمایش در می‌آورد.

یادداشتی که باج افزار Thanos نمایش می‌دهد

پیام باج افزار تانوس(Thanos) بدین شرح است: همه فایل‌های سیستم شما رمزگذاری شده و کپی‌های shadow  از بین رفته‌اند. همچنین، تمام فایل‌های موجودی که در کامپیوتر شما ذخیره شده‌اند را دانلود کرده‌ایم و در صورت عدم پرداخت باج، تمامی اطلاعات در دست را پخش خواهیم کرد.

متأسفانه، قربانیان حملات باج‌ گیر تانوس (Thanos) قادر نخواهند بود که فایل‌های خود را بدون ابزارهایی که مهاجمان و توسعه دهندگان این باج افزار در دست دارند را رمزگشایی کنند. بدین وسیله هیچ ابزاری از طرف شخص دیگری وجود ندارد که اطلاعاتی را که توسط باج افزار Thanos رمزگذاری شده را باز کند. تنها راه بازیابی فایل ها، از طریق پشتیبان است. و هیچوقت فراموش نکنید که به این مجرمان هرگز نباید اعتماد کرد؛ آنها اگر حتی قربانیان باج را پرداخت کنند هیچ نرم افزار یا کلید رمزگشایی را ارسال نخواهند کرد.

در تصویر زیر فایل‌های رمزگذاری شده توسط باج افزار تانوس (Thanos) را مشاهده می‌کنید (پسوند. locked):

مطالب مرتبط: باج افزار ( Ransomware) چیست؟

یکی از پیام های باج افزار Thanos  که کاربران را تشویق به پرداخت باج برای رمزگشایی می‌کند.

خلاصه اطلاعاتی از باج افزار تانوس (Thanos)

نام	باج افزار تانوس (Thanos)
نوع تهدید	باج افزار، ویروس رمزنگاری، قفل فایل ها
پسوند فایل های رمزگذاری شده	locked
پیام درخواست باج	HOW_TO_DECYPHER_FILES.txt
نام های تشخیص	AVG (FileRepMalware), BitDefender (Gen:Variant.MSILHeracles.3694), ESET-NOD32 (A Variant Of MSIL/Filecoder.Thanos.A), Kaspersky (HEUR:Trojan-Ransom.Win32.Generic), Microsoft (Ransom:MSIL/Filecoder.DL!MTB)
نشانه‌ها	فایل‌های ذخیره شده در سیستم شما قفل شده‌اند، فایل‌های کاربردی قبلی پسوندشان عوض شده است،(مثلا my.docx.locked). پیغام درخواست باج روی دسکتاپ سیستم شما ظاهر می‌شود. مهاجمان برای باز کردن قفل فایل‌های شما، تقاضای باج (معمولاً به بیت کوین) دارند
روش های پخش ویروس	لینک‌های ایمیل آلوده (ماکروها)، وب سایت‌های تورنت(Torrent )، تبلیغات مخرب و آسیب‌زا.
آسیب	همه فایل‌ها و اطلاعات رمزگذاری شده‌اند و بدون اینکه باج را پرداخت باز نمی‌شوند.

حذف باج افزار Thanos

در بالا هم گفتیم که روشی دستی برای حذف این باج افزار وجود ندارد و شما یا می‌توانید از طریق پشتیبانی و یا پرداخت باج که اکیدا توصیه نمی‌شود به نتیجه برسید، اما اگر رایانه شما قبلاً به باج افزار Thanos آلوده شده است و با پرداخت باج و یا اینکه از پشتیبان استفاده کرده‌اید، توصیه می‌کنیم یک آنتی ویروس یا آنتی باج افزار را از Combo Cleaner Antivirus  بر روی ویندوز خود اجرا کنید تا به طور خودکار این باج افزار را از بین ببرید.

سوالات رایج:

کامپیوتر من از چه طریقی هک شده و مهاجمان چگونه فایل‌های من را رمزگذاری کرده‌اند؟

اغلب موارد، باج‌افزار فایل‌ها را از طریق لینک‌های آسیب دیده و خراب یا لینک‌های دریافتی از طریق ایمیل، یا صفحات دانلود نرم‌افزار کرک شده رمزگذاری می‌کند. مجرمان از روش های گوناگونی برای فریب کاربران استفاده می‌کنند.

چگونه فایل های رمزگذاری شده توسط باج افزار Thanos را باز کنیم؟

بدون رمزگشایی فایل ها  نمی توان به آن ها دسترسی  داشت.

کجا باید به دنبال ابزارهای رمزگشایی رایگان برای باج افزار Thanos بگردم؟

در صورت حمله باج افزار، باید وب سایت No More Ransom را بررسی کنید

آیا تیم اورژانس باج افزار می‌تواند این باج افزار را حذف کند؟

پاسخ ما به شما بله است.

اورژانس باج افزار با سابقه بیش از ده سال فعالیت، متشکل از گروهی از متخصصان امینت سایبری است. شما با کمک این تیم متخصص می‌توانید بدون پرداخت باج، اطلاعاتتان را بصورت کامل بازیابی کنید و به پاکسازی باج افزار بپردازید.

در این مقاله فهرست کاملی از پسوندهای باج افزار و گونه‌ های باج افزاری که از این پسوندها استفاده می‌کنند را بر اساس گزارشاتی از کسپرسکی نوشته‌ایم که دقیقا برای شناختی بهتر و جزئی‌تر از ویروس باج گیر (ransomware) است.

ویروس باج افزار به رمزگذاری فایل‌های کاربران می‌پردازد و پسوند فایلشان را به کلی به چیز دیگری تغییر می‌دهد. دقیقا این‌کار را به این خاطر انجام می‌دهد که قربانی متوجه فایل‌های قفل شده دستگاهش شود. پسوند موجود نشان می‌دهد که چه نوع ویروس باج افزاری به سیستم ما هجوم آورده است. شما با استفاده از این لیست می‌توانید باج افزار را تشخیص دهید و با شناخت نوع باج افزار به استفاده از رمزگشا یا ضد باج افزار مناسب به پاکسازی باج افزار بپردازید.

پسوندهای باج افزار و نوع باج افزار به کار برده شده:

