اخاذی مدرن با باج افزارها

  • نویسنده: سمیرا سروعلیشاه
  • تاریخ انتشار: یک‌شنبه ، ۲۸ دی ماه ۹۹
  • تعداد بازدید: 476
  • تعداد نظرها: 0
  • دسته بندی: ارزیابی امنیتی

همزمان با افزایش روز افزون استفاده از اینترنت و شبکه‌های مجازی، مخاطرات اینترنتی نیز افزایش یافته است. شیوه‌های کلاهبرداری و نفوذ تغییر کرده‌اند و نیاز به آگاهی و دانش مقابله با آن‌ها بیشتر از پیش احساس می‌شود. یکی از راه‌های جدید و پیچیده کلاهبرداری و نفوذ، بکارگیری بدافزارها است. بدافزارها مجموعه‌ای از برنامه‌های مخربی هستند که از طریق آن‌ها، اطلاعات قربانی به خطر می‌افتد و باعث نابودی یا کند شدن سیستم قربانی می‌گردند. بدافزارها شامل باج‌افزارها، ویروس‌ها، کرم‌ها، روت کیت‌ها، درب پشتی (Backdoor)ها و تبلیغ‌افزارها هستند.

در این مقاله ضمن معرفی یکی از متداول ترین بدافزارها سعی می کنیم تا شما را در خصوص روش های  شناسایی و راه های مقابله و پیشگیری از آلوده شدن به باج افزار راهنمایی نماییم. همچنین قبل از مطالعه این مطلب، برای بدست آوردن اطلاع بیشتر درباره بدافزارها و نحوه انتشار، روش شناسایی و مقابله با آن‌ها می‌توانید به مقاله "معرفی و تقسیم بندی انواع بدافزارها" در بخش مقالات تخصصی وبلاگ آشنا ایمن مراجعه کنید.

 

 نمودار1 - میزان حملات سایبری بر اساس نوع در سال 2020

نمودار1 - میزان حملات سایبری بر اساس نوع در سال 2020

با توجه به تنوع بدافزارها و نحوه عملکرد آنها، در این مقاله صرفاً به معرفی باج افزارها (Ransomeware) و برخی از مهمترین آنها و همچنین نحوه مقابله با آنها پرداخته خواهد شد.

باج افزار یا ransomware چیست؟

 امروزه یکی از مشکلات امنیتی در فضای مجازی، باج‌افزار (Ransonware)ها هستند. باج‌افزار(Ransonware) مخفف دو کلمه باج (Ranson) و نرم افزار (Software) است. این بدافزارها هنگامی‌که وارد یک سیستم می‌شوند، برخی از فایل‌ها (مانند فایل‌های نرم‌افزار آفیس) را رمزگذاری می‌کنند و پیغامی مبنی بر دریافت وجه برای برگرداندن فایل‌ها (رمزگشایی) به کاربر نشان می‌دهند.

انواع مختلفی از باج‌افزارها وجود دارد:

  1. رمزکننده: با کمک الگوریتم‌های پیچیده رمزگذاری اقدام به رمزگذاری فایل‌ها کرده و در ازای کلید رمز، از قربانی باج می‌خواهند؛ مانند: CryptoLocker، Locky و CrytpoWall.
  2. قفل کننده: با قفل کردن کامل سیستم، قربانی را مجبور به پرداخت باج می‌کنند؛ مانند: Winlocker و police-themed ransomware.
  3. دستکاری‌کننده بوت سیستم(MBR): با دستکاری روند بوت سیستم عامل، از قربانی درخواست باج می‌کنند؛ مانند: Satana و  Petya.

تاریخچه باج افزار

 اولین باج‌افزار به نام AIDS Trojan (Aids Info Disk  یا  PC Cyborg Trojan) در سال 1989 میلادی (1368 شمسی) با آلوده‌کردن سیستم‌ها از طریق فلاپی درایوها، درخواست 189 دلار می‌کرد. امروزه با وجود تکنولوژی‌های نوین مانند ارزهای دیجیتال بیت کوین (Bitcoin) که غیرقابل ردگیری است و پروتکل‌های گمنامی مانند TOR و الگوریتم های قوی رمزگذاری، باج‌افزارهای پیچیده‌تری ساخته می‌شوند. چنان‌که در تصویر زیر مشخص است، امروزه با توجه به گسترش استفاده از اپلیکیشن‌های موبایلی، اخاذی از کاربران در بستر این اپلیکیشن‌های موبایلی نیز بسیار متداول است.

