باج افزار (Ransomware) چیست؟ چگونه با باج افزار مقابله کنیم؟

خرید و فروش ارز دیجیتال در سال‌های اخیر با رشد قابل‌توجهی همراه بوده است و افراد زیادی از آن کسب درآمد می‌کنند. اما گسترش و توسعه روزافزون بازار کریپتوکارنسی، یک بستر مناسب برای کلاهبرداران و هکرها هم فراهم کرده است تا دارایی و اطلاعات کاربران را به سرقت ببرند. متاسفانه روزانه شاهد آن هستیم که افراد زیادی به دلیل عدم آگاهی درباره‌ روش‌های هک و سرقت، دارایی‌های خود را از دست می‌دهند. این مساله از آنجایی حائز اهمیت می‌شود که در اغلب موارد این دارایی‌ها قابل بازیابی نیستند. یکی از خطرهایی که افراد فعال در حوزه خرید و فروش رمز ارز و انتخاب را تهدید می‌کند، از دست دادن ارز دیجیتال توسط باج افزار است.

با توجه به همین موضوع در این مقاله، به موضوع Ransomware، انواع آن‌ و روش‌های مقابله با این بدافزار مخرب می‌پردازیم.

باج افزار چیست؟

باج افزار (Ransomware) نوعی از بدافزارهای خطرناک هستند که به سیستم‌های افراد، شرکت‌های شخصی و دولتی نفوذ کرده و دسترسی به سامانه یا فایل‌هایی مانند اطلاعات مالی را محدود می‌کنند. روش محدود کردن دسترسی به سامانه یا اطلاعات توسط باج‌افزار، معمولاً از طریق رمزگذاری یا قفل‌گذاری روی فایل‌ها و داده‌ها صورت می‌گیرد. باج افزارها برای اولین بار در روسیه گزارش شدند، اما در حال حاضر شاهد آن هستیم که حملات هکرها در کشورهای زیادی رخ داده است و محدود به منطقه جغرافیایی خاصی نیست.

حمله باج افزار چگونه کار می‌کند؟

عملکرد اغلب باج افزارها شبیه به هم است و تفاوت چندانی با یکدیگر ندارند. باج افزار می‌تواند از طریق لینک‌های فریبنده و جذاب مانند ایمیل، پیامک، وب سایت و غیره به سیستم نفوذ کند. در اغلب موارد افراد به دلیل عدم آگاهی کافی روی لینک‌های آلوده کلیک می‌کنند و راه را برای نفوذ هکر فراهم می‌کنند.

بعد از آنکه سیستم به باج افزار آلوده شد، مهاجم فایل‌ها و اطلاعات موجود در سیستم را رمزگذاری می‌کند و در ازای ارسال کلید رمزگشایی برای کاربر، از او درخواست باج می‌کند. روش‌های رمزگذاری در طول زمان بسیار پیشرفت کرده است و در برخی موارد حتی قابل رمزگشایی نیست.

کاربر زمانی که سیستم خود را روشن می‌کند، ممکن است با یک صفحه سیاه یا قرمز رنگ همراه با پیغام اخطار مواجه شود که حتی با راه‌اندازی مجدد سیستم از بین نمی‌رود. در اغلب موارد هکرها یک مهلت زمانی مشخص برای پرداخت وجه مورد نظر خود به قربانی می‌دهند. در صورتی که در آن زمان وجه واریز نشود یا مبلغ را دو برابر می‌کنند یا اطلاعات روی سیستم را پاک می‌کنند.

انواع باج‌افزارها کدامند؟

باج‌افزارها انواع مختلفی دارند که با توجه به ترتیب شدت و میزان تخریب، به سه دسته زیر تقسیم می‌شوند:

 Scareware یا ترس‌افزار

ترس‌افزار برنامه‌ی کامپیوتری است که با هدف آسیب زدن یا مختل کردن یک سیستم کامپیوتری طراحی می‌شود. این نوع باج افزار با ایجاد ترس در کاربر، او را به انجام کاری مجبور می‌کند که در نظر دارد. مهاجم عموماً از یک تبلیغ پاپ آپ شروع می‌کند و در آن سعی دارد با استفاده از تکنیک‌های مهندسی اجتماعی کاربر را بترساند.

 Screen lockers یا قفل‌کننده صفحه نمایش

در این نوع از حمله، مهاجم صفحه نمایش کاربر را قفل می‌کند و یک صفحه اخطار روی صفحه نمایش نشان داده می‌شود. محتوای این پیام در اغلب موارد در بردارنده‌ی این مضمون است که به دلیل در اختیار داشتن محتوای مجرمانه، دسترسی کاربر به سیستم قطع شده است. کاربر برای به دست آوردن دسترسی مجدد به سیستم باید جریمه پرداخت کند.