پسوند	نوع باج افزار
micro	ویروس باج افزار TeslaCrypt 3.0
zepto	ویروس باج افزار Locky
cerber	ویروس باج افزار Cerber
locky	ویروس باج افزار Locky
cerber3	ویروس باج افزار Cerber 3
cryp1	ویروس باج افزار CryptXXX
mole	ویروس باج افزار CryptoMix (variant)
onion	ویروس باج افزار Dharma
axx	ویروس باج افزار AxCrypt
osiris	ویروس باج افزار Locky (variant)
crypz	ویروس باج افزار CryptXXX
crypt	ویروس باج افزار Scatter
locked	ویروس باج افزار Various
odin	ویروس باج افزار Locky
ccc	ویروس باج افزار TeslaCrypt or Cryptowall
cerber2	ویروس باج افزار Cerber 2
sage	ویروس باج افزار Sage
globe	ویروس باج افزار Globe
exx	ویروس باج افزار Alpha Crypt
good	ویروس باج افزار Scatter
wallet	ویروس باج افزار Globe 3 (variant)
1txt	ویروس باج افزار Enigma
decrypt2017	ویروس باج افزار Globe 3
encrypt	ویروس باج افزار Alpha
ezz	ویروس باج افزار Alpha Crypt
zzzzz	ویروس باج افزار Locky
MERRY	ویروس باج افزار Merry X-Mas
enciphered	ویروس باج افزار Malware (ransomware)
r5a	ویروس باج افزار 7ev3n
aesir	ویروس باج افزار Locky
ecc	ویروس باج افزار Cryptolocker or TeslaCrypt
enigma	ویروس باج افزار Coverton
cryptowall	قفل شده توسط باج افزار Cryptowall
encrypted	ویروس باج افزار Various
loli	ویروس باج افزار LOLI RanSomeWar
breaking_bad	ویروس باج افزار [email protected](.)com
coded	ویروس باج افزار Anubis
ha3	ویروس باج افزار El-Polocker
damage	ویروس باج افزار Damage
wcry	ویروس باج افزار WannaCry
lol!	ویروس باج افزار GPCode
cryptolocker	رمز گذاری شده توسط CryptoLocker
dharma	ویروس باج افزار CrySiS
MRCR1	ویروس باج افزار Merry X-Mas
sexy	ویروس باج افزار PayDay
crjoker	ویروس باج افزار CryptoJoker
fantom	ویروس باج افزار Fantom
[email protected]_com	ویروس باج افزار KeyBTC
rrk	ویروس باج افزار Radamant v2
legion	ویروس باج افزار Legion
kratos	ویروس باج افزار KratosCrypt
LeChiffre	ویروس باج افزار LeChiffre
kraken	ویروس باج افزار Rakhni
zcrypt	ویروس باج افزار ZCRYPT
maya	ویروس باج افزار HiddenTear (variant)
enc	ویروس باج افزار TorrentLocker
file0locked	ویروس باج افزار Evil
crinf	ویروس باج افزار DecryptorMax or CryptInfinite
serp	ویروس باج افزار Serpent (variant)
potato	ویروس باج افزار Potato
ytbl	ویروس باج افزار Troldesh (variant)
surprise	ویروس باج افزار Surprise
angelamerkel	ویروس باج افزار Angela Merkel
windows10	ویروس باج افزار Shade
lesli	ویروس باج افزار CryptoMix
serpent	ویروس باج افزار Serpent
PEGS1	ویروس باج افزار Merry X-Mas
dale	ویروس باج افزار Chip
pdcr	ویروس باج افزار PadCrypt
zzz	ویروس باج افزار TeslaCrypt
xyz	ویروس باج افزار TeslaCrypt
1cbu1	ویروس باج افزار Princess Locker
venusf	ویروس باج افزار Venus Locker
coverton	ویروس باج افزار Coverton
thor	ویروس باج افزار Locky
rnsmwr	ویروس باج افزار Gremit
evillock	ویروس باج افزار Evil-JS (variant)
wflx	ویروس باج افزار WildFire
nuclear55	ویروس باج افزار Nuke
darkness	ویروس باج افزار Rakhni
encr	ویروس باج افزار FileLocker
rekt	ویروس باج افزار HiddenTear (variant)
kernel_time	ویروس باج افزار KeRanger OS X
zyklon	ویروس باج افزار ZYKLON
Dexter	ویروس باج افزار Troldesh (variant)
locklock	ویروس باج افزار LockLock
cry	ویروس باج افزار CryLocker
VforVendetta	ویروس باج افزار Samsam (variant)
btc	ویروس باج افزار Jigsaw
raid10	ویروس باج افزار Globe [variant]
dCrypt	ویروس باج افزار DummyLocker
zorro	ویروس باج افزار Zorro
AngleWare	ویروس باج افزار HiddenTear/MafiaWare (variant)
EnCiPhErEd	ویروس باج افزار Xorist
purge	ویروس باج افزار Globe
[email protected]	ویروس باج افزار Fsociety
shit	ویروس باج افزار Locky
atlas	ویروس باج افزار Atlas
exotic	ویروس باج افزار Exotic
crypted	ویروس باج افزار Nemucod
padcrypt	ویروس باج افزار PadCrypt
xxx	ویروس باج افزار TeslaCrypt 3.0
hush	ویروس باج افزار Jigsaw
bin	ویروس باج افزار Alpha/Alfa
vbransom	ویروس باج افزار VBRansom 7
RMCM1	ویروس باج افزار Merry X-Mas
cryeye	ویروس باج افزار DoubleLocker
unavailable	ویروس باج افزار Al-Namrood
braincrypt	ویروس باج افزار Braincrypt
fucked	ویروس باج افزار Manifestus
crypte	ویروس باج افزار Jigsaw (variant)
_AiraCropEncrypted	ویروس باج افزار AiraCrop
stn	ویروس باج افزار Satan
paym	ویروس باج افزار Jigsaw
spora	ویروس باج افزار Spora
dll	ویروس باج افزار FSociety
RARE1	ویروس باج افزار Merry X-Mas
alcatraz	ویروس باج افزار Alcatraz Locker
pzdc	ویروس باج افزارScatter
aaa	ویروس باج افزار TeslaCrypt
encrypted	ویروس باج افزار Donald Trump
ttt	ویروس باج افزار TeslaCrypt 3.0
odcodc	ویروس باج افزار ODCODC
vvv	ویروس باج افزار TeslaCrypt 3.0
ruby	ویروس باج افزار Ruby
pays	ویروس باج افزار Jigsaw
comrade	ویروس باج افزار Comrade
enc	ویروس باج افزار Cryptorium
abc	ویروس باج افزار TeslaCrypt
xxx	ویروس باج افزار help_dcfile
antihacker2017	ویروس باج افزار Xorist (variant)
herbst	ویروس باج افزار Herbst
szf	ویروس باج افزار SZFLocker
rekt	ویروس باج افزار RektLocker
bript	ویروس باج افزار BadEncriptor
crptrgr	ویروس باج افزار CryptoRoger
kkk	ویروس باج افزار Jigsaw
rdm	ویروس باج افزار Radamant
BarRax	ویروس باج افزار BarRax (HiddenTear variant)
vindows	ویروس باج افزار Vindows Locker
helpmeencedfiles	ویروس باج افزار Samas/SamSam
hnumkhotep	ویروس باج افزار Globe 3
CCCRRRPPP	ویروس باج افزار Unlock92
kyra	ویروس باج افزار Globe
fun	ویروس باج افزار Jigsaw
rip	ویروس باج افزار KillLocker
73i87A	ویروس باج افزار Xorist
bitstak	ویروس باج افزار Bitstak
kernel_complete	ویروس باج افزار KeRanger OS X
payrms	ویروس باج افزار Jigsaw
a5zfn	ویروس باج افزار Alma Locker
perl	ویروس باج افزار Bart
noproblemwedecfiles​	ویروس باج افزار Samas/SamSam
lcked	ویروس باج افزار Jigsaw (variant)
p5tkjw	ویروس باج افزار Xorist
paymst	ویروس باج افزار Jigsaw
magic	ویروس باج افزار Magic
payms	ویروس باج افزار Jigsaw
d4nk	ویروس باج افزار PyL33T
SecureCrypted	ویروس باج افزار Apocalypse
paymts	ویروس باج افزار Jigsaw
kostya	ویروس باج افزار Kostya
lovewindows	ویروس باج افزار Globe (variant)
madebyadam	ویروس باج افزار Roga
powerfulldecrypt	ویروس باج افزار Samas/SamSam
gefickt	ویروس باج افزار Jigsaw (variant)
kernel_pid	ویروس باج افزار KeRanger OS X
ifuckedyou	ویروس باج افزار SerbRansom
grt	ویروس باج افزار Karmen HiddenTear (variant)
conficker	ویروس باج افزار Conficker
edgel	ویروس باج افزار EdgeLocker
PoAr2w	ویروس باج افزار Xorist
oops	ویروس باج افزار Marlboro
adk	ویروس باج افزار Angry Duck
encrypted	ویروس باج افزار KeRanger OS X
Whereisyourfiles	ویروس باج افزار Samas/SamSam
czvxce	ویروس باج افزار Coverton
theworldisyours	ویروس باج افزار Samas/SamSam
info	ویروس باج افزار PizzaCrypts
razy	ویروس باج افزار Razy
rmd	ویروس باج افزار Zeta
fun	ویروس باج افزار Jigsaw (variant)
kimcilware	ویروس باج افزار KimcilWare
paymrss	ویروس باج افزار Jigsaw
dxxd	ویروس باج افزار DXXD
pec	ویروس باج افزار PEC 2017
rokku	ویروس باج افزار Rokku
lock93	ویروس باج افزار Lock93
vxlock	ویروس باج افزار vxLock
pubg	ویروس باج افزار PUBG
crab	ویروس باج افزار GandCrab

سخن پایانی…

در این لیست که بر گرفته از مقاله‌ای از سایت techviral است سعی بر آن شد که تمامی پسوندهای باج افزار رایج در چند سال گذشته و مخصوصا در سال 2022 را ارائه کنیم و همچنین نوع ویروس حمله کننده را به شما معرفی کنیم. برای هر یک از این ویروس‌ها ضد باج افزارهای مناسبی اعم از رایگان و غیر رایگان وجود دارد که به راحتی می‌توانید از آن‌ها بهره ببرید.

چنانچه حذف باج افزار به صورت دستی و یا به وسیله‌ی این ضد باج افزارها امکان پذیر نبود، می‌توانید بصورت شبانه روزی با کارشناسان ما در تماس باشید و از خدمات اورژانس باج افزار بهره ببرید.

باج افزار GandCrab(گندکرب) یکی دیگر از انواع باج افزار است که در دسته RaaS (باج افزار به عنوان یک سرویس) قرار دارد. این باج افزار در سال 2018 توسط کارشناسان شرکت امنیت سایبری LMNTRIX کشف شد. گردانندگان این نوع باج‌افزار که حتی به باج‌افزار چابک معروف شده، با انتشار بدافزاری که تعداد کمی از آن ساخته شده بود شروع به کار کردند و روز به روز روند کار رو تسریع و آن را بهبود می‌دادند. تبلیغ و ترویج این باج افزار معمولا بین هکرهای روسی در دارک وب انجام و در یک برنامه وابسته اجرا می شود.

اورژانس باج‌افزار که از گروهی از متخصصان امنیت دیجیتال تشکیل شده است، در تلاش است که راهکارهایی برای جلوگیری از آلودگی، شکستن قفل و بازیابی اطلاعات دیتابیس‌های آلوده به باج‌افزار را با جدیدترین و بهترین متدهای روز جهان در اختیار شما قرار دهد.

باج افزار GandCrab چگونه کار می‌کند؟

برای توزیع این باج افزار از کیت‌ها یا بسته‌های بهره‌برداری RIG و GrandSoft از راه ارسال ایمیل‌های فیشینگ استفاده می‌شود. در اولین ماه شروع کار این باج گیر، آلوده‌شدن حدود 50000 هزار رایانه تخمین زده شد، که بیشتر این قربانیان اروپایی بودند و از هر قربانی چیزی حدود 400 تا 700،000 دلار ارز دیجیتال DASH باج خواسته شده بود.

باج افزار GandCrab و Vidar – یک ترکیب بدافزاری خطرناک

تقریباً یک سال پس از کشف باج افزار GandCrab، یک حمله ترکیبی از GandCrab و Vidar، شناسایی شد. Vidar طیف وسیع و زیادی از داده‌ها، از جمله گذرواژه‌ها، اسناد، اسکرین شات‌ها، اطلاعات احراز هویت دو مرحله ای ذخیره شده و کیف پول‌های ارزهای دیجیتال را برداشته و آن‌ها را به سرور C&C خود ارسال کرده بود. مرحله بعد، GandCrab رمزگذاری سیستم آلوده را شروع کرد و درخواست باج را برای قربانیان به نمایش گذاشته بود. این باج افزار برای توزیع این ترکیب از  Fallout Exploit Kit استفاده کرده بود.

مهاجمان در اینجا حتی قبل از استقرار باج افزار به اجرای یک  infostealer می‌پردازند، که حتی اگر قربانی از پرداخت باج امتناع کند، باعث تضمین حداقل درآمدی برای مهاجمان می‌شود. بدین معنا که مجرمان سایبری اگر هیچ استفاده‌ای هم از اطلاعات نکنند، به راحتی می‌توانند آن را در بازارهای زیرزمینی بفروشند.

تا چه حد باید نگران باج افزار GandCrab(گندکرب) باشیم؟

نسخه‌های اولیه این باج گیر کم‌خطر یا بعضا بی‌خطر بودند، و در محیط‌هایی کار می‌کردند که امنیت آن‌طور که باید وجود نداشت. اما الان هر کسی که هنوز از ویندوز XP یا ویندوز 2003 استفاده می‌کند در معرض خطر این باج افزار قرار دارد. در حالی که پچ مایکروسافت برای سیستم‌عامل‌های قدیمی‌تر (به استثنای ویندوز 2000) در دسترس است. واین نکته هم نیز مهم است که بسیاری از راه‌حل‌های AV خیلی وقت است از این سیستم‌عامل‌های قدیمی‌تر پشتیبانی نمی‌کنند، و آنها را تبدیل به اهداف اصلی این باج‌افزار جدید و ارتقا یافته می‌کند.

مطالب مرتبط:حذف باج افزار، رمزگشایی داده‌ها و بازیابی اطلاعات

روش محافظت در برابر باج افزار GandCrab

برای این کار فقط کافیست مراحل زیر را به درستی اجرا کنید و بعد از آن نگران این ویروس نباشید.

_از فایل های خود نسخه پشتیبان تهیه کنید

با پشتیبان‌گیری منظم، ویروس باج‌افزار خیلی کم‌خطر و بی‌آزار می‌شود. خیلی راحت سیستم خود را پاک کرده و بازیابی کنید و خیلی راحت ادامه دهید.

_مراقب پیوست‌ها و لینک‌های موجود در ایمیل باشید

اگر ایمیلی از طرف یک دوست یا هر شخص دیگری دریافت می‌کنید و به نظرتون ظاهر عجیبی داشت، مجددا آن را بررسی کنید. اگر این ایمیل از طرف شرکتی است که با آن کار می‌کنید، سعی کنید آن‌ را به وب سایت شرکت هدایت کنید و در صورت امکان، از برنامه‌های ضد بدافزار استفاده کنید.

