- خانه
- محصولات و خدمات
- امنیت نقاط پایانیامنیت نقاط پایانی پیشرفتهامنیت دادهامنیت زیر ساخت شبکهمدیریت فناوری اطلاعاتحفاظت الکترونیکامنیت نقاط پایانی
امنیت نقاط پایانی (Endpoint Protection Platform)
(آنتی ویروس سازمانی پادویش بیس) Padvish Base
(آنتی ویروس سازمانی پادویش کورپوریت) Padvish Corporate
Kaspersky Small Office Security
Kaspersky Endpoint Security Select
Kaspersky Endpoint Security Advanced
Kaspersky Total Security for Business
Kaspersky Endpoint Security Cloud
Kaspersky Endpoint Security Cloud Plus
Kaspersky Hybrid Cloud Security
(ضد باجگیر سازمانی پادویش) Padvish Anticrypto
Kaspersky Security for Storage
امنیت نقاط پایانی پیشرفتهمرکز کشف و پاسخ نقاط پایانی (Endpoint Detection & Response)مرکز کشف و پاسخ مدیریت شده (Managed Detection & Response)مرکز کشف و پاسخ پیشرفته (eXtended Detection & Response)امنیت دادهامنیت زیر ساخت شبکهفایروال و مدیریت یکپارچه تهدیدات (Firewall & UTM)
APK GATE Unified Threat Management
مدیریت وقایع و امنیت اطلاعات (SIEM)
مدیریت فناوری اطلاعات(Asset Management) مدیریت داراییها
(مدیریت داراییهای پادویش) Padvish AM
(Support Management) مدیریت پشتیبانی
jsjحفاظت الکترونیک
- دانلود
- مقالات
- دعوت به همکاری
- درباره ما
- تماس با ما
- فروش آنلاین
- سفارش آنتی ویروس سازمانی
بستن
باج افزار یا ویروس باجگیر چیست؟ و چگونه میتوان ransomware را از بین برد؟
فهرست مطالب
گروگانگیری سایبری
باج افزار (به انگلیسی Ransomware) نوعی از بدافزارهای رایانهای است. ویژگیای که این نوع از بدافزارها را بسیار خاص میکند؛ باج گیری آن است. باج افزارها با گروگان گرفتن اطلاعات و فایلهای شخصی قربانیان خود، از این اهرم فشار برای باج گیری استفاده میکنند. سازمانها و شرکتها در برابر این نوع از بدافزارها بسیار آسیب پذیر میباشند و در صورتی که اقدامات متناسب با سازمان اتخاذ نشود؛ اطلاعات و دادههای بسیار عظیمی در معرض خطر قرار خواهند گرفت. با توجه به گسترش روزانه باج افزارها، مقابله در برابر این حملات به چالش اصلی تیمهای امنیت سایبری تبدیل شده و کوچکترین اشتباه در انجام اقدامات پیشگیرانه یا پس از وقوع این حمله میتواند قربانیان را متحمل ضررهای بعضا جبران ناپذیری نماید. در این مقاله با انواع بدافزارهای باجگیر، روشهای مقابله و اقدامات پس از آن آشنا خواهیم شد.
باج افزار چیست؟
ماهیت اصلی باج افزارها گروگان گیری فایلها میباشد؛ روش انجام نوع جدید باج افزارها به این صورت است که بدافزاری که ویژگیهای یک تروجان را دارد به سیستم کامپیوتری افراد با استفاده از آسیب پذیریهای موجود نفوذ میکند و پس از ارتباط با تیم هکری هدایت کننده حمله و دریافت دستورات کنترلی اقدام به تغییر محتویات فایلهای قربانی میکند. تیم طراح باج افزارها آن را به گونهای برنامه نویسی میکنند که تغییرات انجام گرفته بروی فایلها قابل برگشت باشد این ویژگی توسط الگوریتمهای رمزنگاری نامتقارن(Asymmetric) و یا متقارن(Symmetric) انجام میگیرد. بدافزار با رمزگذاری بروی فایلهای قربانی آنها را غیر قابل استفاده میکند و با نمایش یک فایل متنی، به قربانی اعلام میکند که فایلهای شخصیشان در معرض خطر قرار دارد و تنها در صورت پرداخت باج، دسترسی دوباره به آنها فراهم خواهد شد.