 

 

 

روش‌های انتقال و انتشار باج افزارها

مرسوم‌ترین روش انتشار باج‌افزارها صندوق پست الکترونیکی (ایمیل – Email) است. باج‌گیر، باج‌افزار خود را یا مستقیماً بعنوان یک فایل پیوست برای قربانی ارسال می‌کند یا با یک لینک، قربانی را ترغیب به دریافت فایل آلوده به باج‌افزار می‌کند (مهندسی اجتماعی). باج‌افزارها همانند دیگر بدافزارها (مانند ویروس ها) از طریق فلش، سی‌دی، دی‌وی‌دی، حافظه های قابل حمل (External) آلوده و ... نیز منتقل می‌شوند.

 

نمودار 2-  روش‌‌های مرسوم انتشار باج‌افزار

نمودار 2-  روش‌‌های مرسوم انتشار باج‌افزار

با افزایش روز افزون استفاده از شبکه‌های مجازی و گوشی‌های هوشمند کار باج‌گیرها راحت‌تر شده است و با ارسال یک پیامک (SMS)، لینک یا فایل تبلیغاتی قربانی را ترغیب به دریافت باج‌افزار می‌کنند. وقتی فایل آلوده به باج‌افزار وارد سیستم قربانی می‌شود، پس از نصب، تمام سعی خود را می‌کند که تنظیمات امنیتی سیستم قربانی را تغییر بدهد تا هم ناشناخته بماند، هم به کار شناسایی فایل‌ها و ارتباط با باج‌گیر بپردازد و در موقع مناسب فایل‌ها را رمزگذاری کرده و پیام درخواست باج را به قربانی نشان ‌دهد. باج‌افزارها با رمزگذاری محتوای و تغییر ماهیت خود از سد آنتی ویروس‌ها می‌گذرند و تا زمان مناسب که بیشترین آسیب را به قربانی وارد کنند، غیرفعال می‌مانند. در برخی مواقع باج گیر از قربانی می‌خواهد تعدادی از سیستم های دیگر را آلوده کند تا شامل تخفیف در بهای باج شود. در بعضی مواقع نیز دیده شده است که بعد از پاکسازی و راه اندازی دوباره سیستم، باز هم باج‌افزار مجددا فایل‌ها را رمزگذاری می‌کند.

 

 

شناسایی آلوده بودن به باج‌افزار

عدم امکان بازکردن یک فایل، مشاهده پیام‌هایی مانند خراب بودن یا اشتباه بودن فایل، مشاهده پیام هشدار حاوی دستور العمل پرداخت یا هشدار درباره افزایش مبلغ باج در صورت دیر پرداخت کردن و یا مشاهده فایل‌هایی با یک نام و یا پسوند یکسان، می تواند نشانگر احتمال آلوده شدن سیستم به باج‌افزار باشد.

چنانکه در شکل زیر مشخص است، بیشترین گزارشات از سوءاستفاده باج افزارها، مربوط به سیستم عامل ویندوز است که بدلیل گستردگی آن در سطح جهان، سرعت انتشار بسیار بالایی نیز دارد. باج افزارهای موبایلی نیز در حال گسترش هستند.

نمودار 3- سیستم عامل های آلوده به باج‌افزار

نمودار 3- سیستم عامل های آلوده به باج‌افزار

مشهورترین باج افزارها

وبسایت‌های زیادی در خصوص افزایش حملات سایبری بالاخص باج‌افزارها گزارش منتشر می‌کنند. بر اساس یک برآورد کلی، بستر سوء استفاده از باج افزارها در برخی از کشورهای جهان، فراهم تر است.

