بدافزاری است که از رمزنگاری برای نگهداشتن اطلاعات قربانی در هنگام باجگیری استفاده میکند. در Ransomware دادههای حیاتی یک کاربر یا سازمان بهگونهای رمزگذاری میشوند که نتوانند به فایلها، پایگاه دادهها یا اپلیکیشنها دسترسی داشته باشند.
آنچه در این پادکست میشنویم
شکلی از بدافزارها که سیستم شما رو ربوده؛ پروندههاتونو رمزگذاری کرده؛ دسترسی به اونها رو از شما میگیره تا زمانی که برای رفع این مشکل، پول بپردازید. بهعبارت بهتر، از شما بابت تحویلگرفتن اطلاعاتتون، باجگیری میشه.
توضیح بیشتر
Ransomware نوعی بدافزار است که با قفل کردن صفحه سیستم یا فایلهای کاربران، دسترسی آنها به سیستم را محدود یا کاملاً متوقف میکنند.
خانوادههای باجافزار مدرنتر که در مجموعۀ کریپتوکارنسی دستهبندی میشوند فایلهایی را در سیستمهای آلوده، رمزگذاری میکنند. درنتیجه، کاربر مجبور میشود از طریق روشهای پرداخت آنلاین خاص، باج پپردازد تا کلید رمزگشایی را دریافت کند.
نکتۀ مهم در تشخیص Ransomware از میان سایر بدافزارها، همین موضوع باجخواهی است. بههمین خاطر، مشخصاً باجافزار نامیده میشود.
این نوع بدافزار، برای گسترش در شبکه، پایگاه داده و سرورهای فایل هدف، طراحی میشود؛ و در نتیجه میتواند بهسرعت، کل سازمان را فلج کند.
Ransomware ،هر سال، میلیاردها دلار به جیب مجرمان سایبری سرازیر میکند؛ و هزینههای قابل توجه برای کسبوکارها و سازمانها، به همراه دارد.
Ransomware چگونه عمل میکند؟
بدافزاری است که از رمزنگاری نامتقارن استفاده میکند. اما مطابقِ گزارشهای بهدستآمده از حملات Ransomware در سالهای اخیر، همیشه چنین نیست. بدون دسترسی به کلید خصوصی، رمزگشایی فایلهایی که برای باجگیری نگه داشته میشوند، تقریباً غیرممکن است.
انواع زیادی از باجافزارها وجود دارند. اغلب باج افزارها (و دیگر بدافزارها) با استفاده از کمپینهای اسپم ایمیل یا از طریق حملات هدفمند توزیع میشوند. بدافزار به یک بردار حمله نیاز دارد تا حضور خود را در نقطه پایانی تثبیت کند. سپس روی سیستم باقی می ماند تا زمانی که وظیفهاش انجام شود.
Ransomware یک باینری مخرب را روی سیستم آلوده اجرا میکند. سپس این باینری، فایلهای ارزشمند مانند اسناد Word، تصاویر، پایگاه دادهها و… را جستوجو و رمزگذاری میکند.
این باج افزار، از آسیبپذیریهای شبکه، برای نفوذ به سیستمهای دیگر و احتمالاً کل سازمانها سوءاستفاده کند؛ و در اصل، مثل یک ویروس، گسترش مییابد.
سپس از قربانی درخواست میشود حداکثر تا ۲۴ یا ۴۸ ساعت، برای رمزگشایی فایلها، باج پرداخت کند؛ وگرنه اطلاعات برای همیشه از دست خواهند رفت.
چرا Ransomware در حال گسترش است؟
حملات باجافزاری و انواع آنها به چند دلیل به سرعت در حال تکامل برای مقابله با تکنولوژیهای پیشگیرانه هستند:
- دسترسی آسان به کیتهای بدافزار: عاملی که باعث ایجاد نمونههای بدافزار جدید است
- استفاده از مفسرهای خوب: عاملی که سرعت گسترش Ransomware را بالا میبرد و در بین هکرها برای نفوذ به یک سیستم و دریافت باج بسیار محبوب است.
- قابل آپدیتشدن: Ransomwareها، بهسرعت بهروزرسانی شده و مطابق سیستم جدید، عمل میکنند مثلاً استفاده از تکنیکهای جدید رمزگذاری دیسک کامل به جای فایلهای انتخاب شده
جالب است بدانید که هکرها و سارقان اینترنتی امروزی، حتی نیازی به دانش فنی ندارند. بازارهای باجافزار بهصورت آنلاین گسترش پیدا کردهاند که انواع بدافزارها را برای هر نوع حملۀ سایبری احتمالی، عرضه میکنند؛ و سود بیشتری برای نویسندگان بدافزار به همراه دارند.