هکرها برای دریافت باج از رمزارزها استفاده میکنند؛ چون کیف پولهای رمزارز به پنهان نگاهداشتن هویت آنان کمک میکند و به دلیل ردیابی سخت تراکنشها در بستر رمزارز، به پلتفرم بسیار جذابی برای هکرها تبدیل شده است. همچنین تعدادی نیز جهت از بین بردن آثار هرگونه نقل و انتقال رمزارزها از میکسرهای غیرقانونی در بستر دارکوب استفاده میکنند؛ تا هرگونه ردپای ناشی از انتقال مبلغ اخاذی شده را از بین ببرند.
تیمهای هدایت کننده این حملات معمولا برای ایجاد اطمینان خاطر قربانیان، تعدادی از فایلها را بدون دریافت مبلغ رمزگشایی میکنند. این عمل باعث ترغیب قربانی به پرداخت باج برای باز پسگیری فایلهای خود میشود. هکرها با تحت فشار قراردادن قربانیان با نمایش تایمر معکوس، تهدید قربانی به افشای اطلاعات در سطح اینترنت، از دست رفتن دائمی فایلها و … ، قربانی را به پرداخت سریعتر مبلغ تشویق میکنند.
عملکرد باج افزارهای مدرن
باج افزارهای جدید پس از استقرار در سیستم قربانی، ابتدا یک رشته متنی منحصر به فرد تولید میکنند و با ارسال آن به سرور کنترلی(C2 server) خود ضمن اعلام اطلاعات سیستم آلوده شده، اقدام به تولید کلیدهای رمزنگاری میکنند که معمولا از نوع نامتقارن میباشد زیرا در صورت استفاده از کلید متقارن در صورت لو رفتن کلید سیستم آلوده، قربانی قادر خواهد بود رمزگشایی را بدون پرداخت باج انجام دهد.
بدافزار پس از دریافت کلید عملیات رمزگذاری بروی دادهها رو شروع میکند. در این قسمت بنابر دادههایی که برای رمزگذاری ترجیح داده میشود؛ میتوان باج افزارها را به دو دسته کلی تقسیم کرد:
- Locker ransomware : فایلهای سیستمی رمزگذاری میگردد و کاربر به سیستم عامل دسترسی نخواهد داشت مانند باج افزار CryptoLocker
- Crypto ransomware: فایلهای شخصی هدف این نوع از باج افزارها است و کاربر همچنان قادر به استفاده از سیستم عامل خواهد بود. مانند باج افزار WannaCry
این بدافزارها قابلیت از بین بردن Shadow Copy های تمامی داریوهای متصل به سیستم، متوقف کردن سرویسهای پایگاه داده و اکتیودایرکتوری، غیرفعال کردن آنتی ویروس و گزینههای محافظتی را دارند. برای افزایش سرعت رمزگذاری، معمولا تعدادی از پسوندهای فایل توسط باج افزار نادیده گرفته میشوند و تنها فایلهایی که به احتمال زیاد دارای دادههای مهم و حیاتی میباشد رمزگذاری میشود؛ همچون: دادههای ذخیر شده در پایگاه داده، فایلهای word، excel و ..
پس از پایان عملیات رمزگذاری، یک پیغام متنی به کاربر نشان داده میشود مبنی بر اینکه فایلهایشان گروگان گرفته شده و برای آزادسازی آنها مجبور به پرداخت هزینه میباشند. در صورتی که به هیچ عنوان قادر به بازگردانی فایلهای خود از طریق بکاپ نیستید؛ یا مجبور به پرداخت باج هستید که بسیار فرآیند پرریسکی میباشد و یا از بین رفتن فایلهای خود را بپذیرید!
روشهای مقابله در برابر حمله باج افزار
همانند بدافزارهای دیگر، اصلی ترین روش تکثیر و آلوده شدن سیستمها از طریق ایمیل و دیسکهای آلوده میباشد. با توجه به عملکرد باج افزارها تنها استفاده از یک لایه امنیتی جهت پایش سیستم، در برابر باج افزارهای جدید مؤثر نخواهد بود. جهت تامین حداکثر ایمنی در برابر باج افزارها به: سیستمهای جلوگیری از نفوذ، محافظ درگاه ایمیل، ضدباج افزار با قابلیت تشخیص رفتاری، سیستم پشتیبان گیری خودکار و سیستم تشخیص دسترسی غیرمجاز نیاز خواهیم داشت.