 

 

نمودار 4- کشورهای در معرض حملات باج‌افزار در سال گذشته

 

 

 

نمودار 5- کشورهای تولیدکننده باج‌افزار

 

این حملات سالانه شرکت‌ها، سازمان‌های دولتی و خصوصی بزرگی در سراسر جهان را متحمل خسارات و آسیب‌های جبران‌ناپذیری می‌کنند، از جمله: حمله سایبری به سامانه‌های بیمارستانی ایران، شرکت مالی اکوئیفاکس در آمریکا، سازمان بهداشت و سلامت در انگلستان، وزارت‌های دفاع و امور خارجه بسیاری از کشورها، شرکت حسابرسی دیلویت (Deloitte) در آمریکا و ... . این حملات صرف‌نظر از آسیب‌های مالی، اختلالاتی در روند ارائه خدمات این سازمان‌ها نیز ایجاد می‌کنند که در برخی موارد منجر به مرگ افراد هم شده است؛ مثلا در سال 2011 یک حمله باج‌افزاری به سیستم‌های فناوری اطلاعات بیمارستانی در دوسلدورف آلمان، باعث اختلال یک هفته‌ای شده بود. این امر مانع از بستری شدن زنی با وضعیت اورژانسی شد، بطوری‌که پس از انتقال به بیمارستان شهر دیگری فوت کرد. بنابراین می‌توان گفت خطر حملات سایبری در کمین تمامی افراد، کاربران و کسب‌وکارهای کوچک و بزرگ در جهان است و دیگر نمی‌توان ادعا کرد که کسی از گزند و خطرات آن‌ها در امان می‌ماند.

در ادامه به معرفی تعدادی از مشهورترین باج‌افزارها پرداخته شده است:

 

نمودار6 - خطرناکترین باج افزارها

 

1.     واناکرای  WannaCry(12 می 2017)

این باج‌افزار با سوءاستفاده از یکی از حفره‌های امنیتی ویندوز کار می‌کند و توانست حدود 200 هزار قربانی از 150 کشور جهان از جمله ایالات‌متحده، روسیه، آلمان، ترکیه، ایتالیا، فیلیپین و ویتنام بگیرد و 4 میلیارد دلار ضرر مالی در سراسر جهان ثبت کند. این باج‌افزار بخش‌های سلامت و بهداشت و خدمات 16 بیمارستان‌ انگلستان را برای چندین روز از کار بیندازد و موجب اختلال یا تعویق عمل‌های جراحی بسیاری از شهروندان شد. همچنین سرورها و زیرساخت‌های موسسات و شرکت‌های عظیمی را در جهان با مشکلات عدیده‌ای مواجه کرد. از جمله قربانیان دیگر این حمله سایبری می‌توان از فدکس (FedEx - شرکت پست  هوایی آمریکاییدویچه‌بان (شرکت ملی راه‌آهن آلمان)، وزارت کشور روسیه، وزارت بحران روسیه، شرکت مخابراتی مگافون روسیه و همچنین بزرگترین شرکت مخابراتی تلفنی اسپانیا به نام تلفونیکا (Telefonica) نام برد. مشاور امور حقوقی شرکت مایکروسافت نیز پیشتر اعلام کرده بود که در حملات سایبری موسوم به باج‌افزار واناکرای، ردپای هکرهای کره‌شمالی دیده می‌شود. بعد از 5 روز کارشناسان امنیتی توانستند این حمله را مهار کنند. مبلغ درخواستی باج ابتدا 300دلار بود ولی بعد از گذشت هفت روز این مبلغ دوبرابر شده (600 دلار) که نسبت به بقیه باج افزارهای تا آن زمان( باج افزار Cerber در سال 2016 به طور متوسط 1200 دلار باج می‌گرفت) مبلغ کمی به حساب می‌آمد.‌

 

واناکرای  WannaCry

 

2.     تسلاكريپت  TeslaCrypt (فوریه و آوریل 2015)

تسلا باج‌افزاری است که در ابتدای شروع به کار خود توانست مبلغ 76000 دلار باج از طریق قفل کردن پوشه های مربوط به بازی‌های ویدیویی قربانیان بدست آورد. پسوند برخی از فایلهایی که توسط این باج افزار آلوده می‌شوند به شرح زیر می باشد:

.rar, .m4a, .wma, .avi, .wmv, .csv, , .svg, .map, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbfv, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc.

این باج‌افزار در این سال‌ها با نسخه های مختلفی ظهور کرده و آسیب های فراوانی وارد کرده است. از بزرگترین قربانیان این باج‌افزار می‌توان به شرکت‌هایی عظیمی نظیر روس نفت بعنوان بزرگترین تولیدکننده نفت روسیه، مائرسک بعنوان یکی از غول‌های کشتیرانی اتریش، شرکت Wpp بعنوان یکی از بزرگترین شرکت‌های تبلیغاتی انگلیسی، بانک‌های روسی و اوکراینی، فرودگاه بین‌المللی اوکراین و بسیاری از شرکت‌های آلمانی و فرانسوی اشاره کرد.