_به طور مرتب پچ و بروزرسانی کنید

به روز نگه داشتن سیستم، مهاجمان را از سوء استفاده برای دسترسی غیرمجاز به رایانه شما جلوگیری می‌کند.

_دسترسی از راه دور را محدود کنید

بهترین راه برای محافظت در برابر حمله پروتکل دسکتاپ از راه دور (RDP) محدود کردن دسترسی آن است. از خود بپرسید این سوال واقعا پرسیدنی است که آیا واقعاً نیاز به دسترسی از راه دور به این سیستم وجود دارد؟ اگر بله که تا حد ممکن دسترسی را فقط به کاربرانی که واقعا نیاز دارند بدهید و بقیه دسترسی ها را مسدود و محدود کنید. روش بهتر، پیاده سازی یک شبکه خصوصی مجازی (VPN) برای کاربران است، این کار باعث خنثی شدن هگونه احتمال حمله RDP می‌شود.

_از رمزهای عبور قوی استفاده کنید

از رمزهای عبور یکسان در سایت‌ها استفاده نکنید. در صورتی که یک سیستم کاملاً نیاز به دسترسی از راه دور داشته باشد، از یک رمز عبور مناسب با احراز هویت چند عاملی استفاده کنید. شاید برایتان مسئله باشد که به خاطر سپردن تمام رمزهای عبور برای همه سایت‌ها و برنامه‌های مختلف کار سختی است ؛ اما جای نگرانی نیست و به راحتی میتوان از یکی از ابزارهای مدیریت رمز عبور استفاده کنید.

_ از نرم افزارهای امنیت سایبری استفاده کنید

به عنوان مثال، Malwarebytes Premium ویروس‌ها، تروجان‌ها، دانلودهای مخرب، لینک‌های بد و وب‌سایت‌های جعلی را مسدود می‌کند و با اینکار از ورود باج‌افزارهایی مانند GandCrab و سایر آلودگی‌های بدافزار جلوگیری می‌کند.

برای شناخت بیشتر باج افزارها و انواع دیگر آن به مقاله باج افزار چیست؟ رجوع کنید.

نحوه حذف باج افزار GandCrab

اگر جزء قربانیان قبلی  GandCrab بوده‌اید، احتمال زیاد نیازی به پرداخت باج نداشته باشید. در غیر این صورت، این مراحل را باید برای حذف GandCrab از رایانه شخصی خود انجام دهید.

1.نمایش پسوند فایل در ویندوز

 به طور پیش فرض، مایکروسافت ویندوز پسوندهای فایل (مانند .exe و .doc) را پنهان می کند و قبل از اینکه بتوانید مراحل بعدی را اجرا کنید ، باید پسوندها ببینید و آن‌ها را از حالت پنهان بیرون بیاورید. برای این‌کار، File Explorer را باز کرده، روی تب View کلیک کنید، و در آخر File Name Extensions را علامت بزنید. در اینجا شناخت درست و دقیق پسوندهای باج افزار و انواع مرتبط با آن‌ها ضروری است.

2.نسخه باج افزار GandCrab را تعیین کنید.

 اکنون که پسوند فایل‌ها را می‌ببینید، می‌توانید با تأیید پسوندهای فایل‌های رمزگذاری‌شده، متوجه شوید که کدام نسخه از GandCrab را سیستم شما را آلوده کرده است.

• نسخه 1 GandCrab پسوند gdcb را دارد
• نسخه 2 و 3  GandCrab پسوند crab را دارد.
• نسخه 4 GandCrab پسوند krab را دارد.
• نسخه 5 GandCrab یک پسوند تصادفی 5 حرفی را نشان می‌دهد.

3.رمزگشا(decryptor) را دانلود کنید.

 یک رمزگشای رایگان GandCrab برای GandCrab(گندکرب) نسخه های 1، 4، 5.01 و 5.2 وجود دارد. اگر پسوند فایل شما با این نسخه های ذکر شده مطابقت دارد، خیلی نگران نباشید و می‌توانید از این رمزگشا استفاده کنید. اما متأسفانه، هیچ ابزار رمزگشای رایگان برای GandCrab نسخه 2 و نسخه 3 وجود ندارد.

4.باج را نپردازید

 اگر به GandCrab نسخه 2 یا نسخه 3 آلوده شده اید، ممکن است به پرداخت باج ترغیب شوید اما این کار را نکنید. با فرض اینکه سرورهای GandCrab هنوز فعال هستند، FBI، Europol و INTERPOL همگی توصیه به عدم پرداخت باج دارند. چرا که هیچ تضمینی برای بازگرداندن فایل‌های خود ندارید و این کار تنها باعث میشه شما به طعمه ای خوب برای حملات بعدی باج افزار تبدیل بشید.

سخن پایانی…

در این مقاله سعی بر این بود که باج افزار GandCrab(گندکرب) را به طور کامل معرفی و نحوه پیشروی آن، روش مقابله با آن و همچنین حذف آن بصورت دستی را ارائه دهیم و امیدواریم که این برایتان مفید واقع شود و بتوانید در زمان وقوع حمله این باج افزار به درستی با آن مقابله کنید.

آیا سازمان شما چندین هزار دلار برای پرداخت باج را دارد؟ آیا شناسایی باج افزار برای پیشگیری بهتر از حملات، راه حل بهتری نیست؟ آیا شناسایی باج افزار هزینه کمتری تا تلاش برای حذف باج افزار ندارد؟

برای مبارزه با باج افزار، بسیاری از مباحث در خصوص پیشگیری و عکس العمل بعد از حمله است. با این حال، در واقع شناسایی باج افزار برای “ایمن سازی” کسب و کار اگر به همان اندازه مهم نباشد مطمعنا کمتر نیز نیست. برای درک بهتر این مطلب میخواهم به مثال زیر توجه کنید:

فرض کنید شما یک دامدار هستید و گله‌ای گوسفند دارید، پس طبیعتا نگران حمله گرگ نیز هستید. برای رفع این نگرانی یک حصار بزرگ برای محافظت نصب کرده اید و برای ترساندن گرگ از بوق استفاده می‌کنید. بنظر من این نوع پاسخ بسیار در خورد است. اما سوال اینجاست! آیا بهتر نیست از یک سیستم هشدار اسستفاده کنید که سریعا قبل از اینکه گرگ حمله کند شما اقدام کنید ؟! آیا این کار بهتر و درخورتر نیست؟

بیایید نگاهی به “پنج ستون اصلی تشخیص تغییرات” در زمان واقعی بیندازیم تا ابزارهایی را که برای استفاده از این تکنیک‌ها برای شناسایی باج افزار و کاهش تأثیر آن لازم است را بهتر بشناسیم.

1. تجزیه و تحلیل فایل استاتیک

فرض کنید در یک تیم فناوری اطلاعات هستید و یک هشدار امنیتی در یکی از سرورهای کلیدی سازمان فعال شده است. هشدار خیلی شفاف نیست اما بیانگر این است که یک فایل مشکوک به باج افزار شناسایی شده است.

بدتر اینکه هش کدهای فایل (Hash Code) در VirusTotal نیست و شما هم نمی‌توانید اطلاعاتی را در اینترنت پیدا کنید که تشخیص دهید آیا فایل موجود مخرب است یا نه.

برای تشخیص باج افزار و فهمیدن اینکه آیا این فایل باج افزار است یا نه (یا هر بدافزاری دیگر)، یکی از گزینه‌ها بررسی یا تجزیه و تحلیل فایل استاتیک است. تجزیه و تحلیل این فایل، نوعی تجزیه و تحلیل است که به مشکوک بودن یک فایل اجرایی بدون اینکه به شکل واقعی کد را اجرا کندیا نموضوع را بررسی می‌کند که آیا این فایل اجرایی مشکوک است یا نه.

در مورد باج‌افزار، بررسی و آنالیز فایل استاتیک در پی دنباله‌های کد مخربی است که شناخته‌شده‌اند و به دنبال سرنخ‌های مشکوکی، مانند “پسوندهای فایل هدف‌گذاری شده” معمول و کلمات رایج مورد استفاده در یادداشت‌های باج است.

یکی از ابزارهای رایگانی که می‌تواند مفید باشد PeStudio است. این ابزار، مصنوعات مشکوک را در فایل‌های اجرایی علامت‌گذاری می‌کند و برای بررسی رشته‌های تعبیه‌شده، کتابخانه‌ها، واردات و سایر شاخص‌های سازش (IOC) در یک فایل استفاده شود.

مزایا:

• نرخ مثبت غیر واقعی آن پایین است.
• در برابر باج افزارهای معروف موثر است.
• برای اینکه هیچ فایلی رمزگذاری نشود، حملات را قبل از اجرا متوقف می‌کند

معایب:

•  –    انجام آن  بصورت دستی زمان‌بر است.
•     – با استفاده از Packers / Crypter یا با جایگزین کردن کاراکترها با ارقام یا کاراکترهای خاص می‌توان آن را خیلی راحت دور زد.

انواع باج افزار: 5 نوع از مرسوم ترین شکل حملات باج افزارها| چند نکته مهم برای تیم‌های IT

2.ایجاد لیست سیاهی از پسوندهای رایج باج افزار

با ابزارهای نظارت بر دسترسی به فایل، می‌توان برای معروف‌ترین “پسوندهای باج‌افزار“ عمل تغییر نام فایل را در لیست سیاه قرار داد، یا اینکه به محض ایجاد فایل جدیدی با پسوندهای باج افزار، هشدار داده شود.

به عنوان مثال، یکی از ابزارهای نظارت بر دسترسی به فایل توسط Netapp این امکان را می‌دهد که انواع خاصی از افزونه‌ها را قبل از ذخیره شدن در سیستم و یا اشتراک‌گذاری‌، مسدود کنید. سایر راه حل های لیست سیاه باج افزار شامل ownCloud یا Netwrix است.

لیست های متنوعی در اینترنت با از پسوندهای رایج باج افزار وجود دارد. به عنوان مثال https://fsrm.experiant.ca/

مزایا:

• نرخ مثبت غیر واقعی آن پایین است.
• در برابر باج افزارهای معروف موثر است.

معایب:

• باج افزارها به راحتی می‌توانند آن را با پسوند جدید رمزگذاری دور بزنند.
• راه حل نظارت بر فایل که دارای ویژگی لیست سیاه پسوند باشد به راحتی پیدا نمی‌شود.

3. استفاده از فایل های Honeypot برای شناسایی باج افزار

فایل honey یک تکنیک برای فریب است که عمداً برای شناسایی مهاجم در یک پوشه قرار می‌گیرد و به محض باز شدن فایل، زنگ هشدار به صدا در می‌آید. مثلا، فایلی با این نام passwords.txt می تواند به عنوان فایل honey در یک workstation استفاده شود.