چرا پیدا کردن عامل Ransomware بسیار سخت است؟
استفاده از ارز رمزنگاری شده ناشناس برای پرداخت، مانند: بیت کوین، تتر و سایر ارزهای دیجیتال، پیگیری ردّ پول و ردیابی مجرمان را دشوار کرده است.
طبق گرازش سازمان جهانی امنیت سایبری، گروههای جرایم سایبری، بهطور فزاینده، در حال ابداع طرحهای باجافزاری برای کسب سود سریع هستند.
دسترسی آسان به کدهای متن باز و پلتفرمهایdrag-and-drop برای توسعه باج افزار، ایجاد انواع جدید باج افزار را سرعت بخشیده و به افراد تازه کار در زمینه ساخت باج افزار، کمک میکند.
به طور معمول، بدافزارهای پیشرفته مانند باجافزارها، از نظر طراحی، چند شکلی هستند و بهراحتی به هر شکلی در میآیند همین قابلیت به مجرمان سایبری اجازه میدهند به راحتی مؤلفههای امنیت سنتی (traditional signature-based) را براساس hash فایلهای مقصد، دور بزنند.
++در این ویدئوی کوتاه، چگونگی حملۀ سایبری ransomware و اهمیت پشتیبانی IT در مقابله با این حملات را ببینید.
Ransomware در جایگاه سرویس چیست؟
Ransomware – as – a – Service ، یک مدل اقتصادی جرایم سایبری است که به توسعهدهندگان بدافزار اجازه میدهد بدون نیاز به توزیع تهدیدهای خود، درآمد بهدست آورند. مجرمان غیر فنی، کالاهای خود را میخرند و با پرداخت درصدی از درآمد خود به توسعهدهندگان، آنها را راه اندازی میکنند.
برخی از نمونههای باجافزار بهعنوان سرویس از اشتراک استفاده میکنند در حالی که برخی دیگر، برای دسترسی به باجافزار، به ثبتنام نیاز دارند.
چگونه در برابر Ransomware مقاوم شویم؟
برای جلوگیری از Ransomware و کاهش آسیب در صورت حمله، این نکات را رعایت کنید:
بازیابی دادهها
بهترین راه برای جلوگیری از خطر قفلشدن فایلهای مهم این است که مطمئن شوید همیشه نسخه پشتیبان از آنها، ترجیحاً در فضای ابری و روی یک هارد اکسترنال دارید. به این ترتیب، اگر به باجافزار آلوده شدید میتوانید کامپیوتر یا دستگاه خود را به صورت رایگان، پاک کرده و فایلهای خود را از حالت پشتیبان خارج کنید؛ این کار، از دادههایتان محافظت میکند و شما از پرداخت باج به هکرها، در امانید.
نکته: پشتیبانگیری، مانعِ و سدّ همیشگی در برابر Ransomware نیست؛ اما خطرات باجافزار را کاهش میدهد.
ایمنسازی backup
مطمئن شوید که دادههای پشتیبان در دسترس نیستند؛ Ransomwareها به دنبال پشتیبانگیری از دادهها هستند و آنها را رمزگذاری یا حذف میکنند تا قابل بازیابی نباشند؛ بنابراین از سیستمهای پشتیبانی استفاده کنید که اجازه دسترسی مستقیم به فایلهایBackup را نمیدهند.
استفاده از نرمافزارهای امنیتی
مطمئن شوید که تمام کامپیوترها و دستگاههای شما با نرم افزارهای امنیتی جامع و بهروز شده، محافظت میشوند. مدام نرمافزار را update کنید و گاهی اوقات، پیشاز آنکه نرمافزار به شما اعلام کند سیستم نیاز به Update دارد این کار را انجام دهید؛ چرا که معمولاً در هر بهروزرسانی، پچهایی برای رفع نقصها گنجانده میشود.
تمرین موارد ایمنی
دقت داسته باشید کجا کلیک می کنید؛ به ایمیلها و پیامهای متنی افرادی که نمیشناسید پاسخ ندهید؛ و تنها اپلیکیشنها را از منابع معتبر دانلود کنید. این موضوع، از آن جهت اهمیت دارد که نویسندگان بدافزار، اغلب از مهندسی اجتماعی برای وادار کردن شما به نصب فایلهای خطرناک استفاده میکنند.
