اشتراک گذاری در:

Ransomware

بدافزاری است که از رمزنگاری برای نگه‌داشتن اطلاعات قربانی در هنگام باج‌گیری استفاده می‌کند. در Ransomware داده‌های حیاتی یک کاربر یا سازمان به‌گونه‌ای رمزگذاری می‌شوند که نتوانند به فایل‌ها، پایگاه داده‌ها یا اپلیکیشن‌ها دسترسی داشته باشند.

آن‌چه در این پادکست می‌شنویم

شکلی از بدافزارها که سیستم شما رو ربوده؛ پرونده‌هاتونو رمزگذاری کرده؛ دسترسی به اون‌ها رو از شما می‌گیره تا زمانی که برای رفع این مشکل، پول بپردازید. به‌عبارت بهتر، از شما بابت تحویل‌گرفتن اطلاعاتتون، باج‌گیری می‌شه.

توضیح بیش‌تر

Ransomware نوعی بدافزار است که با قفل کردن صفحه سیستم یا فایل‌های کاربران، دسترسی آن‌ها به سیستم را محدود یا کاملاً متوقف می‌کنند.

خانواده‌های باج‌افزار مدرن‌تر که در مجموعۀ کریپتوکارنسی دسته‌بندی می‌شوند فایل‌هایی را در سیستم‌های آلوده، رمزگذاری می‌کنند. درنتیجه، کاربر مجبور می‌شود از طریق روش‌های پرداخت آنلاین خاص، باج پپردازد تا کلید رمزگشایی را دریافت کند.

نکتۀ مهم در تشخیص Ransomware از میان سایر بدافزارها، همین موضوع باج‌خواهی است. به‌همین خاطر، مشخصاً باج‌افزار نامیده می‌شود.

این نوع بدافزار، برای گسترش در شبکه، پایگاه داده و سرورهای فایل هدف، طراحی می‌شود؛ و در نتیجه می‎‌تواند به‌سرعت، کل سازمان را فلج کند.

Ransomware ،هر سال، میلیاردها دلار به جیب مجرمان سایبری سرازیر می‌کند؛ و هزینه‌های قابل توجه برای کسب‌وکارها و سازمان‌ها، به همراه دارد.

Ransomware چگونه عمل می‌کند؟

بدافزاری است که از رمزنگاری نامتقارن استفاده می‌کند. اما مطابقِ گزارش‌های به‌دست‌آمده از حملات Ransomware در سال‌های اخیر، همیشه چنین نیست. بدون دسترسی به کلید خصوصی، رمزگشایی فایل‌هایی که برای باج‌گیری نگه داشته می‌شوند، تقریباً غیرممکن است.

انواع زیادی از باج‌افزارها وجود دارند. اغلب باج افزارها (و دیگر بدافزارها) با استفاده از کمپین‌های اسپم ایمیل یا از طریق حملات هدف‌مند توزیع می‌شوند. بدافزار به یک بردار حمله نیاز دارد تا حضور خود را در نقطه پایانی تثبیت کند. سپس روی سیستم باقی می ماند تا زمانی که وظیفه‌اش انجام شود.

Ransomware یک باینری مخرب را روی سیستم آلوده اجرا می‌کند. سپس این باینری، فایل‌های ارزشمند مانند اسناد Word، تصاویر، پایگاه داده‌ها و… را جست‌وجو و رمزگذاری می‌کند.

این باج افزار، از آسیب‌پذیری‌های شبکه، برای نفوذ به سیستم‌های دیگر و احتمالاً کل سازمان‌ها سوءاستفاده کند؛ و در اصل، مثل یک ویروس، گسترش می‌یابد.

سپس از قربانی درخواست می‌شود حداکثر تا ۲۴ یا ۴۸ ساعت، برای رمزگشایی فایل‌ها، باج پرداخت کند؛ وگرنه اطلاعات برای همیشه از دست خواهند رفت.

