باج افزار چیست ؟
باج افزار، بدافزاری است که از رمزگذاری برای نگهداری اطلاعات قربانی به عنوان باج استفاده می کند. داده های حیاتی کاربر یا سازمان به گونه ای رمزگذاری می شوند که نتوانند به فایل ها، پایگاه های داده یا برنامه ها دسترسی داشته باشند. سپس برای دسترسی به آنها باج درخواست می شود. باج افزار اغلب برای پخش شدن در شبکه و هدف قرار دادن پایگاه داده و سرورهای فایل طراحی شده است و بنابراین می تواند به سرعت کل یک سازمان را فلج کند. این یک تهدید رو به رشد است که فرصت پرداخت میلیاردها دلار به مجرمان سایبری را ایجاد می کند و خسارات و هزینه های قابل توجهی را برای مشاغل و سازمان های دولتی وارد می کند.
باج افزار چگونه کار می کند؟
باج افزار از رمزگذاری نامتقارن استفاده می کند. این رمزنگاری است که از یک جفت کلید برای رمزگذاری و رمزگشایی یک فایل استفاده می کند. جفت کلیدهای عمومی-خصوصی به طور منحصربهفرد توسط مهاجم برای قربانی تولید میشود و کلید خصوصی برای رمزگشایی فایلهای ذخیره شده در سرور مهاجم است. مهاجم کلید خصوصی را تنها پس از پرداخت باج در اختیار قربانی قرار میدهد، اگرچه همانطور که در کمپینهای باجافزار اخیر دیده میشود، همیشه اینطور نیست. بدون دسترسی به کلید خصوصی، رمزگشایی فایل هایی که برای باج نگهداری می شوند تقریبا غیرممکن است.
انواع مختلفی از باج افزار وجود دارد. اغلب باج افزارها (و سایر بدافزارها) با استفاده از کمپین های اسپم ایمیل یا از طریق حملات هدفمند توزیع می شوند. بدافزار به یک بردار حمله نیاز دارد تا حضور خود را در نقطه پایانی ثابت کند. پس از برقراری حضور، بدافزار تا زمانی که وظیفهاش انجام شود، روی سیستم باقی میماند.
پس از یک اکسپلویت موفق، باج افزار یک کد باینری مخرب را بر روی سیستم آلوده رها کرده و اجرا می کند. سپس این باینری، فایل های با ارزشی مانند اسناد Microsoft Word، تصاویر، پایگاه های داده و غیره را جستجو و رمزگذاری می کند. این باج افزار همچنین ممکن است از آسیب پذیری های سیستم و شبکه برای گسترش به سیستم های دیگر و احتمالاً در کل سازمان ها سوء استفاده کند.
هنگامی که فایلها رمزگذاری شدند، باجافزار از کاربر میخواهد که طی 24 تا 48 ساعت برای رمزگشایی فایلها باج بپردازد، در غیر این صورت برای همیشه از دست خواهند رفت. اگر پشتیبانگیری دادهها در دسترس نباشد یا خود آن نسخههای پشتیبان رمزگذاری شده باشند، قربانی با پرداخت باج برای بازیابی فایلهای شخصی مواجه میشود.
چرا باج افزار در حال گسترش است؟
حملات باجافزاری و انواع آنها به دلایل مختلفی برای مقابله با فناوریهای پیشگیرانه به سرعت در حال تکامل هستند:
- در دسترس بودن آسان کیتهای بدافزار که میتوان از آنها برای ایجاد نمونههای بدافزار جدید در صورت تقاضا استفاده کرد
- استفاده از مفسرهای عمومی شناخته شده برای ایجاد باجافزار متقابل پلتفرمی (برای مثال، Ransom32 از Node.js با بارگذاری جاوا اسکریپت استفاده میکند)
- استفاده از تکنیک های جدید، مانند رمزگذاری کامل دیسک به جای فایل های انتخاب شده
دزدهای امروزی حتی لازم نیست که به فناوری تسلط داشته باشند. بازارهای باجافزار به صورت آنلاین رشد کردهاند و انواع بدافزارها را برای هر نوع کلاهبردار سایبری احتمالی ارائه میکنند و سود بیشتری برای نویسندگان بدافزار ایجاد میکنند، که اغلب درخواست کاهش درآمدهای باج را دارند.