استفاده از شبکههای امن
فقط از شبکههای امن استفاده کنید. به وایفای عمومی متصل نشوید؛ زیرا بسیاری از آنها امن نیستند و مجرمان سایبری میتوانند هنگام استفاده شما از اینترنت، در سیستمتان، جاسوسی کنند.؛ در عوض، VPN قوی نصب کنید.
فیلترشکنها، بدون توجه به اینکه کجا میروید یک اتصال امن به اینترنت برای شما فراهم میکند.
آگاه بودن
آگاه باشید؛ یعنی در جریان آخرین تهدیدهای باجافزارها باشید تا بدانید باید دنبال چه چیزی بگردید؟ در صورتی که به یک باجافزار آلوده شدهاید و از فایلهای خود، backup نگرفتهاید هرچه سریعتر موضوع را با یک کارشناس امنیتی مطمئن در میان بگذارید تا به شما کمک کند.
اجرای یک برنامۀ هشدار امنیتی
در جایگاه مدیر یک سازمان یا کسبوکار، آموزشهای امنیتی منظمی برای همۀ اعضای سازمان خود فراهم کنید تا آنها بتوانند از phishing (فیشینگ) و سایر حملات مهندسی اجتماعی جلوگیری کنند؛ تمرینها و تستهای منظمی انجام دهید تا مطمئن شوید کارمندان، آموزشها را میبینند و به آن توجه دارند.
9 گام برای دفاع در برابر حملۀ Ransomware
خوشبختانه بهکمک چند مرحله میتوانید درصد آسیب به سیستم و آلودهشدن دستگاهتان به حملۀ Ransomware را کاهش دهید.
1. دستگاه آلوده را ایزوله کنید
بدافزاری که اجازۀ آلودهکردن تمام دستگاههای یک سازمان را دارد فاجعهای بزرگ بهشمار میآید که میتواند ضررهای جبرانناپذیری به شما وارد کند. برای اطمینان از امنیت شبکه خود، اشتراکگذاری درایوها و دیگر دستگاهها، باید هرچه سریع تر دستگاه آسیبدیده را از شبکه، اینترنت و دیگر دستگاهها جدا کنید. سرعت عمل در این کار، با میزان خسارت، نسبت عکس دارد یعنی هرچه سرعت عمل شما بیشتر، میزان خسارت کمتر؛ و بالعکس هرچه سرعت واکنش شما پایینتر، میزان خسارت وارده بالاتر خواهد بود.
2. از انتشار ویروس، جلوگیری کنید
از آنجا که باجافزار بهسرعت حرکت میکند – و لزوماً فقط دستگاه دارای باجافزار، آسیبپذیر نیست – جداسازی فوری دستگاه آلوده، تضمین نمیکند که باجافزار در جای دیگری از شبکه شما وجود نداشته باشد.
برای محدود کردن مؤثر دامنۀ فراگیری Ransomware، باید تمام دستگاههای مشکوک- حتی دستگاههایی که خارج از شبکه فعالیت میکنند- از شبکه جدا کنید؛ اگر آنها به شبکه متصل باشند صرفنظر از اینکه کجا هستند خطری را به همراه دارند؛ خاموش کردن اتصال بیسیم (وای فای، بلوتوث و…) در این مرحله نیز ایده خوبی است.
3. آسیبها را ارزیابی کنید
برای تعیین اینکه کدام دستگاهها آلوده شدهاند فایلهای رمزگذاری شده اخیر با نامهای پسوند فایل عجیب را بررسی کنید و به دنبال گزارشهایی از نام فایلهای عجیب یا کاربرانی باشید که در باز کردن فایلها مشکل دارند.
اگر دستگاههایی را کشف کردید که به طور کامل رمزگذاری نشدهاند باید آنها را جدا کرده و خاموش کنید تا به مهار حمله و جلوگیری از آسیب بیشتر و از دست رفتن دادهها کمک شود.
انجام این کار هر گونه فرآیند رمزگذاری مداوم را متوقف خواهد کرد و همچنین از آلوده شدن دستگاههای بیشتر جلوگیری میکند.
4. نقطۀ صفر(آغاز حلمه) را پیدا کنید
ویروس را ردیابی کنید تا نقطۀ نفوذ را بیابید. برای انجام این کار، هر هشداری را بررسی کنید که ممکن است از آنتی ویروس/ضد بدافزار، EDR یا هر پلتفرم نظارتی فعال شما آمده باشد.
