باج افزار چیست ؟

چرا یافتن عاملان باج افزار اینقدر سخت است؟

استفاده از ارزهای دیجیتال ناشناس برای پرداخت، مانند بیت کوین، دنبال کردن مسیر پول و ردیابی مجرمان را دشوار می کند. به طور فزاینده ای، گروه های جرایم سایبری در حال ابداع طرح های باج افزار برای کسب سود سریع هستند. در دسترس بودن آسان کد منبع باز و پلتفرم‌های کشیدن و رها کردن برای توسعه باج‌افزار، ایجاد انواع باج‌افزار جدید را تسریع کرده است و به تازه‌کاران اسکریپت کمک می‌کند تا باج‌افزار خود را بسازند. به طور معمول، بدافزارهای پیشرفته مانند باج افزارها از نظر طراحی چند شکلی هستند، که به مجرمان سایبری اجازه می دهد تا به راحتی امنیت مبتنی بر امضای سنتی را بر اساس هش فایل دور بزنند.

چگونه در برابر باج افزارها دفاع کنیم

برای جلوگیری از باج افزار و کاهش آسیب در صورت حمله، نکات زیر را دنبال کنید:

• از داده های خود نسخه پشتیبان تهیه کنید . بهترین راه برای جلوگیری از تهدید قفل شدن فایل‌های حیاتی خود این است که اطمینان حاصل کنید که همیشه نسخه‌های پشتیبان از آن‌ها، ترجیحاً در فضای ابری و یک هارد دیسک اکسترنال در اختیار دارید. به این ترتیب، اگر به یک باج افزار آلوده شدید، می توانید رایانه یا دستگاه خود را پاک کنید و فایل های خود را از نسخه پشتیبان دوباره نصب کنید. این کار از داده های شما محافظت می کند و وسوسه نمی شوید که با پرداخت باج به نویسندگان بدافزار پاداش دهید. پشتیبان گیری از باج افزار جلوگیری نمی کند، اما می تواند خطرات را کاهش دهد.
• پشتیبان های خود را ایمن کنید. اطمینان حاصل کنید که داده‌های پشتیبان شما برای اصلاح یا حذف از سیستم‌هایی که داده‌ها در آن قرار دارند در دسترس نیست. باج افزار به دنبال پشتیبان گیری از داده ها می گردد و آنها را رمزگذاری یا حذف می کند تا نتوان آنها را بازیابی کرد، بنابراین از سیستم های پشتیبان گیری استفاده کنید که اجازه دسترسی مستقیم به فایل های پشتیبان را نمی دهند.
• از نرم افزارهای امنیتی استفاده کنید و آن را به روز نگه دارید. اطمینان حاصل کنید که همه رایانه ها و دستگاه های شما با نرم افزار امنیتی جامع محافظت می شوند و همه نرم افزارهای خود را به روز نگه دارید. مطمئن شوید که نرم‌افزار دستگاه‌هایتان را زود و اغلب به‌روزرسانی می‌کنید، زیرا معمولاً در هر به‌روزرسانی، وصله‌هایی برای نقص‌ها وجود دارد.
• گشت و گذار ایمن در اینترنت را تمرین کنید. مراقب باشید کجا کلیک می کنید. به ایمیل‌ها و پیام‌های متنی افرادی که نمی‌شناسید پاسخ ندهید و فقط برنامه‌ها را از منابع مطمئن دانلود کنید. این مهم است زیرا نویسندگان بدافزار اغلب از مهندسی اجتماعی استفاده می کنند تا شما را وادار به نصب فایل های خطرناک کنند.
• فقط از شبکه های امن استفاده کنید. از استفاده از شبکه های Wi-Fi عمومی خودداری کنید، زیرا بسیاری از آنها ایمن نیستند و مجرمان سایبری می توانند استفاده از اینترنت شما را زیر نظر بگیرند. در عوض، نصب VPN را در نظر بگیرید، که بدون توجه به جایی که می روید، اتصال ایمن به اینترنت را برای شما فراهم می کند.
• در جریان باشید . در جریان آخرین تهدیدات باج افزار باشید تا بدانید که باید مراقب چه چیزی باشید. در صورتی که به یک باج افزار آلوده شده اید و از همه فایل های خود نسخه پشتیبان تهیه نکرده اید، بدانید که برخی از ابزارهای رمزگشایی توسط شرکت های فناوری برای کمک به قربانیان در دسترس هستند.
• اجرای یک برنامه آموزشی امنیتی برای هر یک از اعضای سازمان خود آموزش های آگاهی امنیتی منظم ارائه دهید تا بتوانند از فیشینگ و سایر حملات مهندسی اجتماعی جلوگیری کنند. تمرینات و آزمایشات منظم را برای اطمینان از رعایت آموزش انجام دهید.