چرا یافتن عاملان باج افزار اینقدر سخت است؟
استفاده از ارزهای دیجیتال ناشناس برای پرداخت، مانند بیت کوین، دنبال کردن مسیر پول و ردیابی مجرمان را دشوار می کند. به طور فزاینده ای، گروه های جرایم سایبری در حال ابداع طرح های باج افزار برای کسب سود سریع هستند. در دسترس بودن آسان کد منبع باز و پلتفرمهای کشیدن و رها کردن برای توسعه باجافزار، ایجاد انواع باجافزار جدید را تسریع کرده است و به تازهکاران اسکریپت کمک میکند تا باجافزار خود را بسازند. به طور معمول، بدافزارهای پیشرفته مانند باج افزارها از نظر طراحی چند شکلی هستند، که به مجرمان سایبری اجازه می دهد تا به راحتی امنیت مبتنی بر امضای سنتی را بر اساس هش فایل دور بزنند.
ransomware-as-a-service (RaaS) چیست؟
Ransomware-as-a-service یک مدل اقتصادی جرایم سایبری است که به توسعه دهندگان بدافزار اجازه می دهد تا بدون نیاز به توزیع تهدیدات خود، برای تولیدات خود درآمد کسب کنند. مجرمان غیر فنی کالاهای خود را می خرند و آلودگی ها را راه اندازی می کنند، در حالی که درصدی از هزینه خود را به توسعه دهندگان می پردازند. توسعه دهندگان خطرات نسبتا کمی دارند و مشتریان آنها بیشتر کار را انجام می دهند. برخی از نمونههای باجافزار بهعنوان سرویس از اشتراکها استفاده میکنند در حالی که برخی دیگر برای دسترسی به باجافزار نیاز به ثبت نام دارند.
چگونه در برابر باج افزارها دفاع کنیم
برای جلوگیری از باج افزار و کاهش آسیب در صورت حمله، نکات زیر را دنبال کنید:
- از داده های خود نسخه پشتیبان تهیه کنید . بهترین راه برای جلوگیری از تهدید قفل شدن فایلهای حیاتی خود این است که اطمینان حاصل کنید که همیشه نسخههای پشتیبان از آنها، ترجیحاً در فضای ابری و یک هارد دیسک اکسترنال در اختیار دارید. به این ترتیب، اگر به یک باج افزار آلوده شدید، می توانید رایانه یا دستگاه خود را پاک کنید و فایل های خود را از نسخه پشتیبان دوباره نصب کنید. این کار از داده های شما محافظت می کند و وسوسه نمی شوید که با پرداخت باج به نویسندگان بدافزار پاداش دهید. پشتیبان گیری از باج افزار جلوگیری نمی کند، اما می تواند خطرات را کاهش دهد.
- پشتیبان های خود را ایمن کنید. اطمینان حاصل کنید که دادههای پشتیبان شما برای اصلاح یا حذف از سیستمهایی که دادهها در آن قرار دارند در دسترس نیست. باج افزار به دنبال پشتیبان گیری از داده ها می گردد و آنها را رمزگذاری یا حذف می کند تا نتوان آنها را بازیابی کرد، بنابراین از سیستم های پشتیبان گیری استفاده کنید که اجازه دسترسی مستقیم به فایل های پشتیبان را نمی دهند.
- از نرم افزارهای امنیتی استفاده کنید و آن را به روز نگه دارید. اطمینان حاصل کنید که همه رایانه ها و دستگاه های شما با نرم افزار امنیتی جامع محافظت می شوند و همه نرم افزارهای خود را به روز نگه دارید. مطمئن شوید که نرمافزار دستگاههایتان را زود و اغلب بهروزرسانی میکنید، زیرا معمولاً در هر بهروزرسانی، وصلههایی برای نقصها وجود دارد.