از آنجا که اکثر باجافزارها از طریق لینکها و پیوستهای ایمیل مخرب وارد شبکهها میشوند بررسی ایمیلهای مشکوک بسیار کارساز است. پیدا کردن نقطۀ نفوذ که در اصطلاح نقطۀ صفر نامیده میشود برای ردیابی و مقابله با Ransomware بسیار کارساز است.
5. شناسایی Ransomware
پیش از هر چیزT بهتر است بدانید که با چه نوع باجافزاری سر و کار دارید. یک راه این است که از طریق یک سایت معتبر، نوع Ransomwareها را مطالعه کنید. برخی سایتها، مجموعهای ابزار دارند که به شما کمک می کند تا Ransomware فعال در سیستم خود را بشناسید و برای بازیابی دادههایتان، با آگاهی پیش روید.
6. گزارش به مقامات بالادستی
به محض دریافت باج افزار، چنانچه کاربری در یک سازمانید به مدیر بالادستی خود اطلاع دهید تا از متخصصان امنیتی خبره، کمک بگیرند و اگر کاربر حقیقی هستید که به هیچ سازمانی وابسته نیست با پلیس تماس بگیرید.
آگاه باشید که هکرها برای ترساندن شما میگویند اگر باجی که آنها میخواهند پرداخت نکنید اطلاعاتتان را فاش خواهند کرد. ولی نگران نباشید آن اطلاعات تا وقتی شما پول به حسابشان واریز نکردید برایشان ارزش دارد پس بدون معطلی به پلیس گزارش دهید تا بتواند شما را از یک باجگیری نجات دهد.
از طرف دیگر، همکاری شما با پلیس، جدای از اینکه به شما کمک میکند تا به اطلاعاتتان برسید و به هکرها باج ندهید ممکن است بسیاری از اطلاعات سرقترفتۀ دیگر را برملا کند که صاحبانشان از آن بیخبرند و هکرها مترصد فرصتند تا پس از شما با آنها زنگ بزنند و از آنان نیز، باج دریافت کنند.
7. پشتیبان یا Backupهای خود را ارزیابی کنید
سریعترین و سادهترین راه برای انجام این کار این است که سیستم خود را از حالت Backup خارج کنید.
گام بعدی، استفاده از یک راهحل آنتیویروس/ضد بدافزار برای اطمینان از پاکشدن تمام سیستمها و دستگاههای آلوده بدون Ransomware است؛ در غیر این صورت، ویروس، به قفلکردن سیستم شما و رمزگذاری فایلهایتان ادامه خواهد داد و بهطور بالقوه، Backup شما را خراب خواهد کرد.
هنگامی که همۀ آثار بدافزارها از بین رفت میتوانید از اطلاعاتتان، Backup بگیرید؛ و زمانی که تایید کنید تمام دادهها بازیابی شدهاند و برنامهها و فرایندها به حالت عادی بازگشتهاند – با خیالِ راحت به کار خود ادامه دهید.
8. درباره گزینههای رمزگشایی خود تحقیق کنید
تعداد زیادی از کلیدهای رمزگشایی رایگان را میتوان در No More Ransom یافت. اگر یکی از آنها برای انواع باجافزارهایی که با آنها سر و کار دارید در دسترس باشد میتوانید از کلید رمزگشایی برای باز کردن قفل دادههای خود استفاده کنید.9. درجا نمانید و آستینها را بالا بزنید
برخی افراد بهمحض اینکه سیستمشان به Ransomware آلوده میشود قدرت هر حرکتی را از دست میدهند؛ آنقدر تعلل میکنند که اگر ویروس میتوانست فقط بخشی از سیستمشان را آلوده کند حالا در کل سیستم پخش شده است.
متأسفانه، برخی نیز هنگام مواجه به Ransomware به حالت کرخ و بیحال فقط در جای خود خشکشان میزند و منتظرند هرلحظه هکرها با او تماس بگیرند یا حتی امدادی غیبی به کمکشان بیاید. همانطور که در متن بالا خواندید میزانِ خسارتِ Ransomware با سرعتِ عمل شما نسبت عکس دارد. پس به جای غصهخوردن و مات و مبهوت ماندن هرچه سریعتر اقدامی انجام دهید.
اگر دانش کافی دارید خودتان نوع Ransomware را پیگیری کنید. اگرنه با متخصصان امنیتی و پلیس تماس بگیرید.
در هر حال، بلند شدن و آستین را بالازدن، بهتر از نشستن و غصه خوردن است؛ به شما کمک میکند تا سریعتر و بهتر به اطلاعات دزدیده شدهتان برسید.