 

تسلاكريپت  TeslaCrypt

 

3.     لاکی Locky (2016)

بر اساس گزارش‌های منتشر شده از سوی موسسه Proofpoint، بدافزار لاکی در لیست خطرناک‌ترین بدافزارها در حملات سایبری، قرار گرفته است. این باج‌افزار با فریب قربانیان از طریق ایمیل‌های جعلی و پیوست‌های آلوده، آن‌ها را وادار به نصب باج‌افزار می­‌کند. نسخه‌های مختلفی از این باج‌افزار تا امروز بوجود آمده است.

کشورهای مورد حمله این باج‌افزار شامل آمریکا، آلمان، ایتالیا، اسپانیا و فرانسه بود. این باج‌افزار در سال 2016به مراکز پزشکی مانند هالیوود پرسبیتریان (Hollywood Presbyterian) آمریکا (برگرداندن اطلاعات با پرداخت باج 17000 دلار بصورت بیت کوین) و حتی مراکز آموزشی مانند دانشکده علوم و فناوری دارتفورد انگلستان (برگرداندن اطلاعات با استفاده از System Restore بدون پرداخت باج) حمله کرد.

پسوند مورد استفاده برای فایل‌های رمزگذاری شده در ابتدا .locky بود ولی به  .asasin ، .ykcol ، .diablo6 ، .osiris ، .odin ، .thor ، .zepto، .shit ، .aesir و .optr تغییر کرد و هم اکنون پسوند مورد استفاده .Asasin و Ykcol  است.

در بیشتر موارد، قربانیان این باج افزار را از طریق پیوست ایمیل (فایل Microsoft Word یا Microsoft Excel حاوی اسکریپت) دریافت می‌کنند. با باز کردن فایل پیوست، ماکرو اجرا شده و  با کمک الگوریتم‌های رمزگذاری AES و RSA فایل‌هایی با پسوندهایی مانند موارد زیر را رمزگذاری می‌کنند:

.wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff,.psd, .jar, .java, .asp, .ppsm, .ppsx, .pptx, .pptm, .pps, .sti, .sxi, .otp, .xlsx, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT

فایلی که دستورالعمل‌های بازیابی اطلاعات را فراهم می‌کند _Locky_recover_instructions.txt نامیده می‌شود. هر زمان که کاربر بخواهد فایل‌های رمزگذاری شده را باز کند، این پیغام روی صفحه کامپیوتر نمایش داده می شود.

 

لاکی Locky

 

4.     RXX RANSOMWARE (2020)

این باج‌افزار از خانواده Crysis (و یا خانواده  Dharma Ransomware) است که با رمزگذاری داده‌ها به منظور دریافت وجه برای ارائه ابزار رمزگشایی عمل می‌کند. این باج‌افزار در طی فرآیند رمزگذاری، بر اساس الگویی خاص پسوند .rxx را به انتهای فایل‌ها اضافه می‌کند و نام آن‌ها را تغییر می‌دهد. مثلاً فایل Hi.docx به فایل  Hi.id1D005. back_data@foxmail.com.rxx تبدیل می شود. اسناد Word و PDF ، صفحات گسترده، تصاویر مانند JPG و BMP ، موسیقی، بایگانی ها و پایگاه داده های سرور  بیشترین فایل‌هایی هستند که توسط این باج‌افزار رمزگذاری می‌شوند. ویژگی بارز RXX  هشدار پاپ آپ (POP UP)  آن است که شامل توصیه‌هایی برای استفاده از مرورگر TOR و برخی قالب بندی های گرافیکی اساسی مانند آرم جمجمه و دزد دریایی می باشد. این باج‌افزار نیز همانند باج‌افزارهای دیگر از طریق پیوست‌های ایمیل آلوده (ماکرو)، وب‌سایت‌های تورنت و تبلیغات مخرب انتشار می‌یابد.

