باج افزار نوعی نرم افزار بدخواهانه یا بدافزار است. این بدافزار، دادههای قربانی را رمزگذاری میکند و سپس حمله کننده درخواست باج میکند. زمانی که باج پرداخت شد، حمله کننده کلید رمزگشایی را برای دسترسی به دادههای قربانی ارسال میکند.
باج میتواند در طیفی از چند دلار تا میلیونها دلار قرار گیرد. عموما، پرداخت پول در قالب یکی از ارزهای دیجیتالی مثل بیت کوین درخواست میشود.
باج افزار چگونه عمل میکند؟
باج افزار از رمزنگاری نامتقارن استفاده میکند. در این روش از یک جفت کلید برای رمزنگاری و رمزگشایی یک فایل استفاده میشود. جفت کلیدهای عمومی-خصوصی به طور منحصر به فرد توسط مهاجم برای قربانی تولید میشود، یک کلید خصوصی هم برای رمزگشایی فایلهای ذخیره شده روی سرور مهاجم ایجاد میشود.
مهاجم تنها پس از پرداخت باج، کلید خصوصی را در دسترس قربانی قرار میدهد. بدون دسترسی به کلید خصوصی، رمزگشایی پروندههایی که برای باج گیری نگهداری میشوند، تقریباً غیرممکن است.
انواع مختلفی از باج افزار وجود دارد. باج افزارها عموما از طریق چند مسیر اصلی توزیع میشوند که عبارتند از ایمیل فیشینگ، تبلیغات مخرب (تبلیغات بدخواهانه)، حملات مهندسی اجتماعی و کیتهای بهره برداری.
بدافزارها برای تثبیت حضور خود بر روی یک نقطه پایانی به یک بردار حمله نیاز دارند. پس از حضور موفق، بدافزارها تا زمانی که وظیفه خود را انجام دهند، بر روی سیستم باقی خواهند ماند.
پس از یک بهرهبرداری موفق، باج افزارها یک دودویی مخرب را بر روی سیستم آلوده رها و اجرا میکنند. این دودویی، فایلهای ارزشمندی مانند اسناد مایکروسافت ورد، تصاویر، پایگاه دادهها و… را جستجو و رمزگذاری میکند.
باج افزار همچنین ممکن است از آسیب پذیریهای سیستم و شبکه برای گسترش به سیستمهای دیگر و احتمالاً در کل سازمانها بهره برداری کند.
هنگامی که فایلها رمزگذاری میشوند، باج افزار کاربر را مجبور میکند تا برای پرداخت باج در عرض ۲۴ تا ۴۸ ساعت اقدام کند یا فایلها برای همیشه از دست خواهند رفت. اگر دادهها پشتیبانگیری نشده باشند و یا فایلهای پشتیبان هم توسط باج افزار رمزگذاری شده باشند، قربانی مجبور به پرداخت باج برای دستیابی به فایلهایش است.
چه کسی هدف باج افزار است؟
چند راه مختلف وجود دارد که حمله کنندگان سازمانهای هدف حمله باج افزاری خود را انتخاب مینمایند.
گاهی مسئله فرصت در میان است: برای مثال، حمله کنندگان ممکن است دانشگاهها را از آن جهت مورد حمله قرار دهند که دانشگاهها تیمهای امنیتی کوچکتری دارند و به نسبت آن، پایگاه کاربری آنها بزرگ است و اشتراک داده زیادی انجام میدهند که باعث میشود نفوذ در لایههای دفاعی آنها آسانتر گردد.
از سوی دیگر، برخی از سازمانها از آن جهت هدفهای وسوسه برانگیزی هستند که به نظر میرسد احتمال بیشتری وجود داشته باشد به سرعت باج را پرداخت کنند.
برای مثال، نهادهای دولتی یا تاسیسات پزشکی اغلب به دسترسی سریع به فایلهای خود نیاز دارند.
شرکتهای حقوقی و سایر سازمانها دارای دادههای حساس نیز ممکن است تمایل داشته باشند پرداخت را انجام دهند تا خبرهای رخداد نقض دادهها پخش نشود (این سازمانها به شدت نسبت به حملات نشت افزاری حساس هستند).
راههای مقابله با باج افزار
– از دادههای خود پشتیبان بگیرید.
مطمئن شوید از راهکارهای پشتیبانگیری حرفهای برخوردار هستید که قابلیت توسعهپذیری دارد و در زمان مشکل گلوگاه هیچ ممانعتی برای برگرداندن اطلاعات وجود ندارد.