Encryption ransomware یا رمز‌گذار

باج افزارهای رمزگذار به سادگی و با استفاده از روش‌های جدید، فایل‌های قربانی را رمزگذاری می‌کنند. مهاجمین در ازای ارسال کلید رمزگشایی، از کاربر درخواست باج می‌کنند. از آنجایی که در اغلب موارد هدف باج‌افزارهای رمزگذار سازمان‌های بزرگ است، مبلغ باج بسیار هنگفت است. علاوه بر این، حتی پس از پرداخت باج، هیچ تضمینی برای ارسال کلید رمزگشایی فایل وجود ندارد.

معرفی مهم‌ترین باج افزارهای مخرب

لیست باج افزارهایی که جهت انجام اقدامات خرابکارانه معرفی شده‌اند بسیار زیاد است؛ در ادامه به چند نمونه از مهم‌ترین موارد مخرب اشاره می‌کنیم.

وستد لاکر (WastedLocker)

wastedlocker توسط یک گروه از مجرمان سایبری بسیار ماهر با نام evil corp ایجاد شد. هدف این Ransomware، آلوده کردن سیستم قربانیان و گرفتن باج بود. از سال ۲۰۰۷ تا به امروز به عنوان یکی از مخرب‌ترین باج افزارها شناخته می‌شود که سر و صدای بسیاری هم در رسانه‌ها به پا کرد. این بدافزار مشخصاً برای حمله به شرکتی خاص طراحی می‌شود. در پیام‌های wastedlocker، قربانی به اسم خطاب می‌شود و تمامی فایل‌های رمزگذاری ‌شده افزونه‌ی garminwasted. دارند.

یکی از قربانیان برجسته این باج‌گیری تا به امروز شرکت گارمین (Garmin) است. گارمین یک شرکت فناوری آمریکایی است که در سال ۱۹۸۹ فعالیت خود را در زمینه‌ی دستگاه‌های جی پی اس آغاز کرده است. این شرکت در ۲۳ جولای ۲۰۲۰ به وسیله بدافزار WastedLocker مورد حمله قرار گرفت و در نتیجه بسیاری از خدمات آن در سراسر جهان مختل شد. به طوری که کاربران خلبان هم قادر به دانلود نقشه‌های گارمین روی دستگاه‌های خود نبودند. طبق گزارشات، باج ۱۰ میلیون دلاری درخواست شده بود.

دوپل پیمر (DoppelPaymer)

DoppelPaymer بدافزاری از نوع باج‌افزار است که برای جلوگیری از دسترسی قربانیان به پرونده‌های آن‌ها از طریق رمزگذاری طراحی شده است. تحقیقات نشان می‌دهد که مجرمان از DoppelPaymer در حملات هدفمند استفاده می‌کنند. یعنی آن‌ها شرکت‌ها یا صنایع خاصی را مورد هدف قرار می‌دهند و معمولاً به دنبال نفوذ در کل شبکه هستند (به عنوان مثال، تمام رایانه‌های مورد استفاده در یک شرکت خاص).

این Ransomware پسوند “.locked” را به نام هر فایل رمزگذاری شده اضافه می‌کند. به عنوان مثال، “۱.jpg” به “۱.jpg.locked” تبدیل می‌شود. تمام پیام‌های باج، حاوی متن یکسانی است که بیان می‌کند قربانیان نباید:

• رایانه‌های خود را خاموش یا راه‌اندازی مجدد کنند.
• پرونده‌های رمزگذاری شده یا پیام‌های باج را تغییر نام دهند یا حذف کنند.
•  با استفاده از نرم‌افزارهای دیگر سعی کنند پرونده‌ها را بازیابی کنند.

زیرا انجام این اقدامات ممکن است منجر به از دست دادن دائمی اطلاعات شود.

پونی فینال (Pony Final)

در تاریخ ۲۷ می سال ۲۰۲۰، تیم امنیتی مایکروسافت در یک رشته توییت به سازمان‌های سراسر جهان هشدار داد که در برابر نوع جدیدی از باج‌افزار، تدابیر امنیتی اتخاذ کنند. این باج‌افزار که PonyFinal نام داشت، مبتنی بر جاوا بود. هدف Pony Final بیشتر بیمارستان‌ها و موسسات خدمات بهداشتی و سلامت است.

این بدافزار از نوع باج افزارهای مبتنی بر انسان (Human-operated) است. یعنی مهاجمین از آسیب‌پذیری‌ امنیت اطلاعات سیستم‌های موردنظر سوءاستفاده می‌کنند. نقطه‌ی نفوذ معمولاً یک حساب کاربری در سرور مدیریت سیستم است که باند PonyFinal با استفاده از حملات brute-force که رمزعبورهای ضعیف را حدس می‌زند، از آن عبور می‌کند.