 

RXX RANSOMWARE

 

5.     باج افزار Random(آوریل 2020)

برای اولین بار توسط S!Ri گزارش شد، اما در بررسی‌هایی که روی فایل باج افزار صورت گرفت، زمان کامپایل آن تغییر یافته و به تاریخ 2098 تنظیم شده است. این باج افزار با افزدون پسوند .Random به انتهای هر فایل آن‌ها را رمزگذاری می‌کند. به محض اتمام فرآیند رمزگذاری، RANDOM  یک فایل متنی ویژه را در هر پوشه ای که حاوی داده‌‌های رمزگذاری باشد، قرار می‌دهد و تنها راه بازیابی اطلاعات رمزگذاری شده استفاده از یک کلید رمزگشایی منحصر به فرد است. قربانی با کمک یادداشت راهنما با نحوه پرداخت باج و رمزگشایی فایل‌های خود آشنا می‌شود. فایل‌های صوتی، ویدئو ها، تصاویر و تمامی اسناد، فایل‌های پشتیبان گیری و داده های بانکی را این باج‌افزار رمزگذاری می‌کند. این باج‌افزار تمام کپی‌های Shadow Volume را از روی سیستم عامل با دستور زیر پاک می‌کند:

vssadmin.exe delete shadows /all /Quiet

 

باج افزار Random

 

6.     باج افزار Maze (2019)

در سال 2020 این باج‌افزار چندین بار توسعه یافته است. این باج‌افزار از طریق صندوق پستی از آدرس صندوق الکترونیک filedecryptor@nuke.africa انتشار می‌یابد. این باج‌افزار به انتهای فایل‌ها پسوند ID را اضافه می‌کند و با روش رمزگذاری AES-265 و RSA آن‌ها را رمز می‌کند. در هر پوشه ای که فایلی رمز شده است، یک فایل قرار می‌دهد که طریقه برقراری تماس با باج‌گیران و پرداخت باج (به بیت کویین) و رمزگشایی اطلاعات رمزشده را توضیح می‌دهد. این فایل متنی با نام DECRYPT-FILES.html در دسکتاپ و در پوشه Startup نیز بوجود می‌آورد تا بطور خودکار به قربانی نشان داده شود. هدف این باج افزار تمام نسخ ویندوز (ویندوز 7 ، ویندوز 8.1 و ویندوز 10) است.

این باج‌افزار پس از رمزگذاری کامل فایل‌های سیستم Shadow Volume Copyها را پاک می‌کند تا کاربران با کمک آن‌ها نتوانند فایل‌های خود را بازیابی کند. میزان باج درخواستی حدود 300 تا 1000 دلار است. تا بحال این باج‌افزار به مراکز بهداشتی آمریکا، شرکت  Canon، زیراکس، Visser، LG Electronics ، شرکت Cognizant و شرکت   Allied Universalحمله کرده است.

 

باج افزار Maze

 

7.     SamSam (2015)

هدف باج افزار SamSam (Samas / Samsam / MSIL.B / C)  بیشتر سازمان‌‌ها و مشاغل مانند صنایع ، بیمارستان‌ها ، شرکت‌های مراقبت‌‌های بهداشتی، بیمه، مراکز آموزشی، شهرداری‌ها و ... در کشورهای آمریکا، پرتغال، فرانسه، استرالیا، ایرلند، اسرائیل و ... می‌باشد. بیشترین دیه دریافتی این باج افزار 64000 دلار بوده است. این باج افزار از طریق پروتکل ریموت دسک تاپ (RDP) و ابزار متن باز JexBoss به شبکه دسترسی پیدا کرده و سیستم‌ها را آلوده می‌کند. SamSam بسیار پیچیده عمل می‌کند. فایل‌های مختلفی را ابتدا با الگوریتم AES رمزگذاری می‌کند و بعد با RSA-2048  دوباره رمزگذاری می‌کند تا مطمئن شود امکان بازیابی فایل‌ها وجود نداشته باشد سپس نام فایل‌های آلوده را به "I’m sorry" تبدیل می‌کند.

Sophos ، یکی از برجسته ترین شرکت های ایمنی سایبری ، معتقد است که فقط یک نفر در پشت حملات SamSam وجود دارد.

 

SamSam

 

روش‌های مقابله و رمزگشایی باج افزار

ظاهراً گسترش باج افزارها رو به فزونی است؛ بنابراین باید برای مقابله با آلوده شدن سیستم به آنها و کاهش تبعات ناشی از آلوده شدن سیستم‌ها به این باج افزارها، تدبیری اندیشید.