در صورت وقوع حمله، میتوانید نقطه پایانی خود را قطع نموده، مجددا از آن ایمیجگیری کنید و پشتیبان جاری خود را به جای آن نصب نمایید. شما همه دادههای خود را در اختیار خواهید داشت و به باج افزار اجازه نمیدهید به سیستمهای دیگر انتشار یابد.
– سیستمهای خود را بهروزرسانی کنید.
عادت کنید که نرم افزارهای خود مرتبا بهروز نمایید. بهروزرسانی نرم افزارهای پراستفاده میتواند از بسیاری از حملات باج افزار جلوگیری نماید. در صورت امکان، بهروزرسانی خودکار را فعال نمایید.
– امکان احراز هویت چند عاملی را فراهم کنید.
ضعیفترین حلقه زنجیره امنیتی، معمولا انسانها هستند. به کاربران خود آموزش دهید که چه کسانی و چه چیزهایی قابل اعتماد هستند. به آنها آموزش دهید فریب فیشینگ و برنامههای دیگر را نخورند.
– از شبکه خود محافظت کنید.
رویکردی چند لایهای اتخاذ نمایید به صورتی که امنیت از نقطه پایانی تا ایمیل و تا لایه DNS در آن ادغام شده باشد. از تکنولوژیهایی مثل فایروال نسل بعد یا سیستم پیشگیری از نفوذ (IPS) استفاده نمایید.
– دسترسی بخش به بخش به شبکه
منابعی که حمله کننده میتواند به آنها دسترسی داشته باشد را محدود نمایید. با کنترل دینامیک دسترسی به منابع براساس میزان حساسیت آنها، میتوانید اطمینان حاصل کنید که کل شبکه شما در یک حمله باج افزار مختل نخواهد شد.
– فعالیتهای شبکه را از نزدیک زیر نظر داشته باشید.
زیر نظر داشتن همه اتفاقاتی که در مرکز داده و شبکه شما روی میدهد، به شما کمک میکند حملاتی که محیط پیرامونی را دور میزنند، کشف نمایید.
یک زون DMZ ایجاد کنید یا این که یک لایه امنیتی به شبکه محلی (LAN) خود بیفزایید. از پلتفرم امنیتی استفاده نمایید تا به شکلی موثر همه اطلاعات را کنار هم قرار داده و اقدام به اولویتبندی، تحلیل و پاسخ سریع نمایید.
– از نفوذ ابتدایی جلوگیری نمایید.
بیشتر آلودگیهای باج افزاری از طریق اتصال به ایمیل یا دانلود بدافزارها صورت میگیرند. به دقت همه ایمیلها و وب سایتهای بدخواهانه را مسدود کنید و امکان اتصال بدافزارها را از طریق رویکرد امنیتی چند لایه و برنامههای اشتراک فایل ویژه شرکت از بین ببرید.
– نقاط پایانی خود را مجهز نمایید.
راهکارهای آنتی ویروس در نقاط پایانی دیگر جوابگو نیستند. امتیازات دیگری قرار دهید تا تکالیف خاصی مثل ارائه دسترسی شبکه یا ارائه اجازه به کاربر در نقاط پایانی انجام شود. احراز هویت چند عاملی نیز میتواند برای جلوگیری از حملات باج افزارها کمک کننده باشد.
– اطلاعات زمان واقعی مربوط به تهدیدات را به دست آورید.
دشمن خود را بشناسید. از اطلاعات مربوط به تهدیدات که از سازمانهایی مثل «Talos» قابل کسب هستند استفاده نمایید تا متوجه آخرین اطلاعات امنیتی شده و نسبت به تهدیدات نوظهور سایبری آگاه گردید.
– از کمک متخصصان پاسخ به حادثه استفاده نمایید.
تیمهای پاسخ به حادثه مجموعه کاملی از خدمات فعالانه و اضطراری را برای کمک به آماده کردن شما و پاسخ به نقض امنیتی و بازیابی از آن ارائه میکنند.
چگونه باج افزار را از بین ببریم؟
در صورتی که کامپیوتر شما به باج افزار آلوده شده باشد، باید کنترل دستگاه خود را مجددا به دست آورید. گامهای مهم در از بین بردن باج افزار عبارتند از:
– ریبوت کردن ویندوز به حالت safe mode
– نصب نرم افزار ضد بدافزار
– اسکن سیستم برای یافتن برنامه باج افزار
– باز گرداندن کامپیوتر به حالت نرمال خود
اما مسئله مهمی که باید در ذهن داشته باشید این است که، درحالیکه انجام این اقدامات میتواند بدافزار را از کامپیوتر شما پاک کند و کنترل را به شما بازگرداند اما نمیتواند فایلهای شما را رمزگشایی کند.