- گشت و گذار ایمن در اینترنت را تمرین کنید. مراقب باشید کجا کلیک می کنید. به ایمیلها و پیامهای متنی افرادی که نمیشناسید پاسخ ندهید و فقط برنامهها را از منابع مطمئن دانلود کنید. این مهم است زیرا نویسندگان بدافزار اغلب از مهندسی اجتماعی استفاده می کنند تا شما را وادار به نصب فایل های خطرناک کنند.
- فقط از شبکه های امن استفاده کنید. از استفاده از شبکه های Wi-Fi عمومی خودداری کنید، زیرا بسیاری از آنها ایمن نیستند و مجرمان سایبری می توانند استفاده از اینترنت شما را زیر نظر بگیرند. در عوض، نصب VPN را در نظر بگیرید، که بدون توجه به جایی که می روید، اتصال ایمن به اینترنت را برای شما فراهم می کند.
- در جریان باشید . در جریان آخرین تهدیدات باج افزار باشید تا بدانید که باید مراقب چه چیزی باشید. در صورتی که به یک باج افزار آلوده شده اید و از همه فایل های خود نسخه پشتیبان تهیه نکرده اید، بدانید که برخی از ابزارهای رمزگشایی توسط شرکت های فناوری برای کمک به قربانیان در دسترس هستند.
- اجرای یک برنامه آموزشی امنیتی برای هر یک از اعضای سازمان خود آموزش های آگاهی امنیتی منظم ارائه دهید تا بتوانند از فیشینگ و سایر حملات مهندسی اجتماعی جلوگیری کنند. تمرینات و آزمایشات منظم را برای اطمینان از رعایت آموزش انجام دهید.
نقاط داده کلیدی واکنش باج افزار
گرایشهای زیر معمولاً توسط کارشناسان پاسخ به حوادث خط مقدم هنگام بررسی و اصلاح باجافزار مشاهده شده است:
میانگین زمان اقامت برای حملات باج افزار (به روز)
میانگین زمان ماندن برای حملات باجافزار 72.75 روز است، در مقایسه با تمام تهدیدات در 56 روز (از جمله باجافزار).
روزهای محبوب هفته در سطح جهانی برای استقرار و حمله باج افزار
روزهای هفته که در بالا برجسته شده اند نشان دهنده زمان شروع استقرار و اجرای حمله باج افزار هستند، نه زمانی که مهاجم به دسترسی اولیه می رسد.
ریسک را به حداقل برسانید و زمان ماندن باج افزار را کاهش دهید
روی رفتار مهاجم تمرکز کنید تا میانگین زمان اقامت یک باج افزار استراتژیک را از 72 روز به تنها 24 ساعت یا کمتر کاهش دهید.
9 مرحله برای پاسخ به حمله باج افزار
اگر مشکوک هستید که مورد حمله باج افزار قرار گرفته اید، مهم است که سریع عمل کنید. خوشبختانه، چندین مرحله وجود دارد که می توانید انجام دهید تا بهترین شانس ممکن را برای به حداقل رساندن آسیب و بازگشت سریع به تجارت معمول داشته باشید.
- دستگاه آلوده را ایزوله کنید : باج افزاری که یک دستگاه را تحت تأثیر قرار می دهد یک ناراحتی متوسط است. باج افزاری که اجازه دارد همه دستگاه های شرکت شما را آلوده کند، یک فاجعه بزرگ است و می تواند شما را برای همیشه از کار بیاندازد. تفاوت بین این دو اغلب به زمان واکنش باز می گردد. برای اطمینان از ایمنی شبکه، درایوهای اشتراکگذاری و سایر دستگاهها، ضروری است که دستگاه آسیبدیده را در اسرع وقت از شبکه، اینترنت و سایر دستگاهها جدا کنید. هر چه زودتر این کار را انجام دهید، احتمال آلوده شدن دستگاه های دیگر کمتر می شود.