چرا Ransomware در حال گسترش است؟

حملات باج‌افزاری و انواع آن‌ها به چند دلیل به سرعت در حال تکامل برای مقابله با تکنولوژی‌های پیشگیرانه هستند:

  • دسترسی آسان به کیت‌های بدافزار: عاملی که باعث ایجاد نمونه‌های بدافزار جدید است
  • استفاده از مفسرهای خوب: عاملی که سرعت گسترش Ransomware را بالا می‌برد و در بین هکرها برای نفوذ به یک سیستم و دریافت باج بسیار محبوب است.
  • قابل آپدیت‌شدن: Ransomwareها، به‌سرعت به‌روزرسانی شده و مطابق سیستم جدید، عمل می‌کنند مثلاً استفاده از تکنیک‌های جدید رمزگذاری دیسک کامل به جای فایل‌های انتخاب شده

جالب است بدانید که هکرها و سارقان اینترنتی امروزی، حتی نیازی به دانش فنی ندارند. بازارهای باج‌افزار به‌صورت آنلاین گسترش پیدا کرده‌اند که انواع بدافزارها را برای هر نوع حملۀ سایبری احتمالی، عرضه می‌کنند؛ و سود بیشتری برای نویسندگان بدافزار به همراه دارند.

چرا پیدا کردن عامل Ransomware بسیار سخت است؟

استفاده از ارز رمزنگاری شده ناشناس برای پرداخت، مانند: بیت کوین، تتر و سایر ارزهای دیجیتال، پیگیری ردّ پول و ردیابی مجرمان را دشوار کرده است.

طبق گرازش سازمان جهانی امنیت سایبری، گروه‌های جرایم سایبری، به‌طور فزاینده، در حال ابداع طرح‌های باج‌افزاری برای کسب سود سریع هستند.

دسترسی آسان به کدهای متن باز و پلتفرم‌هایdrag-and-drop برای توسعه باج افزار، ایجاد انواع جدید باج افزار را سرعت بخشیده و به افراد تازه کار در زمینه ساخت باج افزار، کمک می‌کند.

به طور معمول، بدافزارهای پیشرفته مانند باج‌افزارها، از نظر طراحی، چند شکلی هستند و به‌راحتی به هر شکلی در می‌آیند همین قابلیت به مجرمان سایبری اجازه می‌دهند به راحتی مؤلفه‌های امنیت سنتی (traditional signature-based) را براساس hash فایل‌های مقصد، دور بزنند.

++در این ویدئوی کوتاه، چگونگی حملۀ سایبری ransomware و اهمیت پشتیبانی IT در مقابله با این حملات را ببینید.

Ransomware در جایگاه سرویس چیست؟

Ransomware – as – a – Service ، یک مدل اقتصادی جرایم سایبری است که به توسعه‌دهندگان بدافزار اجازه می‌دهد بدون نیاز به توزیع تهدیدهای خود، درآمد به‌دست آورند. مجرمان غیر فنی، کالاهای خود را می‌خرند و با پرداخت درصدی از درآمد خود به توسعه‌دهندگان، آن‌ها را راه اندازی می‌کنند.

برخی از نمونه‌های باج‌افزار به‌عنوان سرویس از اشتراک استفاده می‌کنند در حالی که برخی دیگر، برای دسترسی به باج‌افزار، به ثبت‌نام نیاز دارند.

چگونه در برابر Ransomware مقاوم شویم؟

برای جلوگیری از Ransomware و کاهش آسیب در صورت حمله، این نکات را رعایت کنید:

بازیابی داده‌ها

بهترین راه برای جلوگیری از خطر قفل‌شدن فایل‌های مهم این است که مطمئن شوید همیشه نسخه پشتیبان از آن‌ها، ترجیحاً در فضای ابری و روی یک هارد اکسترنال دارید. به این ترتیب، اگر به باج‌افزار آلوده شدید می‌توانید کامپیوتر یا دستگاه خود را به صورت رایگان، پاک کرده و فایل‌های خود را از حالت پشتیبان خارج کنید؛ این کار، از داده‌های‌تان محافظت می‌کند و شما از پرداخت باج به هکرها، در امانید.