رویل (REvil)

برای اولین بار در آوریل ۲۰۱۹ باج‌افزار REvil کشف شد. مهاجمان از روش‌های مختلفی برای آلوده کردن سیستم‌ قربانیان خود استفاده می‌کنند. آن‌ها می‌توانند با شناسایی نقاط آسیب‌پذیر رایانه اقدام به کاشت Ransomware کنند یا از روش‌های دیگری مانند فیشینگ کمک بگیرند.

مهاجمین از این Ransomware برای رمزگذاری سیستم‌های تجاری بسیار مهم استفاده می‌کنند و مبلغ هنگفتی را به‌عنوان باج برای رمزگشایی درخواست می‌کنند. مهاجمین در صورت برآورده نشدن مطالبات، تهدید می‌کنند که داده‌های سرقتی قربانیان خود را در وب سایت Happy Blog به حراج خواهند گذاشت. این سیستم از یک تایمر شمارش معکوس استفاده می‌کند که نشان می‌دهد چه زمانی افشای داده‌ها صورت خواهد گرفت تا قربانیان خود را بیشتر تحت فشار قرار دهند. نمونه‌ای از پیامی که از سمت باند REvil به قربانیان ارسال می‌شود، در ادامه آورده شده است:

سلام – برخی از پرونده‌های شما حاوی اطلاعات محرمانه، بارگیری شده است و در سرورهای ما میزبانی می‌شوند. اگر از مذاکره با ما خودداری کنید، کلیه اسناد در وبلاگ و رسانه‌ها منتشر می‌شود. در صورت توافق، داده‌ها برای همیشه حذف می‌شوند. ما شما را تشویق می‌کنیم که از طریق چت پشتیبانی سریع با ما تماس بگیرید.

دلیل موفقیت باج افزارها چیست؟

نتایج گزارشات نشان می‌دهد که دلیل موفقیت باج افزارها این است که اغلب سیستم‌ها در برابر حملات مخرب هیچگونه محافظتی ندارند. علت این بی‌توجهی آن است که اغلب قربانیان هرگز تصور نمی‌کردند که قربانی باج‌افزارها شوند. سازمان‌های امنیتی مدام با انتشار بیانه‌های مرتبط با باج افزارها، هشدار می‌دهند. به همین دلیل است که سازمان‌ها باید برای جلوگیری از رمزگذاری شدن فایل‌ها توسط Ransomware، وقت و هزینه لازم را صرف کنند. در غیر این صورت، مجبور به پرداخت مبلغی چند برابر به باندهای مهاجم خواهند شد تا اطلاعات خود را بازیابی کنند. 

روش‌های پیشگیری از ورود باج افزارها به سیستم

با توجه به این که در باج‌ افزارها از الگوریتم‌های بسیار قوی برای آلوده کردن سیستم کاربر استفاده می‌شود، بازیابی سیستم آلوده، مشکلات و هزینه فراوانی را با خود به همراه خواهد داشت. به همین دلیل پیشگیری از آلوده شدن به باج افزارها، بهترین راه مقابله است. برخی از مهم‌ترین راهکارهای حفاظت از سیستم‌ در مقابل Ransomware عبارتند از:

• اجتناب از باز کردن ایمیل‌های اسپم یا لینک‌های درون آن‌ها
• کلیک نکردن روی لینک‌های مخرب
• عدم دانلود فایل از سایت‌های نامعتبر و باز کردن آن
• پاسخ ندادن به ایمیل‌هایی که حاوی درخواست برای ارسال اطلاعات شخصی مانند نام کاربری، پسورد یا جزئیات حساب بانکی است.
• باز نکردن پیوست‌ ایمیل‌های مشکوک
• عدم دریافت فایل از منابع نامعتبر
•  پشتیبان‌گیری منظم
• نصب و به روز کردن ضدویروس‌ها
• غیرفعال کردن و محدود کردن اجرای اسکریپت‌های غیرضروری
• استفاده از آپدیت‌های آنلاین برای سرورهای ویندوزی و کلاینت‌های کامپیوتری
• غیرفعال کردن ریموت دسکتاپ در زمان‌هایی که نیازی به آن نیست.
• خودداری از کلیک روی تبلیغات و وب‌سایت‌هایی با منبع ناشناس

چگونه کامپیوتر خود را برای خرید و فروش ارزهای دیجیتال ایمن کنیم؟

حملات Ransomware با هدف سرقت ارزهای دیجیتال به این صورت است که رمز کامپیوتر یا کیف پول ارز دیجیتال کاربر توسط مهاجمین از سیستم برداشته می‌شود. پس از آنکه رمزها توسط مهاجمین تغییر پیدا کرد، کاربر توسط مهاجمین مجبور به پرداخت باج می‌شود.