یکی از راه های محبوب و رایج برای ساخت سریع و آسان فایل های honey استفاده از Canarytokens است. Canarytokens یک ابزار رایگان است که  Canarytokens _یک شناسه منحصر به فرد یا توکن_ را در سندی  مانند Microsoft Word، Microsoft Excel، Adobe Acrobat، تصاویر، پوشه‌های دایرکتوری و غیره جاسازی می‌کند.

بعد از اینکه Canarytoken دسترسی پیدا کرد، Canary یک ایمیل اعلان به آدرس مرتبط با توکن مربوطه را برای شما ارسال می کند. می‌توان نام فایل‌های Canary را به نام‌هایی تغییر داد که باجگیرها در شبکه قربانی بدنبال آن هستند، مانند «statement »، «policy » یا « insurance ».

مزایا:

• شناسایی باج افزارهایی که موتورهای ساکن آن را نمی‌گیرند.

معایب:

•   به شکل کاذب و معیوبی برخی از موارد را مثبت نشان می‌دهد، زیرا کاربران و برنامه‌ها ممکن است فایل‌هایی را باز کنند که به عنوان طعمه گذاشته شده‌اند.
• وقتی پوشه‌های خاصی را تارگت می‌کند از برخی فایل‌ها یا پوشه‌های مخفی عبور می‌کند

4_نظارت پویا بر عملیات فایل‌های انبوه و حجیم

با اینکار می‌توان در یک بازه زمانی معین، حمله باج‌افزارها را که در زمان واقعی اتفاق می‌افتد را شناسایی کرد و حتی به طور خودکار آن را مسدود کرد.

برای شناسایی باج افزار از این طریق، ابزار نظارت بر یکپارچگی فایل(File Integrity Monitoring)  می تواند کارا باشد. یک FIM آخرین نسخه فایل‌ها را با هم مقایسه کرده و با یک «خط مبنا» قابل اعتماد وشناخته شده اعتبارسنجی می‌کند و آن زمان که فایل‌ها تغییر، به‌روزرسانی یا در معرض خطر قرار گرفته‌اند به شما هشدار می‌دهد.

ابزارهای رایگانی از FIM مانند OSSEC و Samhain File Integrity  در دسترس است، که بسرعت قابل اصلاح هستند تا بتوان فورا برای پاسخ خودکار این تهدیدات، باج افزار شناسایی شده را مسدود کرد.

مزایا:

• شناسایی باج افزارهایی که موتورهای ساکن آن را نمی‌گیرند.

معایب:

• رمزگذاری فایل‌ها فراتر از حد تعریف شده.
• با ایجاد تاخیر بین رمزگذاری‌ها به راحتی دور می‌خورند.

5_اندازه گیری تغییرات داده های فایل ها (آنتروپی)

درمباحث امنیت سایبری، آنتروپی یک فایل به معیار خاصی از تصادفی بودن به نام «آنتروپی شانون» اشاره دارد. برای تشخیص انواع باج افزار، فایل‌های متنی معمولی دارای آنتروپی کمتری هستند و فایل‌های رمزگذاری شده یا فشرده آنتروپی بالاتری دارند. به بیان دیگر، در صورت تغییر نرخ داده‌های فایل‌ها، می‌توان تشخیص داد که فایل‌ها رمزگذاری شده‌اند یا نه.

ابزار رایگان Patrick Wardle’s RansomWhere?

 ابزاری است برای اندازه گیری تغییرات داده های فایل ها(آنتروپی) که به  شناسایی باج افزار و مسدود کردن آن می‌پردازد. این ابزار فرآیندهای مشکوک و نامعتبر که فایل های شخصی شما را رمزگذاری می کنند،شناسایی می‌کند. RansomWhere همچنین می‌تواند فرآیندها را پس از تغییرات متعدد و تغییرات قابل توجه را مسدود کنند.

مزایا:

• شناسایی انواع باج افزارهایی که موتورهای ساکن آن را نمی‌گیرند.
• نکات مثبت مصنوعی کمتری نسبت به تکنیک‌های دینامیکی که قبلا ذکر شد را نشان می‌دهدو دقیق‌تر است.

معایب:

•     در نقطه پایانی از CPU در سطح بالایی استفاده می‌کند.
•   فایل‌ها تا سرحد اطمینان تعیین شده رمزگذاری می‌شوند، بنابراین همه آسیب‌ها و تخریبات مسدود نخواهد شد.

نتیجه گیری:

تکنیک‌ها برای شناسایی باج افزار و تشخیص عفونت‌های باج افزار میتوانند بسیار کمک کننده باشند. هدف اصلی ما در اینجا معرفی راه‌های مختلفی برای تشخیص انواع باج افزار قبل از ایجاد آسیب جدی بود. همچنین این بخش را می‌توان بخش مهمی از استراتژی‌های حفاظت از باجگیرها دانست.

برگرفته از مقاله Top 5 ransomware detection techniques: Pros and cons of each

این روزها باج افزار ransomware مهمترین دغدغه‌ی “امنیت سایبری” برای شرکت‌ها شده است؛ چرا که میتواند تاثیرات بسیار مخربی را ایجاد کند. از جمله مهمترین این آسیب‌ها، از دست رفتن داده‌ها، بالابودن هزینه‌های بازیابی و همچنین آسیب به شهرت کسب و کارها است.

 در این راستا اگر بدانید با چه باج افزاری روبه رو هستید و بتوانید به تشخیص باج افزار بپردازید شاید تا حد خیلی زیادی بتوانید با استفاده از برنامه‌های مختلف به محافظت از کسب و کارتان در مقابل حملات آن‌ها بپردازید.

اما سوال اصلی اینجاست که با این افزایش چشمگیر حملات سایبری، چگونه میتوان از اطلاعات ارزشمند خود محافظت کرده و یا به حذف باج افزار بپردازیم؟

در این پست سعی داریم برخی از مهمترین انواع باج افزار که امروزه نسبت به شکل‌های دیگر آن استفاده می‌شنوند را بررسی کنیم. همچنین بزرگترین حملات باج افزاری را نیز به اختصار توضیح می‌دهیم.

اصلی ترین انواع باج افزار کدام است؟

باج افزار به اشکال مختلفی عرضه می شود که همه آنها دارای چندین ویژگی مشترک هستند. انواع مختلفی از باج افزار وجود دارد؛ اما میتوان گفت که همه‌ آن‌ها دارای ویژگی‌های زیر هستند:

• اول اینکه همه آنها انگیزه مالی دارند(که میتوان اصلی ترین ویژگیشان دانست)
• دوم حامل نوعی تهدید برای سیستم‌های IT هستند.
• و سوم اینکه پیامی اخطار دهنده را بر روی سیستم قربانی نشان میدهند که از آن‌ها باج میخواهد.

اما تفاوت اصلی و متمایز کننده انواع باج افزار ها به خاطر نحوه‌ی حمله آنها و تکنیکی است که به کار میبردند. با بررسی نمونه‌های زیر دقیقا متوجه میشوید که منظورمان از تکنیک چه است.

مطلب مرتبط: با شناخت پسوندهای باج افزار به نوع آن‌ها پی ببرید

1. باج افزارCrypto  (رمزنگاری)

باج افزار کریپتو یکی از مهمترین باج افزارهای موجود است. یک روش برای حمله موثر سایبری‌ها محسوب می‌شود که بسیار سودآور نیز است. این گونه باج افزار به “رمزگذاری داده‌ها“ می‌پردازد و آن‌ها را غیرقابل خواندن می‌کند. سپس برای رمزگشایی و ارائه کد از قربانی باج می‌خواهد. توسعه دهندگان این نوع از انواع باج افزار اغلب یک “شماره معکوس” را در صفحه قربانی اضافه می‌کنند و این اخطار را نمایش می‌دهند:” اگر تا انتهای شمارش معکوس باج پرداخت نشود همه فایل‌های رمزگذاری شده حذف خواهد شد“. و در نتیجه، بسیاری هستند که برای برگرداندن داده‌های خود حاظر به پرداخت باج هستند.

2.  باج افزار Exfiltration

Exfiltration که یکی از مهمترین انواع باج افزار است به عنوان doxware یا leakware نیز شناخته می‌شود، با دزدیدن اطلاعات و داده‌های قربانی او را تهدید به نشر عمومی آن‌ها می‌کند.

این مورد علاوه بر اینکه به کسب و کار و شهرت قربانیان آسیب می‌رساند، همچنین منجر به جریمه شدن توسط مراجع قضایی در نقض مقررات حفاظت نیز میشود. مهاجمان اغلب داده‌هایی را رمزگذاری می‌کنند که مرتبط با یکدیگر هستند و به این دلیل میتوانند فشار را برای پرداخت باج چندین برابر کنند.

3. باج افزار DDoS

برخلاف باج‌افزارهای رمزنگاری‌شده و نفوذ کننده، حملات باج‌افزار (DDoS) به خدمات شبکه است و کاری به اطلاعات و داده‌های کاربر ندارد.

آنها برای متوقف کردن سرورهای کاربر شروع به “درخواست‌های اتصال جعلی” میکنند تا با ایجاد ترافیک کاذب، سایت مورد نظر را درگیر کنند. با این کار تمام منابع سرورها صرفا درگیر این درخواست‌ها می‌شوند و این امر باعث می‌شود کاربران اصلی برای اتصال به سرور با مشکل روبه رو شوند.

 پس از انجام این حملات با نمایش یک یادداشت، کاربر را به پرداخت باج برای اتمام حمله ترغیب می‌کند. اما DDoS از آن نوع حملاتی هستند که گاهی اوقات مهاجمان چه با پرداخت باج و چه عدم پرداخت آن، دست از حمله بر می‌دارند.

یک حمله باج‌افزار DDoS به شدت نیازمند منابع است. بنابراین یک هکر ممکن است برای حفظ آن برای مدت طولانی تلاش کند. علاوه بر این، باج افزار DDoS خطری برای داده‌های واقعی شما ایجاد نمی کند.

4. باج افزار Locker یا قفل صفحه

یکی از انواع باج افزار ها که از اهمیت بالایی برخوردار است، قفل کننده‌های صفحه هستند. این باج گیر اجازه دسترسی قربانی را تا زمانی که باج پرداخت نشود را از او میگیرد.

دستگاه آلوده به باج افزار  Locker بعد از روشن کردن سیستم خراب شده و در قسمت قفل صفحه، پیامی که خواستار پرداخت باج است را نشان می‌دهد. Locker هم برای ترساندن قربانی تایمر شمارش معکوسی را طراحی می‌کند و در صفحه قفل به نمایش می‌گذارد.

به طور کلی بازیابی از حملات قفل صفحه (Locker)آسان تر است، زیرا آنها اطلاعات شما را رمزگذاری نمی‌کنند. به عنوان مثال، اغلب ممکن است با راه اندازی مجدد آن در حالت ایمن و اجرای نرم افزار آنتی ویروس، این بدافزار را از دستگاه حذف کنید.