نکته: پشتیبان‌گیری، مانعِ و سدّ همیشگی در برابر Ransomware نیست؛ اما خطرات باج‌افزار را کاهش می‌دهد.

ایمن‌سازی backup

مطمئن شوید که داده‌های پشتیبان در دسترس نیستند؛ Ransomwareها به دنبال پشتیبان‌گیری از داده‌ها هستند و آن‌ها را رمزگذاری یا حذف می‌کنند تا قابل بازیابی نباشند؛ بنابراین از سیستم‌های پشتیبانی استفاده کنید که اجازه دسترسی مستقیم به فایل‌هایBackup را نمی‌دهند.

استفاده از نرم‌افزارهای امنیتی

مطمئن شوید که تمام کامپیوترها و دستگاه‌های شما با نرم افزارهای امنیتی جامع و به‌روز شده، محافظت می‌شوند. مدام نرم‌افزار را update کنید و گاهی اوقات، پیش‌از آن‌که نرم‌افزار به شما اعلام کند سیستم نیاز به Update دارد این کار را انجام دهید؛ چرا که معمولاً در هر به‌روزرسانی، پچ‌هایی برای رفع نقص‌ها گنجانده می‌شود.

تمرین موارد ایمنی

دقت داسته باشید کجا کلیک می کنید؛ به ایمیل‌ها و پیام‌های متنی افرادی که نمی‌شناسید پاسخ ندهید؛ و تنها اپلیکیشن‌ها را از منابع معتبر دانلود کنید. این موضوع، از آن جهت اهمیت دارد که نویسندگان بدافزار، اغلب از مهندسی اجتماعی برای وادار کردن شما به نصب فایل‌های خطرناک استفاده می‌کنند.

استفاده از شبکه‌های امن

فقط از شبکه‌های امن استفاده کنید. به وای‌فای عمومی متصل نشوید؛ زیرا بسیاری از آن‌ها امن نیستند و مجرمان سایبری می‌توانند هنگام استفاده شما از اینترنت، در سیستم‌تان، جاسوسی کنند.؛ در عوض، VPN قوی نصب کنید.

فیلترشکن‌ها، بدون توجه به این‌که کجا می‌روید یک اتصال امن به اینترنت برای شما فراهم می‌کند.

آگاه بودن

آگاه باشید؛ یعنی در جریان آخرین تهدیدهای باج‌افزارها باشید تا بدانید باید دنبال چه چیزی بگردید؟ در صورتی که به یک باج‌افزار آلوده شده‌اید و از فایل‌های خود، backup نگرفته‌اید هرچه سریع‌تر موضوع را با یک کارشناس امنیتی مطمئن در میان بگذارید تا به شما کمک کند.

اجرای یک برنامۀ هشدار امنیتی

در جایگاه مدیر یک سازمان یا کسب‌وکار، آموزش‌های امنیتی منظمی برای همۀ اعضای سازمان خود فراهم کنید تا آنها بتوانند از phishing (فیشینگ) و سایر حملات مهندسی اجتماعی جلوگیری کنند؛ تمرین‌ها و تست‌های منظمی انجام دهید تا مطمئن شوید کارمندان، آموزش‌ها را می‌بینند و به آن توجه دارند.

9 گام برای دفاع در برابر حملۀ Ransomware

خوشبختانه به‌کمک چند مرحله می‌توانید درصد آسیب به سیستم و آلوده‌شدن دستگاه‌تان به حملۀ Ransomware را کاهش دهید.