- گسترش را متوقف کنید: از آنجا که باج افزار به سرعت حرکت می کند – و دستگاه دارای باج افزار لزوما بیمار صفر نیست – جداسازی فوری دستگاه آلوده تضمین نمی کند که باج افزار در جای دیگری از شبکه شما وجود نداشته باشد. برای محدود کردن مؤثر دامنه آن، باید همه دستگاههایی را که رفتار مشکوکی دارند، از جمله دستگاههایی که خارج از محل کار میکنند، از شبکه جدا کنید. خاموش کردن اتصال بی سیم (Wi-Fi، بلوتوث و غیره) در این مرحله نیز ایده خوبی است.
- ارزیابی خسارت: برای تعیین اینکه کدام دستگاهها آلوده شدهاند، فایلهای رمزگذاریشده اخیر با نامهای پسوند فایل عجیب را بررسی کنید و به دنبال گزارشهایی از نامهای عجیب و غریب فایل یا کاربرانی که در باز کردن فایلها مشکل دارند، بگردید. اگر دستگاههایی را پیدا کردید که کاملاً رمزگذاری نشدهاند، باید آنها را ایزوله کرده و خاموش کنید تا از حمله جلوگیری شود و از آسیب بیشتر و از دست رفتن دادهها جلوگیری شود. هدف شما ایجاد لیستی جامع از همه سیستمهای آسیبدیده، از جمله دستگاههای ذخیرهسازی شبکه، فضای ذخیرهسازی ابری، فضای ذخیرهسازی هارد اکسترنال (از جمله درایوهای USB)، لپتاپها، تلفنهای هوشمند و هر عامل احتمالی دیگر است. در این مرحله، قفل کردن سهام عاقلانه است. در صورت امکان همه آنها باید محدود شوند. اگر نه، تا جایی که می توانید محدود کنید. انجام این کار هرگونه فرآیند رمزگذاری مداوم را متوقف می کند و همچنین از آلوده شدن سهام اضافی در حین انجام اصلاح جلوگیری می کند. اما قبل از انجام این کار، باید نگاهی به اشتراک گذاری های رمزگذاری شده بیندازید. انجام این کار میتواند اطلاعات مفیدی را ارائه دهد: اگر تعداد فایلهای باز یک دستگاه بسیار بیشتر از حد معمول باشد، ممکن است بیمار صفر خود را پیدا کرده باشید. در غیر این صورت…
- پیدا کردن بیمار صفر : ردیابی عفونت به محض شناسایی منبع بسیار آسان تر می شود. برای انجام این کار، هشدارهایی را که ممکن است از آنتی ویروس/ضد بدافزار، EDR یا هر پلتفرم نظارتی فعال شما آمده باشد، بررسی کنید. و از آنجایی که اکثر باج افزارها از طریق لینک های ایمیل مخرب و پیوست ها وارد شبکه می شوند که نیاز به اقدام کاربر نهایی دارند، پرسیدن از افراد در مورد فعالیت های آنها (مانند باز کردن ایمیل های مشکوک) و آنچه که متوجه شده اند نیز می تواند مفید باشد. در نهایت، نگاهی به ویژگیهای خود فایلها نیز میتواند سرنخی ارائه دهد – شخصی که به عنوان مالک فهرست شده است احتمالاً نقطه ورود است. (با این حال به خاطر داشته باشید که ممکن است بیش از یک بیمار صفر وجود داشته باشد!)
- باج افزار را شناسایی کنید : قبل از اینکه جلوتر بروید، مهم است که کشف کنید با کدام نوع باج افزار سروکار دارید. یکی از راهها بازدید از No More Ransom است، این سایت دارای مجموعهای از ابزارها است که به شما کمک میکند تا دادههای خود را آزاد کنید، از جمله ابزار Crypto Sheriff: فقط یکی از فایلهای رمزگذاریشده خود را آپلود کنید و آن را برای یافتن مطابقت اسکن میکند. همچنین میتوانید از اطلاعات موجود در یادداشت باجگیری استفاده کنید: اگر نوع باجافزار را مستقیماً بیان نمیکند، استفاده از یک موتور جستجو برای استعلام آدرس ایمیل یا خود یادداشت میتواند کمک کند. هنگامی که باج افزار را شناسایی کردید و کمی تحقیقات سریع در مورد رفتار آن انجام دادید، باید در اسرع وقت به همه کارمندانی که تحت تأثیر قرار نگرفته بودند هشدار دهید تا بدانند چگونه علائم آلوده شدن خود را تشخیص دهند.