5. باج افزار Scareware یا ترس افزار

این بدافزار از روشی به اسم” تاکتیک‌های مهندسی اجتماعی” استفاده می‌کند. این روش به این معناست که کاربر را فریب می‌دهد که با مشکلی مانند بدافزارها مواجه است و او را ترغیب میکند که مثلا برای حل این مشکل نیاز به خریداری و نصب فلان نرم افزار را دارد.

این هشدار به صورت “پاپ آپ” و اغلب موارد “لوگوی نرم افزار امنیتی قانونی” به نمایش گذاشته می‌شود و دستور خریداری نرم افزاری را می‌دهد؛ که ممکن است حاوی بدافزار باشد یا شروع به آسیب رساندن‌های حادتری بکند.

هکرها چگونه اقدام می‌کنند؟

با وجود گوناگونی انواع باج افزار، تکنیک‌های که باج گیران _یا در اصل همان مجرمان سایبری_ برای حلمه بکار می‌گیرند، شباهت بسیار زیادی به هم دارند. روش‌هایی که اکثر آن‌ها به کار میگیرند شامل موارد زیر است:

•      ایمیل های فیشینگ(فریب دهنده) با لینک‌ها یا پیوست‌های مخرب و خراب
•      وب‌سایت‌ها و شبکه‌های اشتراک‌گذاری فایل های شبیه به هم که در معرض خطر هستند.
•      بهره برداری و استفاده از نقاط ضعف امنیتی
•      درایوهای فلش USB

بزرگترین تهدیدات انواع باج افزار از گذشته تا به حال

در اینجا به  بررسی برخی از انواع باج افزار هایی پرداخته شده است که بیشترین آسیب را در گذشته و حال ایجاد کرده اند.

WannaCry

کار WannaCry رمزگذاری باج افزار است. از یک آسیب پذیری در “پروتکل SMB“ ویندوز سوء استفاده می‌کند و وارد می‌شود. WannaCry شروع به تکثیر کرده و از این طریق به آلوده کردن سیستم‌های دیگر نیز می‌پردازد.

WannaCry یک برنامه مستقل است. این برنامه قابلیت این را دارد که فایل‌های حاوی کلیدهای رمزگذاری، برنامه های کاربردی رمزگذاری/رمزگشایی و “برنامه ارتباطی Tor” را استخراج کند. مهاجمان WannaCry را مبهم و پیچیده نمی‌کنند و به راحتی میتوان آن را شناسایی و سپس حذف کرد.

بیشترین نرخ آلودگی آن در سال 2017 بوده است که  23000 دستگاه را در 150 کشور جهان تحت تأثیر قرار داد. و همچنین حدود 4 میلیارد دلار خسارت وارد کرد.

Cerber

Cerber یک باج افزار از دسته (RaaS)_باج افزار به عنوان سرویس_ است. Cerber زمانی که در حال اجرای رمزگذاری است، بدون شناسایی، فایل های رمزگذاری را اجرا کرده و از فعالیت آنتی ویروس‌ها تا حد ممکن جلوگیری می‌کند. بعد از آنکه که به طور درست فایل ها را روی دستگاه رمزگذاری کرد، یک یادداشت حامل درخواست باج را در پس زمینه دسکتاپ به نمایش می‌گذارد.

CryptoLocker

باج افزار در چند دهه گذشته به اشکال مختلف ظهور کرده است . در سال 2013، CryptoLocker، به شهرت رسید. فروشندگان و متخصصان فناوری اطلاعات، در می 2014 پس از اخاذی 3 میلیون دلار از قربانیان توسط مجرمان سایبری، بات نت اصلی CryptoLocker را کاملا از بین بردند.

با این حال و با از بین رفتن CryptoLocker، کپی کردن آن توسط مجرمان به راحتی انجام می‌گیرد. اما این تغییرات با نسخه اصلی آن مرتبط نیست.

تعداد CryptoLocker به حدی زیاد شده است که آن را حتی مترادف با باج افزار می‌دانند.

Locky

باج افزار Locky با به کارگیری بات نت Necurs شروع به توزیع ایمیل‌های فیشینگ کرد که حاوی دستورالعمل‌های مخرب بود. این عمل از طریق پیوست های Excel یا Word صورت می‌گرفت.

نسخه Locky در سال 2016 مشخص شد که در جعبه ایمنی نیز قابل اجرا است و یک ماه بعد این بد افزار حتی قادر به رمزگذاری فایل‌ها به صورت آفلاین بود. Locky در سپتامبر 2017 در حمله‌ای فعال شد که در آن حدودا 23 میلیون پیام فیشینگ توسط مهاجمان در مدت 24 ساعت فرستاده شد.

باج افزار Maze

Maze یکی دیگر از انواع باج‌افزار است که از سال 2019 اثراتش دیده شده است. اولین بار یک گروه اصلی Maze را ایجاد کردند،اما چندی بعد برخی دیگر از مهاجمین از Maze برای اهداف باج گیری خود شروع به استفاده از آن کرده‌اند.

بیشتر اپراتورهای Maze علاوه بر رمزگذاری، “داده‌هایی را که رمزگذاری می‌کنند را نیز کپی کرده” و همچنین تهدید به افشای آن‌ها می‌کنند و با اینکار فشار زیادی را برای پرداخت باج اعمال می‌کنند.

باج افزار Maze بیشتر از طریق پیوست‌های ایمیل مخرب توزیع می‌شد. اما در حملات اخیر از روش‌های دیگری برای به خطر انداختن شبکه استفاده می‌کنند. به عنوان مثال، بسیاری از حملاتی که  باج‌افزار Maze انجام می‌دهد از اعتبارنامه‌های پروتکل دسکتاپ از راه دور (RDP) دزدیده شده و برای نفوذ به شبکه استفاده کرده‌اند. حملات دیگر با به خطر انداختن سرور شبکه خصوصی مجازی (VPN) آغاز شده اند.

Ryuk

Ryuk  باج افزاری است که با یک برنامه dropper توزیع شده و روی دستگاه قربانی مستقر می‌شود. سپس یک بد افزار را نصب می‌کند و راه ارتباط دائمی را با سرور فرمان و کنترل (C&C) باز می کند.

“ویروس” Ryuk از طریق عفونت TrickBot وارد شبکه می‌شود. و این کار را از راه‌های مختلفی انجام می‌دهد. ایمیل اسپم شده یکی از رایج‌ترین روش‌هایی است که از آن استفاده می‌کند. همچنین از طریق بات‌نت Emotet که از قبل وجود داشت، پخش می‌شود، که از ایمیل‌های مخرب – به‌ویژه، پیوست‌های ایمیل و سند word برای آلوده کردن رایانه‌ها استفاده می‌کند.

نکته‌ های امنیتی مربوط به فضاهای ذخیره‌سازی

برای مقابله با هر یک از انواع باج افزارها، نکات زیر به ارائه بخش مهمی از اقداماتی که تیم های ذخیره سازی داده محور می توانند برای محافظت از کسب و کارها در برابر تهاجم انواع ویروس باج افزار پرخطر را انجام دهند، ارائه می دهد.

مجوزهای فایل ناامن را شناسایی و اصلاح کنید

کاربران باید اطلاعات و داده‌های خود را به درستی بشناسند تا از آنها محافظت کنند. مخصوصا این نکته را  باید بدانند که کسب و کارشان چه داده‌هایی را ذخیره می‌کند و دسترسی آنها در اختیار چه کسانی است.

برای شروع، تجزیه و تحلیل مجوزهای فایل میتواند گزینه مناسبی باشد. تجزیه و تحلیل مجوزهای فایل این قابلیت را به مدیران می‌دهد که توانایی رصد کردن کاربرانی را داشته باشند که داده‌های آن‌ها در اختیارشان است و میتوانند بررسی کنند که چه کاری را می‌توانند انجام دهند. و بعد از آن شروع به سخت‌گیری در مورد اعطای مجوزهایی کنند که آنچنان ضروری نیستند.

آن‌ها باید سوء استفاده از مجوزهایی که توسط کاربرانی که در حال خواندن، تغییر یا حذف داده‌هایی هستند که جزئی از کارشان نیست را پیگیری کنند و آن‌ها را لغو کنند. مثلا، یک توسعه‌دهنده برنامه‌های کاربردی را در نظر داشته باشید که اطلاعات شرکت را در سیستم تغییر می‌دهد.

با این حال، درک عمیق در مورد مجوزهای فایل در صورتی کامل است که ماهیت داده‌های که در دسترس هست را نیز بشناسیم. به همین جهت، به ابزارهایی نیاز است که بتوانند تجزیه و تحلیل مجوز فایل‌ها را با اطلاعات متنی، مانند انواع داده در دسته‌های مختلف، حساسیت، مالکیت و مکان ذخیره‌سازی را قدرتمند کنند.

الگوهای استفاده از داده‌ها ثبت و سپس نظارت شوند

علاوه بر نکات گفته شده، تمام فعالیت‌های صورت گرفته توسط کاربر باید برای نظارت و تجزیه و تحلیل ثبت شود.

این امر در صورت هجوم بسیار کاربردی خواهد بود، چرا که این گزارش‌های ثبت شده حاوی اطلاعاتی است که در ارزیابی هجوم و پس از آن انجام اقدامات اصلاحی بسیار میتواند کمک کننده باشد.

آنها همچنین جزئیات را برای کمک به  تعیین علت اصلی حمله در آینده ارائه می دهند. با این وجود میتوان به اجرای اقدامات پیشگیرانه پرداخت.

حمله گونه های باج افزار دارای چنین نشانه‌هایی است:  

• خواندن، نوشتن، یا حذف تمام فعالیت‌ها بصورت گروهی
• رمزگذاری‌ها به شکلی غیرطبیعی افزایش پیدا کند
• کاربران در ساعات غیر عادی به سیستم‌ها دسترسی داشته باشند
• از یک موقعیت زمانی- مکانی که مورد انتظار نیست یک دستگاه دسترسی به داده‌ها و یا سیستم را داشته باشد.

نه تنها باید بر فعالیت کاربر نظارت داشت، بلکه باید رفتار سیستم را نیز در نظر گرفت و کنترل کرد. این کار کمک می‌کند که در زمان حمله سیگنال های دیگر شناسایی شوند.

رمزگذاری داده‌ها در حالت پرواز

برای جلوگیری از نفوذ، بهترین راه رمزگذاری داده‌ها است؛ چرا که دسترسی را عملا از مهاجمان میگیرد و داده‌ها بی فایده می‌شوند. اما این تنها در صورتی امکان پذیر است که مهاجمان نتوانند کلیدهای رمزنگاری شما را به دست بیاورند. این نکته نیز قابل بازگویی است که اطلاعات پشتیبانی که شمار در اختیار دارید به همان اندازه برای مهاجمان نیز سودمند است. به همین خاطر باید داده‌ها را در زمان استراحت یا حالت پرواز در محیط پشتیبان و در زمانی که مشغول به پشتیبانی از داده‌های خود هستید به فرآیند رمزگذاری بپردازید.