اگر در حوزه ارزهای دیجیتال فعال هستید، اولین چیزی که باید رعایت کنید این است که امنیت سایبری خود را بازبینی کنید. تنها در این صورت است که می‌توانید در مقابل حملات باج افزارها ایمن بمانید. شما برای حفظ سرمایه خود باید از کلید خصوصی و  کلمات بازیابی خود به خوبی محافظت کنید. اگر بتوانید این کار را به درستی انجام دهید، احتمال قربانی شدن شما توسط باج افزارها به میزان قابل توجهی کاهش پیدا می‌کند.

نحوه محافظت از کیف پول ارز دیجیتال در مقابل باج افزار‌ها

کیف پول ارز دیجیتال نرم افزار یا سخت افزاری است که کاربران می‌توانند دارایی دیجیتال خود را در آن نگهداری کنند. به همین دلیل یک گزینه مناسب برای افراد مهاجم است تا با طراحی حملات مختلف، آن‌ها را به بد افزار آلوده کنند. برای محافظت از کیف پول ارز دیجیتال در مقابل باج افزار‌ها توجه به موارد زیر ضروری است.

• در صورتی که دارایی شما بسیار زیاد است ارزهای دیجیتال نگه‌داری شده در کیف پول صرافی را محدود کنید و تنها مقداری که قصد معامله کردن دارید را در صرافی نگه‌داری کنید. بهترین روش انتقال مابقی دارایی به کیف پول سخت‌افزاری است.
• لینک‌های دعوت برای ایجاد کیف پول ارز دیجیتال به منظور دریافت پاداش را بدون تحقیق باز نکنید. اغلب این لینک‌ها یک طعمه از طرف هکرها هستند.(به عنوان مثال بدافزاری به اسم Echelon، با قرار دادن فایل آلوده در گروه‌های تلگرامی، کیف پول‌های رمزارز را هدف قرار داد.)
• در صورتی که کیف پول ارز دیجیتال شما از نوع آنلاین است از مرورگرهای ناشناس برای دسترسی به ولت خود استفاده نکنید.
• کیف پول ارز دیجیتال را فقط از مستقیماً از وب سایت رسمی آن دانلود کنید و از دانلود و نصب از سایت‌های دیگر اجتناب کنید، زیرا ممکن است لینک حاوی کیف پول جعلی باشد که توسط هکرها طراحی شده است.
• هر چند کیف پول سخت افزاری یکی از روش‌های امن برای نگهداری ارزهای دیجیتال است اما باید به نکات امنیتی در خرید آن توجه کرد. به عنوان مثال خرید کیف پول دست دوم خود می‌تواند خطراتی را به همراه داشته باشد.

بازیابی و حذف باج افزار

در صورتی که متوجه شدید سیستم شما توسط Ransomware مورد حمله قرار گرفته است، بهتر است قبل از هر اقدامی با یک کارشناس متخصص در حوزه امنیت شبکه‌های کامپیوتری صحبت کنید. سیستم آلوده را در صورت امکان خاموش کنید و از روشن کردن مجدد آن خودداری کنید. زیرا ممکن است برخی از فایل‌های شما از این حمله مصون مانده باشند و در صورت روشن کردن مجدد سیستم، رمزگذاری چندباره روی فایل‌ها انجام شود.

در صورتی که از داده‌های خود فایل پشتیبان ندارید، برای پرداخت باج به تنهایی تصمیم نگیرید و حتماً با افراد متخصص مشورت کنید و از آن‌ها سوال کنید که چگونه باج افزار را از بین ببریم؟ زیرا گزارش‌هایی وجود دارد که پرداخت باج لزوماً منجر به رمزگشایی نشده است.

افزایش سرعت حملات باج افزارها در حوزه ارزهای دیجیتال

اگر در حوزه ارزهای دیجیتال فعال هستید و سرمایه خود را وارد این بازار کرده‌اید، باید از اطلاعات خود به دقت محافظت کنید. در یک سال اخیر سرعت حملات باج افزارها در حوزه ارزهای دیجیتال بسیار افزایش پیدا کرده است. یکی از راه‌هایی که به شما کمک می‌کند، رصد مداوم اخبار امنیتی است که توسط سازمان‌های مربوطه در ارتباط با باج افزارها منتشر می‌شود. همچنین نسبت به انجام اقدامات پیشگیرانه نباید بی‌توجه باشید و از باز کردن ایمیل‌ها و پیام‌های ناشناس به شدت اجتناب کنید.