9 مرحله برای پاسخ به حمله باج افزار

اگر مشکوک هستید که مورد حمله باج افزار قرار گرفته اید، مهم است که سریع عمل کنید. خوشبختانه، چندین مرحله وجود دارد که می توانید انجام دهید تا بهترین شانس ممکن را برای به حداقل رساندن آسیب و بازگشت سریع به تجارت معمول داشته باشید.

1. دستگاه آلوده را ایزوله کنید : باج افزاری که یک دستگاه را تحت تأثیر قرار می دهد یک ناراحتی متوسط ​​است. باج افزاری که اجازه دارد همه دستگاه های شرکت شما را آلوده کند، یک فاجعه بزرگ است و می تواند شما را برای همیشه از کار بیاندازد. تفاوت بین این دو اغلب به زمان واکنش باز می گردد. برای اطمینان از ایمنی شبکه، درایوهای اشتراک‌گذاری و سایر دستگاه‌ها، ضروری است که دستگاه آسیب‌دیده را در اسرع وقت از شبکه، اینترنت و سایر دستگاه‌ها جدا کنید. هر چه زودتر این کار را انجام دهید، احتمال آلوده شدن دستگاه های دیگر کمتر می شود.
2. گسترش را متوقف کنید:  از آنجا که باج افزار به سرعت حرکت می کند – و دستگاه دارای باج افزار لزوما بیمار صفر نیست – جداسازی فوری دستگاه آلوده تضمین نمی کند که باج افزار در جای دیگری از شبکه شما وجود نداشته باشد. برای محدود کردن مؤثر دامنه آن، باید همه دستگاه‌هایی را که رفتار مشکوکی دارند، از جمله دستگاه‌هایی که خارج از محل کار می‌کنند، از شبکه جدا کنید. خاموش کردن اتصال بی سیم (Wi-Fi، بلوتوث و غیره) در این مرحله نیز ایده خوبی است.
3. ارزیابی خسارت: برای تعیین اینکه کدام دستگاه‌ها آلوده شده‌اند، فایل‌های رمزگذاری‌شده اخیر با نام‌های پسوند فایل عجیب را بررسی کنید و به دنبال گزارش‌هایی از نام‌های عجیب و غریب فایل یا کاربرانی که در باز کردن فایل‌ها مشکل دارند، بگردید. اگر دستگاه‌هایی را پیدا کردید که کاملاً رمزگذاری نشده‌اند، باید آن‌ها را ایزوله کرده و خاموش کنید تا از حمله جلوگیری شود و از آسیب بیشتر و از دست رفتن داده‌ها جلوگیری شود. هدف شما ایجاد لیستی جامع از همه سیستم‌های آسیب‌دیده، از جمله دستگاه‌های ذخیره‌سازی شبکه، فضای ذخیره‌سازی ابری، فضای ذخیره‌سازی هارد اکسترنال (از جمله درایوهای USB)، لپ‌تاپ‌ها، تلفن‌های هوشمند و هر عامل احتمالی دیگر است. در این مرحله، قفل کردن سهام عاقلانه است. در صورت امکان همه آنها باید محدود شوند. اگر نه، تا جایی که می توانید محدود کنید. انجام این کار هرگونه فرآیند رمزگذاری مداوم را متوقف می کند و همچنین از آلوده شدن سهام اضافی در حین انجام اصلاح جلوگیری می کند. اما قبل از انجام این کار، باید نگاهی به اشتراک گذاری های رمزگذاری شده بیندازید. انجام این کار می‌تواند اطلاعات مفیدی را ارائه دهد: اگر تعداد فایل‌های باز یک دستگاه بسیار بیشتر از حد معمول باشد، ممکن است بیمار صفر خود را پیدا کرده باشید. در غیر این صورت…
4. پیدا کردن بیمار صفر : ردیابی عفونت به محض شناسایی منبع بسیار آسان تر می شود. برای انجام این کار، هشدارهایی را که ممکن است از آنتی ویروس/ضد بدافزار، EDR یا هر پلتفرم نظارتی فعال شما آمده باشد، بررسی کنید. و از آنجایی که اکثر باج افزارها از طریق لینک های ایمیل مخرب و پیوست ها وارد شبکه می شوند که نیاز به اقدام کاربر نهایی دارند، پرسیدن از افراد در مورد فعالیت های آنها (مانند باز کردن ایمیل های مشکوک) و آنچه که متوجه شده اند نیز می تواند مفید باشد. در نهایت، نگاهی به ویژگی‌های خود فایل‌ها نیز می‌تواند سرنخی ارائه دهد – شخصی که به عنوان مالک فهرست شده است احتمالاً نقطه ورود است. (با این حال به خاطر داشته باشید که ممکن است بیش از یک بیمار صفر وجود داشته باشد!)