همچنین برای جلوگیری از افتادن کلید‌های شما به دست مهاجمان یا سایبری‌ها باید از بهترین روش‌های مدیریت کلیدها استفاده کرد.

در نهایت، باید توجه داشت که رمزگذاری نمی‌تواند به صورت تمام و کمال باج افزار رمزنگاری را متوقف کند، زیرا سایبری‌ها می توانند حتی شکل رمزگذاری شده داده‌ها را رمزگذاری کنند. و این معنی را می‌دهد که در صورتی که این اتفاق بیوفتد باید برای رمزگشایی هر دو کلید خو و مهاجم را داشته باشید.

نسخه پشتیبان دیتاهای خود را تهیه کنید

این نکته حائز اهمیت است که داشتن یک استراتژی پشیبانی برای حفاظت در مقابل حمله‌ی احتمالی crypto بسیار مهم و حیاتی است. اصل پشتیبان گیری1-2-3 باید مورد استفاده قرار گیرد که به شرح زیر است:

• حداقل باید در سه نسخه داده‌ها را ذخیره کنید
• برای کاهش حداکثری خطر، حداقل از دو فضای مختلف محیط برای ذخیره سازی استفاده کنید.
• برای داده‌های خود در یکی از فضاهای خارج از سایت نسخه پشتیبان تهیه کنید—و به این صورت به‌طور مؤثری از سیستم فعال و مورد استفاده‌تان جدا می‌شود

برای به حداکثر رساندن محافظت در برابر باج‌افزار، تهیه کردن “نسخه‌های پشتیبان غیرقابل تغییر” نیز مفید است. این نسخه‌ها را هیچ کس نمی‌تواند تا پایان یک دوره قفل مشخص اصلاح، رمزگذاری یا حذف کند، حتی کسانی که  امتیاز سرپرستی را دارند.

همچنین باید اطمینان حاصل کرد که پشتیبان‌گیری‌های شما واقعاً درست انجام گرفته‌اند و کار می‌کنند، به همین خاطر نباید فراموش کنید که به طور منظم آن‌ها را آزمایش کنید.

سوالات رایج

رایج ترین انواع باج افزار کدام است؟

رایج‌ترین نوع حمله ویروس باج افزار، باج افزار “کریپتو(crypto)” است. این نوع از حملات به دلیل تاثیر در قفل کردن و غیر دسترس کردن کاربران از داده ها و سیستم‌ها، توسط باج گیرها استفاده می‌شود.

این باج افزار، قسمتی یا تمامی از داده‌های کاربر را با کدی مخرب رمزگذاری می‌کند، دسترسی کاربران را قفل می‌کند و سیستم را تا زمان دریافت باج  بی‌استفاده می‌کند. بدیهی است که چرا به این نوع باج‌افزار اغلب «ربایش داده»  می‌گویند.

تهدید کننده ترین حمله انواع باج افزار کدام است؟

از بین تمامی انواع حمله ویروس باج‌افزار، باج‌افزار رمزنگاری(crypto) مؤثرترین روش در قفل کردن و باج گیری از کاربران است و از بسیاری جهات این ویژگی، آن را به تهدیدکننده‌ترین ویروس باج گیر تبدیل می‌کند.

Exfiltration یکی دیگر از جدی‌ترین تهدیدات است، زیرا علاوه بر اینکه داده‌ها را قفل و برای باج نگه میدارد، همچنین احتمال دارد آن دسته از داده‌های حساس را به صورت عمومی نیز انتشار کند، که این کار علاوه بر ضرر تجاری، بر اعتبار شرکت نیز ضرر و زیان وارد کند.

باج افزارهای پراستفاده کدام اند ؟

در حالی که باج افزارهای مختلفی وجود دارند، اما چهار مورد از پرکاربردترین آن‌ها عبارتند از: باج افزار رمزنگاری (crypto)، نفوذپذیری یا نشت افزار (exfiltration or leakware)، قفل صفحه(screen lockers) و ابزار ترسناک(scareware). از میان اینها، باج‌افزارهای رمزنگاری‌شده و نفوذپذیری مهم‌ترین تهدیدها را ایجاد می‌کنند، زیرا عملا داده‌های شما را به باج میگیرند، مگر اینکه مالک باج درخواستی را پرداخت کند و یا توانایی محافظت درمقابل باج‌افزار را داشته باشد.

سخن پایانی…

انواع باج افزار ها به گونه‌های مختلفی حمله می‌کنند و در شکل و شمایل متفاوتی دیده می‌شوند. مسیر و جهت حمله یک عامل مهم برای انواع باج افزارها است. برای تخمین اندازه و وسعت حمله، باید همیشه در نظر داشت که چه چیزی‌هایی  در خطر هستند و یا چه داده هایی می توانند نابود شوند یا انتشار یابند. صرف نظر از نوع باج افزار مهاجم، پشتیبان گیری از داده ها از قبل و به صورت منظم و همچنین استفاده صحیح  از نرم افزارهای امنیتی می تواند شدت حمله را به طور چشمگیری کاهش دهد.

این مقاله برگرفته از مقالات زیر است…

• Ransomware Types: 5 Common Types of Ransomware Attack
• Ransomware Attacks and Types – How Encryption Trojans Differ

شما در حال کلیک کردن هستید اما فایل‌های مورد نظر قفل است و باز نمی‌شود! بله درست است شما احتمالا با باج‌افزار ( Ransomware) روبه‌رو شده‌اید. بگذارید ساده‌تر بگویم؛ شما تا دیروز مالک چیزی بوده‌اید اما شخصی می‌آید و آن را از شما می‌گیرد و در ازای آن از شما باج می‌خواهد.

این روزها باج افزار به کابوس کسب و کارها تبدیل شده و این نگرانی بی‌مورد نیست، چرا که انواع باج افزار با “دیتاها” که مهمترین دارایی هر سازمان محسوب می‌شوند سروکار دارند و ممکن است هر لحظه تمام این دارایی را از شما بگیرد و شرکت را وارد بحران کند.

برای شناخت ویروس باج افزار، راه‌های پیشگری از نفوذ آن، شیوه‌ی فعالیت آن، روش حذف باج افزار، انواع مخرب آن و … در ادامه مقاله با ما همراه باشید.

باج افزار چیست؟

باج‌ افزار (ransomware) نوعی از بد‌‌افزارها هستند که کارشان حمله به سیستم‌های مختلفی مانند کامپیوتر، لپتاپ، موبایل و… است که باعث از بین رفتن دسترسی کاربر به اطلاعاتش از طریق “رمزگذاری داده‌های” او می‌شوند و برای اجازه‌ی دسترسی دوباره باج می‌خواهند. مهاجم‌ها با ارسال ایمیل یا پیام‌های مختلف از جمله پاپ‌‌آپ، کاربران را ترغیب میکنند که روی لینک خاص ارسال شده کلیک کنند. سپس از این طریق به سیستم کاربر نفوذ کرده، شروع به اخاذی و باج گرفتن از کاربر و یا سواستفاده‌های دیگر می‌کنند.

مهاجم‌ها معمولا با توجه به بزرگی شرکت، اهمیت اطلاعات و توان پرداخت کاربران، مبالغ متفاوتی را برای بازپس دادن اطلاعات و یا در اختیار گذاشتن رمز‌های اعمال‌شده بر روی فایل‌های سیستم کاربر درخواست می‌کنند؛ به گونه‌ای که حتی درخواست‌های پرداخت چندین هزار دلاری مشاهده شده است.

تاریخچه‌ی باج‌افزار‌ها:

برای شناخت دقیق یک مفهوم یا یک مسئله بنظرم اولین کاری که باید کرد رجوع به گذشته و تاریخچه آن است؛ که دراینجا سعی داریم مختصری از تاریخچه باج افزار را خدمت شما ارائه دهیم.

با وجود اینکه باج‌ گیرها در پنج سال گذشته به طور دائمی در سرفصل خبرها بوده‌ است، اما این ایده دزدی فایل‌های کاربران و رمزگذاریشان، اجازه ندادن دسترسی به سیستم و… و سپس درخواست باج برای بازگرداندن آن‌ها بسیار قدیمی است.

اواخر دهه 90 میلادی بود که مجرمان در ازای دریافت پول که از طریق خدمات پستی فرستاده می‌شد، پرونده‌های رمزگذاری شده را گروگان می‌گرفتند. از جمله اولین حملات باج افزاری که ثبت شده است، ویروس باج گیر ایدز بود که از طریق فلاپی دیسک در سال 1989 منتشر شد. کاربران باید 189 دلار را به یک P.O ارسال می‌کردند.

مطالب مرتبط: مروری کلی بر تاریخچه باج‌افزار

اما در قرن جدید و در شروع سال 2004 خانواده‌های پیچیده‌تری از بدافزارها شروع به فعالیت کردند. معروفترین آنها GpCode بود که از طریق کمپین‌های malspam انتشار یافتند و پرداخت‌های خود را از طریق کارت‌های هدیه‌ای همچون Ukash  از قربانیان می‌خواستند.

و اما در حوالی سال 2011 نوع جدیدی از ransomware به اسم Reveton که معروف به “باج گیر پلیس” بود پدید آمد. این ویروس باج گیر برخلاف سایر انواع ransomware رمزگذاری می‌کرد. در ابتدا صفحه نمایش را قفل و سپس هشداری تهدیدآمیز را نشان میداد؛ به گونه‌ای که قربانیان فکر می‌کردند این هشدار را پلیس ارسال کرده است. این اخطارها به زبان‌های مختلف بومی‌سازی شده و با استفاده از آرم‌های پلیس باعث گمراهی قربانیان و واقعی جلوه دادن هشدار برای آنان می‌شد.

باج افزارها به چه طریقی کار می کنند؟

ویروس باج افزار از طریق “رمزگذاری نامتقارن” فعالیت دارند. این نوع رمزنگاری از یک جفت کلید برای رمزگذاری و رمزگشایی یک فایل استفاده می‌کند. مهاجم کلید مخصوص رمزگشایی را تنها زمانی در اختیار قربانی قرار می‌دهد که او باج را پرداخت کرده است، و بدون دسترسی به این کلید، رمزگشایی فایل‌هایی به سرقت برده شده تقریبا غیرممکن است.

ویروس باج گیر ( Ransomware) انواع مختلفی دارند. اغلب باج گیرها (و سایر بدافزارها) از طریق کمپین‌های اسپم ایمیل یا از طریق حملات هدفمند گسترش می‌یابند. بدافزار برای ثابت کردن خود در نقطه‌ی پایانی به یک بردار برای حمله نیازمند است. و پس از اینکه استقرار یافت، تا زمانی که وظیفه‌اش تمام نشود، روی سیستم باقی خواهد ماند.