- باجافزار را به مقامات گزارش دهید : به محض اینکه باجافزار محتوی شد، به دلایل مختلفی میخواهید با مجری قانون تماس بگیرید. اول از همه، باج افزار خلاف قانون است و مانند هر جرم دیگری، باید به مقامات مربوطه گزارش شود. ثانیاً، طبق گفته دفتر تحقیقات فدرال ایالات متحده، «ممکن است مجریان قانون بتوانند از مراجع قانونی و ابزارهایی استفاده کنند که برای اکثر سازمانها در دسترس نیست». می توان از مشارکت با مجریان قانون بین المللی برای کمک به یافتن داده های سرقت شده یا رمزگذاری شده استفاده کرد و عاملان آن را به دست عدالت آورد. در نهایت، این حمله ممکن است پیامدهای انطباق داشته باشد: طبق شرایط GDPR، اگر ظرف 72 ساعت پس از نقض اطلاعات شهروندان اتحادیه اروپا به ICO اطلاع ندهید، کسب و کار شما ممکن است جریمه های سنگینی را متحمل شود.
- بک آپ های خود را ارزیابی کنید: اکنون زمان شروع فرآیند پاسخ است. سریع ترین و ساده ترین راه برای انجام این کار این است که سیستم های خود را از یک نسخه پشتیبان بازیابی کنید. در حالت ایدهآل، یک نسخه پشتیبان غیر آلوده و کامل خواهید داشت که اخیراً به اندازه کافی مفید باشد. اگر چنین است، گام بعدی استفاده از یک راه حل آنتی ویروس/ضد بدافزار برای اطمینان از پاک شدن همه سیستمها و دستگاههای آلوده از باجافزار است – در غیر این صورت سیستم شما را قفل میکند و فایلهای شما را رمزگذاری میکند و احتمالاً نسخه پشتیبان شما را خراب میکند. هنگامی که همه آثار بدافزار از بین رفت، میتوانید سیستمهای خود را از این نسخه پشتیبان بازیابی کنید و – پس از تأیید اینکه همه دادهها بازیابی شدهاند و همه برنامهها و فرآیندها به طور معمول پشتیبانگیری میشوند و به طور معمول اجرا میشوند – به حالت عادی بازگردید. . متأسفانه، بسیاری از سازمان ها تا زمانی که به آنها نیاز نداشته باشند و در آنجا نباشند، اهمیت ایجاد و نگهداری نسخه پشتیبان را درک نمی کنند.
- در مورد گزینه های رمزگشایی خود تحقیق کنید: اگر خود را بدون پشتیبان گیری مناسب می بینید، هنوز این شانس وجود دارد که بتوانید داده های خود را پس بگیرید. تعداد فزاینده ای از کلیدهای رمزگشایی رایگان را می توان در No More Ransom پیدا کرد . اگر باجافزاری که با آن سروکار دارید در دسترس باشد (و با فرض اینکه تاکنون تمام آثار بدافزار را از سیستم خود پاک کردهاید)، میتوانید از کلید رمزگشایی برای باز کردن قفل دادههای خود استفاده کنید. با این حال، حتی اگر به اندازه کافی خوش شانس باشید که یک رمزگشا پیدا کنید، اما هنوز کارتان تمام نشده است – همچنان می توانید منتظر ساعت ها یا روزها توقف در هنگام کار بر روی اصلاح باشید.
- ادامه دهید: متأسفانه، اگر هیچ نسخه پشتیبان قابل اجرا ندارید و نمی توانید کلید رمزگشایی را پیدا کنید، تنها گزینه شما ممکن است کاهش ضرر و شروع از ابتدا باشد. بازسازی فرآیندی سریع یا کم هزینه نخواهد بود، اما هنگامی که گزینه های دیگر خود را تمام کردید، بهترین کاری است که می توانید انجام دهید.