 

نمودار 7- سازمان‌های تحت تاثیر باج افزار و پرداخت کننده باج در سه سال اخیر

نمودار 7- سازمان‌های تحت تاثیر باج افزار و پرداخت کننده باج در سه سال اخیر

 

اولین کاری که بعد از تشخیص آلودگی یک سیستم به باج افزار باید انجام شود، قطع ارتباط آن با شبکه و کنترل دامنه گسترش باج افزار است؛ یعنی کشیدن کابل شبکه یا خاموش کردن وایرلس. پس از مشخص شدن محدوده آلوده شده، باید بررسی کرد که آیا امکان پشتیبان‌گیری از اطلاعات آلوده شده وجود دارد یا خیر. اگر صندوق پست الکترونیک، مخاطبان تلفن همراه یا شبکه های اجتماعی کاربر مورد تهاجم قرار گرفته باشد، بهتر است به آن‌ها در خصوص آلوده شدن اطلاع رسانی شود.

جدول1 - برخی از باج‌افزارها و رمزگشای مربوطه

نام باج افزار

نام رمزگشا

Aurora, Muhstik, Ryuk

Emsisoft

Rakhni, Aura, Autoit, Pletor, Rotor, Lamer,

Lortok, Democry, TeslaCrypt, Chimera,

Crysis, Jaff, Dharma, Cryakl,

Yatron, FortuneCrypt, Random,

Locky, WannaCry, NEPHILIM

KasperskyLab

GandCrab

Europol, Rommaniam Police and GPO, Bitfender

Jigsaw

Avast

Mira

F-Secure

Nemty

Tesorion

PewCrypt

PewCrypt author

ThunderX, Crypt32, Cyborg, checkMail7, SpartCrypt,CryCryptor,RedRu

m,Zorab,Mapo,VCryptor,JavaLocker,DragonCyber

مراجعه به سایت زیر:

https://www.nomoreransom.org/fa/index.html

Random Ransom

مراجعه به سایت زیر:

https://sensorstechforum.com/random-virus-file-ransomware-remove/

Maze

مراجعه به یکی از سایت‌های زیر:

https://sensorstechforum.com/maze-ransomware-2019-virus-remove

https://adware.guru/remove-maze-ransomware/

SamSam

مراجعه به سایت زیر:

https://sensorstechforum.com/samsam-ransomware-encryption-payment-and-prevention/

RXX

مراجعه به سایت زیر:

https://www.free-uninstall.org/how-to-remove-rxx-ransomware-and-decrypt-rxx-files/

TeslaCrypt

«TeslaDecrypt» شرکت سیسکو ، «TeslaDecoder» نوشته شده توسط یکی از کاربران سایت bleepingcomputer و «ESETTeslaCryptDecryptor.exe» شرکت ESET

 

با جستجو در اینترنت (بعنوان مثال https://www.bleepingcomputer.com) می توان اطلاعات کلی از باج افزار را بدست آورد:

 نوع و نسخه باج‌افزار

  • نوع فایل‌های آلوده شده
  • پسوند مورد استفاده
  • نحوه پرداخت
  • نحوه کار باج‌افزار
  • الگوریتم رمزنگاری مورد استفاده
  • ابزارهای رمزگشایی احتمالی

 بعد از مشخص شدن میزان آسیب و نوع باج‌افزار و میزان باج، باید روش مقابله با آن را تعیین کرد: 

  • استفاده از نسخه پشتیبان
  • استفاده از رمزگشای موجود (که ممکن است خود دامی دیگر باشد!)
  • صرفنظر کردن از اطلاعات
  • یا پرداخت باج!!!

اگر حتی نسخه پشتیبانی برای اطلاعات تهیه نشده باشد، ممکن است بتوان از سیستم ری اِستور (SystemRestor) استفاده کرد. می‌توان یک کپی از فایل‌های رمز شده تهیه و بر روی فلش ذخیره نمود تا بعداً اگر رمزگشای آن یافت شد، با رمزگشایی اطلاعات آنها را بدست آورد. البته باید توجه داشت که لازم است قبل از هر کاری، ابتدا تمام رد پای باج‌افزار از روی سیستم پاک شود.

 برای حذف باج‌افزار می توان از یک اسکن کامل با کمک چندین آنتی ویروس مختلف و به‌روز استفاده کرد.