پس از رمزگذاری فایل‌ها، 24 تا 48 ساعت به کاربر وقت می‌دهد که برای رمزگشایی فایل‌ها باج را پرداخت کند که در غیر این صورت همه‌ی اطلاعات از بین خواهد رفت. اگر پشتیبان‌گیری داده‌ها رمزگذاری شده باشد و یا کلا در دسترس نباشند کاربر با پرداخت باج برای ریکاوری فایل‌های شخصی مواجه است.

باج افزار چگونه به سیستم نفوذ می‌کند؟

ویروس باج گیر(ransomware) با ظاهری موجه و قابل اعتماد شروع می‌کنند که بتوانند اعتماد افراد را بدست بیاورند. آن‌ها به این صورت عمل می‌کنند که از طریق ارسال ایمیل، پیامک، وب سایت، فایل‌های آلوده و… در سیستم مورد نظر نفوذ کرده و از طریق یک الگوریتم رمزنگاری، بخش‌های مختلف سیستم‌های هدف را رمزگزاری می‌کنند.

آیا می‌توان عاملان باج‌افزار را شناسایی کرد؟

عاملان به‌دلیل استفاده از رمزپایه‌های ناشناس برای پرداخت مثل بیت کویین، ردیابی مجرمان و پیدا کردن آنان را سخت و دشوار کرده است.

و در حال حاظر به طور کاملا رو به رشدی گروه‌های سایبری در حال ساختن بد افزارهای مختلفی برای کسب سود هستند. به طور معمول باجگیرهای پیشرفته، به صورت چند شکلی هستند که باعث میشود سایبری‌ها خیلی راحت امنیت مبتنی بر امضاهای سنتی را دور بزنند.

راهکارهای حفاظتی و پیشگیرانه در مقابل باج گیرها:

• ایمیل‌های اسپم شده و لینک‌های درون آن را باز نکنیم
• بر روی لینک‌های تخریب‌کننده کلیک نکنیم
• فایل‌های سایت‌های نامعتبر را باز نکنیم
• به ایمیل‌هایی که درخواست اطلاعات شخصی(نام کاربری، پسورد و..) پاسخ ندهیم
• آنتی‌ویروس‌های به روزی داشته باشیم
• به طور منظم و در زمان‌های مقرر پشتیبان‌گیری داشته باشیم
• پیوست ایمیل‌های مشکوک و نامعتبر را باز نکنیم
• خودداری از کلیک بر روی تبلیغات ناشناس

 زمانی که مورد حمله ویروس باج گیر قرار گرفتیم چه کارهایی انجام دهیم؟

1. ویندوز را به حالت safe mode قرار دهید
2. ضد بدافزار مطمعنی را بر روی سیستم خود نصب کنید
3. شروع به اسکن سیستم برای یافتن باج افزار کنید
4. در آخر سیستم خود را به حالت اولیه بازگردانید.

نکته ی مهم و قابل توجه!

پس از انجام این مراحل ما فقط توانسته‌ایم ویروس باج گیر را حذف کنیم و این کار باعث رمزگشایی مجدد فایل‌های ما نمی‌شود.

11  نوع از بهترین نرم افزارهای ضد باج گیر: ابزارهای حذف باج افزار

1. Zscaler: بهترین ضد باج گیر برای سندباکس های درون خطی.
   • ویژگی ها:
     •   بازرسی نامحدود SSL
     •      روشن بودن دائمی حفاظت
     •      غیرممکن کردن حرکات جانبی
2. Comodo AEP: بهترین ضد باج افزار برای استقرار آسان.
   • ویژگی‌ها:
     •      بدون توقف
     •      توانایی بازیابی فایل
     •      ابزاری برای پشتیبان گیری داخلی
3. HitmanPro.Alert: بهترین ضدباج‌افزار برای محافظت از برنامه های آسیب پذیر.
   • ویژگی ها:
     •    با استفاده از این نرم‌افزار میتوان  بدافزارها را فریب دهید
     •   میتوان موارد خصوصی را خصوصی نگه داشت
     •    و از برنامه های آسیب پذیر محافظت کرد
4. BitDefender Antivirus Plus: بهترین ضدباج‌افزار برای محافظت چند لایه.
   • ویژگی‌ها:
     •      حفاظت در زمان های واقعی
     •      VPN ایمن برای حفظ کامل از حریم خصوصی آنلاین
     •     جلوگیری از فیشینگ و کلاهبرداری آنلاین
5. Acronis Ransomware Protection: بهترین ضدباج‌افزار برای بازیابی فایل های آسیب دیده.
   • ویژگی ها:
     •      حفاظت فعال به‌صورت پیشرفته
     •      اسکن آنتی ویروس بر مبنای درخواست
     •      محافظت در زمان واقعی
6. Malwarebytes Anti-Ransomware: بهترین ضدباج‌افزارها برای معاملات آنلاین
   • ویژگی ها:
     •      در عرض چند دقیقه اجرا میشود
     •      اطلاعات دقیق تهدید را بدست می‌آورد
     •      بازگشت 72 ساعته باج افزار
7. ZoneAlarm Anti-Ransomware: بهترین ضدباج‌افزارها برای خرید آنلاین
   • ویژگی‌ها:
     •      با تمامی آنتی‌ویروس ها سازگار است
     •      محافظت از فیشینگ در زمان واقعی
     •    بازیابی فایل های رمزگذاری شده به صورت خودکار
8. Webroot SecureAnywhere: بهترین ضدباج‌افزارها برای مصارف خانگی
   • ویژگی‌ها:
     •      طراحی تمیز و مدرن
     •     سرویس هوشمند BrightCloud Cloud
9. VMware Carbon Black: بهترین ضدباج‌افزارها برای استفاده شرکتی
   • ویژگی‌ها:
     •      جلوگیری از گسترش باج افزار
     •     محافظت در برابر تهدیدات جدید و نوظهور
     •      کنترل قدرتمند برنامه
10. Trend Micro Ransom Buster: بهترین ضدباج‌افزارها برای ایمن نگه داشتن فایل‌های شما.
    • ویژگی‌ها:
      • محافظ سبک و در عین حال قدرتمند
      • استفاده‌ی آسان
      • بروزرسانی‌های خودکار
11. AVG: بهترین ضدباج‌افزارها برای تشخیص باج افزاری همیشه فعال.
    • ویژگی‌ها:
      •      به طور دائم به روز می شود
      •      نوآوری دائمی
      •      حفاظت جامع و کامل

8 نمونه از مخرب‌ترین باج‌افزارها را بشناسیم:

• باج افزار GandCrab (گند کرب): یکی از خطرناکترین باج‌افزارهای موجود است که از طریق تهدید انتشار کردن عکس ها و فیلم های خصوصی کاربران از آنها شروع به باج گیری میکند
• باج افزار Thanos(تانوس): تانوس در سال ۲۰۲۰ کشف شده و. در حال حاضر یکی از خطرناک ترین انواع ransomware موجود است و می‌تواند خیلی از اقدامات ضد باجگیری را دور بزند.
• باج افزار Petya(پتیا): این ها از طریق ایمیل‌های مزاحم که ظاهرا شامل درخواست‌های استخدام هستند نفود می‌کنند
• باج افزار Locky: شیوه‌ی نفوذ این ویروس باج گیر از طریق فایل‌ها با پسوند doc است. این ویروس باج افزار از قابلیت نصب ماکرو در word بهره میبرد. از شما می‌خواهد تنظیمات امنیتی word خود را عوض کنید.
• باج افزار  RANSOM_WALTRIX.C: یک فایل DLL است که از طریق سایت‌ها منتشر شده و از بازدیدکنندگان با سیستم عامل و نرم افزارهای ضعیف سواستفاده میکند
• باج افزار Bucbi: این باج افزار از حمله به سرویس ریموت دسکتاپ (RDP)  استفاده میکند.
• باج افزار seven: آغاز کار این باج افزار در سال 2016 بود. این باج افزار دسترسی به سیستم را با نمایش یک پنجره‌ی تمام صفحه‌ی مسدود میکند. شیوه ی رمزگذاری این ویروس باج گیر مشخص نیست و راهکار رایگانی برای رمزگشایی آن وجود ندارد.
• Shark: این ransomware این امکان را به باج‌گیران می‌دهد که تنها با چند کلید ساده و با حداقل دانش فنی شروع به ایجاد باج‌افزار دلخواه خود کنند.

مطالب تکمیلی مرتبط: اصلی ترین پسوندهای باج افزار برای تشخیص نوع باج افزار

کلام پایانی…

در این مقاله سعی بر این بود که انواع باج افزار(ransomware)، نوع فعالیتشان، تاریخچه آن‌ها، ضد باج گیرها و روش‌های مقابله با آن‌ها را به شما معرفی کنیم تا علاوه بر شناخت کلی آن‌ها، در زمان وقوع حمله مهاجمان اقدامات ضروری را به عمل آورید.

البته این نکته در اینجا قابل بازگویی است که شما با اعتماد به تیم اورژانس باج افزار (ransomware115) می‌توانید به حذف باج افزار با هزینه‌ی خیلی پایین‌تر بپردازید.

باج‌افزارها (Ransomwares) در چه ابعادی برای کاربران سیستم‌های رایانه‌ای مشکل ایجاد می‌کنند؟ بر اساس گزارش مجله‌ی Cybercrime  که در ۱۳ نوامبر ۲۰۲۰ منتشر شد که به گونه‌ای می‌توان گفت که تاریخچه باج‌ افزار را بررسی کرده است ، برآورد می‌شود که هر ۱۱ ثانیه یک حمله‌ی باج‌ افزاری اتفاق می‌افتد؛ به عبارتی ۳ میلیون حمله در سال! به این آمار دقت کنید؛ منظور در اینجا تعداد فایل‌های رمزگذاری شده و یا متأثر از این حملات نیست. صحبت از ۳ میلیون مورد حمله به سازمان‌های مختلف است.

تهدیدی که ۳۰ سال از آغاز شکل‌گیری‌اش می‌گذرد

اکثر سازمان‌هایی که از حملات ویروس‌های باج‌گیر آسیب دیده‌اند خسارات قابل توجهی را بر کسب‌وکار خود تجربه کرده‌اند که به کاهش درآمد، آسیب به جایگاه برند، تعدیل پیش‌بینی‌نشده‌ی نیروی کار و یا حتی تعطیلی کل کسب‌وکار انجامیده است.

از ابتدای سال ۲۰۲۱ تا پایان نوامبر همان سال تعداد ۲۰۰ حمله‌ی باج‌افزاری تیترهای خبری را به خود اختصاص دادند‌؛ البته این‌ها تنها حملاتی هستند که به طور رسمی تایید شده‌اند. در ادامه به سیر تاریخچه باج‌ افزار در ۳۰ سال اخیر می‌پردازیم.