1. دستگاه آلوده را ایزوله کنید

بدافزاری که اجازۀ آلوده‌کردن تمام دستگاه‌های یک سازمان را دارد فاجعه‌ای بزرگ به‌شمار می‌آید که می‌تواند ضررهای جبران‌ناپذیری به شما وارد کند. برای اطمینان از امنیت شبکه خود، اشتراک‌گذاری درایوها و دیگر دستگاه‌ها، باید هرچه سریع تر دستگاه آسیب‌دیده را از شبکه، اینترنت و دیگر دستگاه‌ها جدا کنید. سرعت عمل در این کار، با میزان خسارت، نسبت عکس دارد یعنی هرچه سرعت عمل شما بیشتر، میزان خسارت کمتر؛ و بالعکس هرچه سرعت واکنش شما پایین‌تر، میزان خسارت وارده بالاتر خواهد بود.

2. از انتشار ویروس، جلوگیری کنید

از آن‌جا که باج‌افزار به‌سرعت حرکت می‌کند – و لزوماً فقط دستگاه دارای باج‌افزار، آسیب‌پذیر نیست – جداسازی فوری دستگاه آلوده، تضمین نمی‌کند که باج‌افزار در جای دیگری از شبکه شما وجود نداشته باشد.

برای محدود کردن مؤثر دامنۀ فراگیری Ransomware، باید تمام دستگاه‌های مشکوک- حتی دستگاه‌هایی که خارج از شبکه فعالیت میکنند- از شبکه جدا کنید؛ اگر آن‌ها به شبکه متصل باشند صرف‌نظر از این‌که کجا هستند خطری را به همراه دارند؛ خاموش کردن اتصال بی‌سیم (وای فای، بلوتوث و…) در این مرحله نیز ایده خوبی است.

3. آسیب‌ها را ارزیابی کنید

برای تعیین این‌که کدام دستگاه‌ها آلوده شده‌اند فایل‌های رمزگذاری شده اخیر با نام‌های پسوند فایل عجیب را بررسی کنید و به دنبال گزارش‌هایی از نام فایل‌های عجیب یا کاربرانی باشید که در باز کردن فایل‌ها مشکل دارند.

اگر دستگاه‌هایی را کشف کردید که به طور کامل رمزگذاری نشده‌اند باید آن‌ها را جدا کرده و خاموش کنید تا به مهار حمله و جلوگیری از آسیب بیشتر و از دست رفتن داده‌ها کمک شود.

انجام این کار هر گونه فرآیند رمزگذاری مداوم را متوقف خواهد کرد و همچنین از آلوده شدن دستگاه‌های بیشتر جلوگیری می‌کند.

4. نقطۀ صفر(آغاز حلمه) را پیدا کنید

ویروس را ردیابی کنید تا نقطۀ نفوذ را بیابید. برای انجام این کار، هر هشداری را بررسی کنید که ممکن است از آنتی ویروس/ضد بدافزار، EDR یا هر پلتفرم نظارتی فعال شما آمده باشد.

از آن‌جا که اکثر باج‌افزارها از طریق لینک‌ها و پیوست‌های ایمیل مخرب وارد شبکه‌ها می‌شوند بررسی ایمیل‌های مشکوک بسیار کارساز است. پیدا کردن نقطۀ نفوذ که در اصطلاح نقطۀ صفر نامیده می‌شود برای ردیابی و مقابله با Ransomware بسیار کارساز است.

5. شناسایی Ransomware

پیش از هر چیزT بهتر است بدانید که با چه نوع باجافزاری سر و کار دارید. یک راه این است که از طریق یک سایت معتبر، نوع Ransomwareها را مطالعه کنید. برخی سایت‌ها، مجموعه‌ای ابزار دارند که به شما کمک می کند تا Ransomware فعال در سیستم خود را بشناسید و برای بازیابی داده‌هایتان، با آگاهی پیش روید.

6. گزارش به مقامات بالادستی

به محض دریافت باج افزار، چنان‌چه کاربری در یک سازمانید به مدیر بالادستی خود اطلاع دهید تا از متخصصان امنیتی خبره، کمک بگیرند و اگر کاربر حقیقی هستید که به هیچ سازمانی وابسته نیست با پلیس تماس بگیرید.