چرا من نباید باج بدهم؟
وقتی با احتمال بهبودی هفته ها یا ماه ها مواجه می شوید، ممکن است تسلیم شدن در برابر باج خواهی وسوسه انگیز باشد. اما چندین دلیل وجود دارد که این ایده بد است:
- ممکن است هرگز کلید رمزگشایی دریافت نکنید. زمانی که درخواست باج افزاری را پرداخت می کنید، قرار است در ازای آن یک کلید رمزگشایی دریافت کنید. اما وقتی یک تراکنش باج افزار انجام می دهید، به سلامت مجرمان وابسته هستید. بسیاری از مردم و سازمانها باج را پرداخت کردهاند تا در ازای آن چیزی دریافت نکنند—آنها دهها، صدها یا هزاران دلار از دست دادهاند، و هنوز باید سیستمهای خود را از ابتدا بازسازی کنند.
- شما می توانید درخواست های مکرر باج دریافت کنید. هنگامی که باج می پردازید، مجرمان سایبری که باج افزار را مستقر کرده اند می دانند که شما در رحمت آنها هستید. اگر بخواهید کمی (یا خیلی) بیشتر بپردازید، ممکن است یک کلید کار به شما بدهند.
- ممکن است یک کلید رمزگشایی دریافت کنید که کار می کند. سازندگان باج افزار در تجارت بازیابی فایل نیستند. آنها در کسب و کار پول سازی هستند. به عبارت دیگر، رمزگشایی که دریافت میکنید ممکن است به اندازه کافی خوب باشد که مجرمان بگویند معامله را متوقف کردهاند. بعلاوه، برای خود فرآیند رمزگذاری بی سابقه نیست که برخی فایل ها را بدون قابلیت تعمیر خراب کند. اگر این اتفاق بیفتد، حتی یک کلید رمزگشایی خوب هم نمیتواند قفل فایلهای شما را باز کند—برای همیشه از بین رفتهاند.
- ممکن است خودتان را به یک هدف راحت تبدیل کنید. هنگامی که باج می دهید، مجرمان می دانند که شما سرمایه خوبی هستید. سازمانی که سابقه پرداخت باج را دارد، هدف جذابتری نسبت به هدف جدیدی است که ممکن است پرداخت کند یا نپردازد. چه چیزی میتواند مانع از این میشود که همان گروه مجرمان در یک یا دو سال دیگر دوباره حمله کنند، یا وارد یک انجمن شوند و به مجرمان سایبری دیگر اعلام کنند که شما یک امتیاز آسان هستید؟
- حتی اگر همه چیز به نحوی خوب به پایان برسد، شما همچنان از فعالیت های مجرمانه حمایت مالی می کنید. بگویید که باج را پرداخت می کنید، یک کلید رمزگشای خوب دریافت می کنید و همه چیز را دوباره راه اندازی می کنید. این صرفا بهترین بدترین سناریو است (و نه فقط به این دلیل که پول زیادی از دست داده اید). وقتی باج می پردازید، در حال تامین مالی فعالیت های مجرمانه هستید. با کنار گذاشتن مفاهیم اخلاقی آشکار، این ایده را تقویت می کنید که باج افزار یک مدل تجاری است که کار می کند. (درباره آن فکر کنید—فکر میکنید اگر هیچکس باج را پرداخت نکرده باشد، آیا به باجافزار خود ادامه میدهد؟) این جنایتکاران با تقویت موفقیتهای خود و دستمزد بیش از حد خود، به خرابکاری در کسبوکارهای نامطمئن ادامه میدهند و به وقت گذاشتن و اختصاص دادن زمان و زمان ادامه خواهند داد. پول برای توسعه گونههای جدیدتر و حتی شرورتر از باجافزار – که ممکن است یکی از آنها در آینده به دستگاههای شما راه پیدا کند.