1989: اولین حمله در تاریخچه باج‌افزار

در دسامبر ۱۹۸۹، ژوزف پاپ (Joseph Popp)، زیست‌شناس تکاملی دانش‌آموخته‌ی دانشگاه هاروارد، ۲۰ هزار فلاپی‌دیسک آلوده به یک ویروس کامپیوتری را برای شرکت‌کنندگان در همایش اِیدز سازمان بهداشت جهانی در استکهلم فرستاد.

این ویروس پس از اتصال به رایانه‌ها مسیرهای فایل‌ها را پنهان و اسم فایل‌ها را قفل می‌کرد. سپس به کاربران اطلاع می‌داد که برای دسترسی به فایل‌هایشان باید ۱۸۹ دلار به یک صندوق پستی واقع در پاناما ارسال کنند.

در زمان کوتاهی بعد از این حادثه، دکتر پاپ، که در تاریخچه باج‌ افزار به پدر باج‌افزار معروف است، در خانه‌ی پدری خود در اوهایوی آمریکاه دستگیر و به  انگلستان تحویل داده شد. در آنجا او با ۱۰ مورد اتهام باج گیری و همچنین تخریب اموال از طریق توزیع Ransomware مواجه بود؛ بدافزاری که امروزه به ‌تروجانِ ایدز (AIDS Trojan) معروف است.

حمله‌ی نوع دیگری از باج‌افزارهای قفل‌کننده (Locker) در سال 2007

حدود ۲۰ سال بعد از حمله‌ی تروجان ایدز، شکل دیگری از ویروس‌های قفل‌کننده (Locker) پا به عرصه‌ی ظهورگذاشتند که در تاریخچه باج‌ افزار نامش به ثبت رسید. اولین نسخه این باج‌افزار که به کاربران روسی هجوم برده بود، عملکردهای اولیه‌ی دستگاه رایانه مانند کیبورد و موس را از کار انداخته بود. سپس همزمان با نمایش تصاویر پورنوگرافیک، از کاربر می‌خواست تا با تماس با یک شماره‌ی تلفن پریمیوم (شماره‌هایی که جهت ارائه‌ی سرویس خاصی ایجاد شده‌اند و هزینه‌ی تماس با آنها بیشتر از حالت معمولی است) و یا فرستادن پیامک نسبت به پرداخت مبلغ درخواستی اقدام نماید.

CryptoLocker اولین باج‌افزار رمزگذار در تاریخ باج‌ افزار در سال 2013

در سال ۲۰۱۳ وبلاگ خبری Naked Security اطلاعاتی از یک تهدید باج‌افزاری به دست آورد که در پوشه‌ی Documents and Settings ویندوز نصب و همچنین به ریجستری اضافه می‌شد. بعد از اتصال به یکی از سرورهای فرمان و کنترل (C&C: Command and Control) که تحت کدنویسی استاتیک یا سخت (hard-coding) کار می‌کردند، این Ransomware که کریپتولاکر (CryptoLocker) نام دارد، فایلی را برای شناسایی قربانی آپلود می‌کرد که سرور از این طریق به تولید یک زوج کلید عمومی-اختصاصی بپردازد.

قبل از نمایش پیام باج‌خواهی، از کلید عمومی برای رمزگذاری فایل‌های قربانی استفاده می‌شد. پیام حاوی فرصتی ۷۲ ساعته برای اخاذی ۳۰۰ دلار بود؛ که البته در برابر اخاذی‌های بدافزارهای امروزی که به ده‌ها میلیون دلار می‌رسد قطره‌ای از دریا هم به حساب نمی‌آید.

بعد از ۲۰۱۳ حملات کریپتولاکر وسیع‌تر شد. بر اساس تحقیقات دانشگاه ایالتی کینیسا (Kennesaw State University)، پلیس اف‌بی‌آی آمریکا مبلغ اخاذی شده به کریپتولاکر تا پایان سال ۲۰۱۵ را ۲۷ میلیون دلار برآورد کرده است.

مطالب مرتبط: برای حذف باج افزار و بازیابی اطلاعات کلیک کنید.

طعمه‌های بزرگ برای باج گیران در سال 2018

با آغاز سال ۲۰۱۸، اف‌بی‌آی متوجه شد که حملات باج‌گیرانه‌ای که قربانیان خاصی را هدف قرار نمی‌دادند در حال کاهش‌اند. تحلیل‌گران این سازمان دریافتند که مسیر حملات باج‌افزاری برای هدف قرار دادن سازمان‌های بزرگ، به‌ویژه دولت‌های ایالتی، واحدهای خدمات بهداشتی، شرکت‌های صنعتی و سازمان‌های ترابری هموار شده است. به گزارش وبسایت Ars Technica که در ۷ اکتبر ۲۰۱۹ منتشر شد، بسیاری از گروه‌های باج‌افزاری به شکارهای بزرگ پرداخته‌اند تا از این طریق بتوانند مبالغ بیشتری را اخاذی کنند.

بنا بر مطلبی از Cybereason که در ابتدای همین متن بدان اشاره، بعضی از اثراتی که این حملات می‌توانند بر سازمان‌ها بگذارند عبارتند از:

• کاهش درآمد کسب و کار؛ ۶۶ درصد سازمان‌ها کاهش چشمگیری را در سطح درآمد خود گزارش کرده‌اند.
• آسیب به شهرت برند (Brand Reputation)؛ ۵۳ درصد سازمان‌ها گزارش داده‌اند که شهرت نشان تجاریشان در اثر حملات باج‌افزاری موثر آسیب دیده است.
• از دست دادن مدیران سطح C؛ ۳۲ درصد سازمان‌ها از دست دادن مدیران سطح C خود را گزارش داده‌اند.
• تعدیل نیروی انسانی؛ ۲۹ درصد گزارش کرده‌اند که به سبب فشار مالی ناشی از حملات Ransomwareها مجبور به تعدیل نیرو شده‌اند.

۲۰۱۹: باج‌افزار Maze و ابداع اخاذی مضاعف

اواخر نوامبر ۲۰۱۹، وبسایت Bleeping Computer پیامی را از یک ایمیل شناخته‌شده که توسط دارودسته‌ی طراح باج‌افزار ماز (Maze) استفاده می‌شد دریافت کرد. پیام حاوی خبر موفقیت این گروه در رخنه به یک شرکت خدمات حفاظتی و سرقت اطلاعات از این شرکت بود؛ اطلاعاتی که به صورت متنی بوده و هنوز رمزگذاری نشده بودند. برای اثبات این مدعا، این بزه‌کاران نمونه‌ای از فایل‌های سرقتی را نیز ضمیمه‌ی ایمیل کردند و سپس ۲۰۰ مگابایت از این اطلاعات را در فضای آنلاین نشت دادند.

طی چند ماه بعد، سایر گروه‌های باج‌افزاری نیز از این تکنیک اخاذی مضاعف (multiple extortion) استقبال کردند. نتیجه این بود که این گروه‌ها دست بالا را بر سازمان‌هایی پیدا کردند که از استراتژی‌های پشتیبانی داده (Data Backup Strategies) استفاده می‌کردند. این گروه‌های تبه‌کاری می‌دانستند که قربانیانشان از نسخه‌های پشتیبان داده‌های خود برای  بازیابی سیستم‌های مورد حمله استفاده می‌کنند اما قادر به بازگرداندن داده‌های دزدیده شده نیستند. بنابراین سارقین در کنار اخاذی برای بازکردن رمز‌هایی که خودشان روی داده‌ها گذاشته بودند مبلغ مضاعفی را هم برای از بین نبردن داده‌های سرقتی و یا منتشر نکردنشان طلب می‌کردند.

ظهور عملیات باج‌افزاری سازماندهی‌ شده‌ – RansomOps

امروزه حملات باج‌افزاری تنها محدود به بدافزارهایی نیست که به صورت خودکار داده‌های قربانیان را به گروگان می‌گرفتند. در عوض مجموعه‌های پیچیده از عملیات وجود دارند که توسط اشخاص هدایت شده و سازوکاری شبیه به تهدیدات پیشرفته‌ی مداوم (APT: Advanced Persistent Threat) دارند. این مدل از حملات RansomOps نام دارند که می‌توان معادل خدمات باج‌افزاری را برایشان به کار برد.

قفل‌بازکن‌های سایبری (IAB: Initial Access Brokers) با نفوذ در یک شبکه و گذر از دیوارهای امنیتی و اپراتورهای باج‌افزار به عنوان سرویس (RaaS: Ransomware-as-a-Service) با فرآهم آوردن زیرساخت‌ها برای همدستانی که مجری حمله‌ی سایبری هستند در این مجموعه‌های عملیاتی با هم همکاری می‌کنند. این میزان از سازش در یک RansomOps امکان طلب مبالغ به مراتب گزاف‌تری را برای این مجرمان فرآهم می‌کند. تکنیک‌های RansomOps معمولا موارد اخاذی مضاعف  که پیش‌تر به آن اشاره شد را نیز شامل می‌شوند.

بعضی از گروه‌های باج‌افزاری پا را از این نیز فراتر گذاشته‌اند. بر اساس گزارش وبسایت Bleeping Computer که در اواسط سپتامبر 2021 منتشر شد، دارودسته‌ی باج‌افزاری گریف (Grief) قربانیان را تهدید کرده‌اند که در صورت به‌کارگیری شخص یا اشخاصی برای مذاکره به هدف کاهش مبلغ درخواستی، کلید رمزگشایی داده‌های رمزگذاری‌شده را از بین‌ می‌برند. این تهدید بعد از آن صورت گرفت که، بر اساس گزارش وبسایت Threatpost، دار و دسته‌ی راگنار لاکر (Ragnar Locker) قربانی را تهدید کرده بودند که در صورت اطلاع دادن به اف‌بی‌آی و یا مقامات ایالتی داده‌های به سرقت رفته را منتشر می‌کنند.

سخن آخر…

آنچه که گفته شد مروری بر تاریخچه باج‌ افزار و روش‌های استفاده از آن‌ها توسط تبهکاران سایبری بود. [این سیر تحولی به ما نشان داد که امروزه RansomOps بیشترین میزان از حملات باج‌افزاری را دارد و تیم امنیت سایبری، باید آمادگی برای مقابله با این حملات را از اولویت‌های اصلی خود قرار دهد.] باید توجه داشته باشیم که در فاز پایانی یک حمله‌ی RansomOps است که باج‌افزار اجرا می‌شود؛ بنابراین مدت‌ها قبل از اجرای Ransomware می توان فعالیت‌های مقدماتی تیم حمله کننده را شناسایی کرد تا از ورود خسارات جدی جلوگیری شود.

راه حل غلبه بر حملات باج‌افزاری در به حداقل رساندن فاصله‌ی زمانی بین نفوذ اولیه به فضای داده‌ای و لحظه‌ای است که تیم امنیت سایبری شما این نفوذ را تشخیص می‌دهد و خنثی می‌کند.

برگرفته از مقاله: A Brief History of Ransomware Evolution