آگاه باشید که هکرها برای ترساندن شما می‌گویند اگر باجی که آن‌ها می‌خواهند پرداخت نکنید اطلاعاتتان را فاش خواهند کرد. ولی نگران نباشید آن اطلاعات تا وقتی شما پول به حسابشان واریز نکردید برایشان ارزش دارد پس بدون معطلی به پلیس گزارش دهید تا بتواند شما را از یک باج‌گیری نجات دهد.

از طرف دیگر، همکاری شما با پلیس، جدای از این‌که به شما کمک می‌کند تا به اطلاعاتتان برسید و به هکرها باج ندهید ممکن است بسیاری از اطلاعات سرقت‌رفتۀ دیگر را برملا کند که صاحبانشان از آن بی‌خبرند و هکرها مترصد فرصتند تا پس از شما با آن‌ها زنگ بزنند و از آنان نیز، باج دریافت کنند.

7. پشتیبان یا Backupهای خود را ارزیابی کنید

سریع‌ترین و ساده‌ترین راه برای انجام این کار این است که سیستم خود را از حالت Backup خارج کنید.

گام بعدی، استفاده از یک راه‌حل آنتی‌ویروس/ضد بدافزار برای اطمینان از پاک‌شدن تمام سیستم‌ها و دستگاه‌های آلوده بدون Ransomware است؛ در غیر این صورت، ویروس، به قفل‌کردن سیستم شما و رمزگذاری فایل‌های‌تان ادامه خواهد داد و به‌طور بالقوه، Backup شما را خراب خواهد کرد.

هنگامی که همۀ آثار بدافزارها از بین رفت می‌توانید از اطلاعاتتان، Backup بگیرید؛ و زمانی که تایید کنید تمام داده‌ها بازیابی شده‌اند و برنامه‌ها و فرایندها به حالت عادی بازگشته‌اند – با خیالِ راحت به کار خود ادامه دهید.

8. درباره گزینه‌های رمزگشایی خود تحقیق کنید

تعداد زیادی از کلیدهای رمزگشایی رایگان را می‌توان در No More Ransom یافت. اگر یکی از آن‌ها برای انواع باج‌افزارهایی که با آن‌ها سر و کار دارید در دسترس باشد می‌توانید از کلید رمزگشایی برای باز کردن قفل داده‌های خود استفاده کنید.9. درجا نمانید و آستین‌ها را بالا بزنید

برخی افراد به‌محض‌ این‌که سیستم‌شان به Ransomware آلوده می‌شود قدرت هر حرکتی را از دست می‌دهند؛ آن‌قدر تعلل می‌کنند که اگر ویروس می‌توانست فقط بخشی از سیستم‌شان را آلوده کند حالا در کل سیستم پخش شده است.

متأسفانه، برخی نیز هنگام مواجه به Ransomware به حالت کرخ و بی‌حال فقط در جای خود خشکشان می‌زند و منتظرند هرلحظه هکرها با او تماس بگیرند یا حتی امدادی غیبی به کمکشان بیاید. همان‌طور که در متن بالا خواندید میزانِ خسارتِ Ransomware با سرعتِ عمل شما نسبت عکس دارد. پس به جای غصه‌خوردن و مات و مبهوت ماندن هرچه سریع‌تر اقدامی انجام دهید.

اگر دانش کافی دارید خودتان نوع Ransomware را پیگیری کنید. اگرنه با متخصصان امنیتی و پلیس تماس بگیرید.

در هر حال، بلند شدن و آستین را بالازدن، بهتر از نشستن و غصه‌ خوردن است؛ به شما کمک می‌کند تا سریع‌تر و بهتر به اطلاعات‌ دزدیده شده‌تان برسید.

اصطلاح مرتبط