 

جدول 2- آمار کلید باج افزار

جدول 2- آمار کلید باج افزار

 

پیشنهاد می شود به‌هیچ‌وجه مبلغ باج پرداخت نشود؛ زیرا اولاً با پرداخت آن قطعیتی برای بازیابی کامل اطلاعات وجود نخواهد داشت و ثانیاً حتی اگر باج‌گیر کلید را بدهد و یا قفل سیستم را باز کند،  انگیزه باج‌گیران برای انجام این کار و آلوده کردن افراد دیگر بالا می‌رود.

استفاده از روش‌های دفاع در عمق (Defence in depth) بهترین راه پیشگیری از آلوده شدن سیستم‌های سازمانی به باج افزارها محسوب می‌شود که در آن با پیش بینی چندین لایه امنیتی، امکان نفوذ مهاجمان و عبور فایل‌های مشکوک به منابع داخلی سازمان تا حد زیادی صلب می شود.

در هر حال پیشنهادات زیر برای اطمینان حداکثری از در امان ماندن از آلودگی سیستم‌ها به باج افزار و کاهش دامنه تبعات آن، قابل استفاده است:

  • اولین قدم، افزایش آگاهی کاربران از طریق آموزش است تا به دام اخاذانی که از روش‌هایی مانند فیشینگ استفاده می کنند، نیفتند. می توان لینک یا فایل دریافتی را در سایت‌های تحلیل و بررسی مانند https://www.virustotal.com بررسی کرد.
  • دومین لایه دفاعی سیستم، گرفتن دوره‌ای پشتیبان از تمام اطلاعات و ذخیره‌سازی در جای امن (یک هارد اکسترنال مطمئن، فضاهای ابری مانند DropBox،GoogleDrive و ... ) است.
  • با داشتن سیستم مانیتورینگ قوی و بررسی ترافیک موجود شبکه می‌توان از تمام اتفاقات در سطح نرم‌افزاری و سخت‌افزاری شبکه باخبر بود. می‌توان به بررسی میزان دانلود کاربران، مصرف اینترنت آن‌ها، فضای اشغال شده پست الکترونیک توسط اسپم‌ها، مشکلات سخت افزارهای موجود در شبکه و ... پرداخت. با توجه به اینکه بیشتر باج افزارها از طریق پست الکترونیک منتشر می‌شوند با یک برنامه مانیتورینگ مناسب میتوان جلوی انتشار و آلوده شدن به باج افزار را گرفت. مانیتورینگ شبکه هدفی جز پایش شبکه ندارد، برای ایجاد شبکه امن باید زیر ساخت‌های شبکه را امن کرد. برای آشنایی بیشتر با امن‌سازی زیرساخت‌ها به اینجا مراجعه کنید.
  • رمز گذاری و مدیریت سطح دسترسی ها نیز جلو آلوده شدن و یا گسترش محدوده آلوده به باج‌افزار را می‌گیرد.
  • به‌روز رسانی و استفاده از جدیدترین نسخه سیستم عامل و برنامه ها باعث می‌شود همیشه سیستم ها و تجهیزات شبکه وصله‌های مناسب اعلام شده از سمت شرکت سازنده را داشته باشند و از آلوده شدن به باج افزار جلوگیری می‌کند. میتوان با انجام تست نفوذ دوره ای از امن بودن تجهیزات و سیستم ها آگاه شد.
  • استفاده از ضد‌باج‌افزارها، آنتی‌ویروس‌ها، فایروال‌ها، ضد‌فیشینگ و ... لایه‌های بعدی دفاعی سیستم هستند که در بعضی موارد ضد‌باج‌افزارها فایل‌های رمزگذاری شده را می‌توانند رمزگشایی کنند؛ مانند KATANA، Kaspersky، Avast، Malwarebytes و غیره

در سایت پلیس فتا یا سایت مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) اطلاعات نسبتاً کاملی در مورد باج افزارها قابل دسترس است. ممکن است راه‌کار خارج شدن از این وضعیت در این سایت‌ها موجود باشد.

در صورت علاقمندی به کسب اطلاعات بیشتر در مورد سایر بدافزارها، و بخصوص بدافزارهای اندرویدی، می‌توانید به مقالات تخصصی وبلاگ آشنا ایمن مراجعه کنید.

نویسنده: سمیرا سروعلیشاه دسته بندی: ارزیابی امنیتی