5. باج افزار را شناسایی کنید : قبل از اینکه جلوتر بروید، مهم است که کشف کنید با کدام نوع باج افزار سروکار دارید. یکی از راه‌ها بازدید از No More Ransom است، این سایت دارای مجموعه‌ای از ابزارها است که به شما کمک می‌کند تا داده‌های خود را آزاد کنید، از جمله ابزار Crypto Sheriff: فقط یکی از فایل‌های رمزگذاری‌شده خود را آپلود کنید و آن را برای یافتن مطابقت اسکن می‌کند. همچنین می‌توانید از اطلاعات موجود در یادداشت باج‌گیری استفاده کنید: اگر نوع باج‌افزار را مستقیماً بیان نمی‌کند، استفاده از یک موتور جستجو برای استعلام آدرس ایمیل یا خود یادداشت می‌تواند کمک کند. هنگامی که باج افزار را شناسایی کردید و کمی تحقیقات سریع در مورد رفتار آن انجام دادید، باید در اسرع وقت به همه کارمندانی که تحت تأثیر قرار نگرفته بودند هشدار دهید تا بدانند چگونه علائم آلوده شدن خود را تشخیص دهند.
6. باج‌افزار را به مقامات گزارش دهید : به محض اینکه باج‌افزار محتوی شد، به دلایل مختلفی می‌خواهید با مجری قانون تماس بگیرید. اول از همه، باج افزار خلاف قانون است و مانند هر جرم دیگری، باید به مقامات مربوطه گزارش شود. ثانیاً، طبق گفته دفتر تحقیقات فدرال ایالات متحده، «ممکن است مجریان قانون بتوانند از مراجع قانونی و ابزارهایی استفاده کنند که برای اکثر سازمان‌ها در دسترس نیست». می توان از مشارکت با مجریان قانون بین المللی برای کمک به یافتن داده های سرقت شده یا رمزگذاری شده استفاده کرد و عاملان آن را به دست عدالت آورد. در نهایت، این حمله ممکن است پیامدهای انطباق داشته باشد: طبق شرایط GDPR، اگر ظرف 72 ساعت پس از نقض اطلاعات شهروندان اتحادیه اروپا به ICO اطلاع ندهید، کسب و کار شما ممکن است جریمه های سنگینی را متحمل شود.
7. بک آپ های خود را ارزیابی کنید: اکنون زمان شروع فرآیند پاسخ است. سریع ترین و ساده ترین راه برای انجام این کار این است که سیستم های خود را از یک نسخه پشتیبان بازیابی کنید. در حالت ایده‌آل، یک نسخه پشتیبان غیر آلوده و کامل خواهید داشت که اخیراً به اندازه کافی مفید باشد. اگر چنین است، گام بعدی استفاده از یک راه حل آنتی ویروس/ضد بدافزار برای اطمینان از پاک شدن همه سیستم‌ها و دستگاه‌های آلوده از باج‌افزار است – در غیر این صورت سیستم شما را قفل می‌کند و فایل‌های شما را رمزگذاری می‌کند و احتمالاً نسخه پشتیبان شما را خراب می‌کند. هنگامی که همه آثار بدافزار از بین رفت، می‌توانید سیستم‌های خود را از این نسخه پشتیبان بازیابی کنید و – پس از تأیید اینکه همه داده‌ها بازیابی شده‌اند و همه برنامه‌ها و فرآیندها به طور معمول پشتیبان‌گیری می‌شوند و به طور معمول اجرا می‌شوند – به حالت عادی بازگردید. . متأسفانه، بسیاری از سازمان ها تا زمانی که به آنها نیاز نداشته باشند و در آنجا نباشند، اهمیت ایجاد و نگهداری نسخه پشتیبان را درک نمی کنند.
8. در مورد گزینه های رمزگشایی خود تحقیق کنید:  اگر خود را بدون پشتیبان گیری مناسب می بینید، هنوز این شانس وجود دارد که بتوانید داده های خود را پس بگیرید. تعداد فزاینده ای از کلیدهای رمزگشایی رایگان را می توان در  No More Ransom پیدا کرد . اگر باج‌افزاری که با آن سروکار دارید در دسترس باشد (و با فرض اینکه تاکنون تمام آثار بدافزار را از سیستم خود پاک کرده‌اید)، می‌توانید از کلید رمزگشایی برای باز کردن قفل داده‌های خود استفاده کنید. با این حال، حتی اگر به اندازه کافی خوش شانس باشید که یک رمزگشا پیدا کنید، اما هنوز کارتان تمام نشده است – همچنان می توانید منتظر ساعت ها یا روزها توقف در هنگام کار بر روی اصلاح باشید.
9. ادامه دهید:  متأسفانه، اگر هیچ نسخه پشتیبان قابل اجرا ندارید و نمی توانید کلید رمزگشایی را پیدا کنید، تنها گزینه شما ممکن است کاهش ضرر و شروع از ابتدا باشد. بازسازی فرآیندی سریع یا کم هزینه نخواهد بود، اما هنگامی که گزینه های دیگر خود را تمام کردید، بهترین کاری است که می توانید انجام دهید.