تبدیل آنها به فایلهای غیرقابل خواندن از قبل رخ داده است و در صورتی که بدافزار قدری پیشرفته باشد، به لحاظ ریاضی غیرممکن خواهد بود که کسی بتواند بدون در اختیار داشتن کلید، آن را رمزگشایی کند. در حقیقت، با پاک کردن بدافزار، شما گزینه بازگرداندن فایلها از طریق پرداخت پولی که حمله کنندگان درخواست نمودهاند را از بین میبرید.
آیا باید باج را پرداخت کنید؟
در صورتی که سیستم شما به بدافزار آلوده شده است، و دادههای حیاتی خود را از دست دادهاید که از طریق پشتیبان قابل بازگرداندن نیستند، آیا باید باج را پرداخت کنید؟
در زمان صحبتهای نظری، بیشتر نهادهای انتظامی از شما درخواست میکنند که به حمله کنندگان باج افزاری پولی پرداخت نکنید چرا که این کار باعث تشویق هکرها برای توسعه باج افزارهای بیشتر میگردد.
بسیاری از سازمانهایی که خود را گرفتار بدافزار مییابند، به سرعت تفکر در مورد «منفعت عمومی» را کنار میگذارند و تحلیل هزینه-منفعت انجام میدهند، بدین صورت که هزینه باج را در برابر ارزش دادههای رمزگذاری شده قرار میدهند.
بر اساس تحقیقی که توسط ترند میکرو انجام شده، درحالیکه 66% شرکتها میگویند هرگز باجی پرداخت نخواهند کرد، اما در عمل 65% آنها در زمان گرفتاری، باج را پرداخت میکنند.
حمله کنندگان باج افزاری قیمتها را نسبتا پایین نگه میدارند (معمولا بین 700 تا 1300 دلار) تا شرکتها بتوانند به محض اطلاع باج را پرداخت نمایند.
برخی بدافزارهای پیشرفته، کشوری که حمله در آن انجام شده را شناسایی میکنند و باج را طوری تنظیم میکنند که با وضعیت اقتصادی آن کشور تناسب داشته باشد، و از شرکتهای کشورهای ثروتمندتر پول بیشتری نسبت به مناطق فقیرتر طلب میکنند.
اغلب تخفیفهایی نیز برای پرداخت سریع در نظر گرفته میشود تا قربانیان تشویق شوند به سرعت بدون فکر کردن، پول را پرداخت نمایند. در کل، قیمت به گونهای تعیین میشود که برای مجرم ارزش داشته باشد و در عین حال به اندازهای کم باشد که برای قربانی پرداخت آن، کم هزینهتر از ایجاد مجدد دادههای از دست رفته باشد.
با در ذهن داشتن این مطلب، برخی از شرکتها در حال قرار دادن نیاز به پرداخت باج در برنامههای امنیتی خود هستند: برای مثال، برخی از شرکتهای بزرگ در بریتانیا که ارتباطی با رمزارزها ندارند، در حال جمع کردن مقداری بیت کوین ذخیره به طور خاص برای پرداخت باج هستند.
اما در این جا ضمن توجه به این که افراد در حال تعامل با شما مجرم هستند، باید چند مسئله ظریف را به یاد داشته باشید:
ابتدا آن که چیزی که شبیه باج افزار به نظر میرسد ممکن است اصلا دادههای شما را رمزگذاری نکرده باشد؛ قبل از این که پولی برای کسی بفرستید، مطمئن شوید آن چه به آن روبرو شده اید، در حقیقت یک «ترس افزار» نیست.
دوم این که، پرداخت پول به حمله کننده تضمین کننده بازگشت فایلهای شما نخواهد بود. گاهی مجرمان پول را دریافت کرده و فرار میکنند و ممکن است اصلا عملکرد رمزگشایی را در بدافزار قرار نداده باشند.
البته چنین بدافزاری به سرعت معروف میشود و درآمدزا نیست، بنابراین در بیشتر مواقع (در حدود 65 تا 70 درصد مواقع) مجرمان کلید را میفرستند و دادههای شما باز میگردد.