سازمانها در کنار استفاده از تجهیزات امنیت شبکه همچون UTMو NGFW جهت جلوگیری از ورود ترافیک آلوده به درون سازمان، باید راهحلی در سمت کاربران نهایی اتخاذ نمایند که به عنوان یک لایه محافظتی مضاعف، در برابر باجگیرها عمل کند. مهمترین ویژگی آنتی ویروس جهت بهره برداری در سطح سازمان یا به عنوان کاربر خانگی به شرح زیر میباشد:
- موتور هوشمند مبتنی بر هوش مصنوعی و یادگیری ماشین
- بهروز رسانی مرتب و روزانه
- مجهز به تشخیص باج افزار بر اساس رفتار
- محافظت از بوت سیستم (MBR Protection)
- پشتیبان گیری خودکار از درایوها
- محافظت از فایلهای پشتیبان
- سیستم جلوگیری از نشت اطلاعات
- سیستم تشخیص و مقابله در برابر نفوذ
- قابلیت تشخیص وبسایتهای فیشینگ
- راهکار محافظت و پشتیبانی ابری
در صورت رمز شدن فایلها توسط ویروس باجگیر چکار کنیم؟
بنابر اهمیت فایلهایی که رمز شدهاند، رویکردهای مختلفی در مواجه با باج افزارها وجود دارد. اولین مرحله در این پروسه تشخیص حمله باج افزاری است، که نشانههایی همانند موارد زیر دارد:
- نمایش پیغام در خصوص رمز شدن فایلها و درخواست مبلغ برای بازگردانی( در برخی موارد این پیغامها توسط scareware ها نیز نمایش داده میشود)
- تغییر پسوند فایلهای شخصی به صورتی که قابل استفاده نیستند.
- بوت نشدن ویندوز که میتواند نشانه آلوده شده به نوع locker ransomware باشد.
سیستم قربانی را به سرعت قرنطینه و کلیه اتصالات آن به شبکه سازمان را قطع نمایید تا از تکثیر و آلوده شدن سیستمهای بیشتر به باج افزار جلوگیری شود. باج افزارها به دو صورت آنلاین و آفلاین اقدام به رمزگذاری بروی فایلها میکنند. در صورتی که سیستم آلوده شده به اینترنت دسترسی نداشته احتمالا رمزگذاری به صورت آفلاین انجام شده است.
در صورت عدم وجود آنتی ویروس بروی سیستم نسبت به تهیه و نصب آنتی ویروس اورجینال به همراه آخرین آپدیت برروی سیستم خود اقدام نمایید.رایانه خود را به طور کامل پاکسازی نمایید در غیر اینصورت بدافزار به حضور خود در سیستم ادامه خواهد داد. در صورتی که قادر به بوت سیستم عامل خود نیستید از دیسکهای نجات ارائه شده توسط کمپانیهای ارائه دهنده آنتی ویروس و امنیت سایبری بهرهبرداری کنید.
باج افزارها پس از رمزگذاری فایلها، پسوند منحصر به فرد خود را بروی آنها قرار میدهند، با جستجوی پسوند فایلهای رمز شده در سطح اینترنت میتوانید اطلاعات بسیار زیادی از باج افزار مدنظر به دست آورید. تعدادی از تیمهای امنیت سایبری در سطح جهان، اقدام به ارائه ابزارهای رایگان رمزگشایی فایلها مینمایند. تعدادی از آنها مطابق لیست زیر معرفی میگردد؛ البته پروسه رمزگشایی فایلها بسیار طولانی و در بسیاری از موارد یافتن کلید رمزگشایی غیر ممکن میباشد.
- ابزارهای رمزگشایی No More Ransom
- رمزگشاهای تیم امنیت سایبری کسپراسکی No Ransom Kaspersky
- AVG Free Ransomware Decryption tools
- یافتن کلید رمزگشایی با ابزار Avast
- شکستن قفل باج افزار با TrendMicro File Decryptor
- ابزارهای رایگان بازگشایی قفل Emsisoft
در صورتی که ابزار متناسب با باج افزار خود را در بین ابزارهای معرفی شده پیدا نکردید، متاسفانه شما به نوع ناشناخته و پیشرفته باج افزار دچار شدهاید. در صورتی که فایلهای رمز شده از اهمیت بسیار زیادی برخوردار میباشد و نسبت به پرداخت باج ترغیب شدهاید دست نگهدارید! زیرا هیچ تضمینی برای ارسال روش رمزگشایی توسط تیم هکری وجود ندارد و حتی ممکن است به نوع جدید از بدافزارهای پاک کننده همانند CryWiper دچار شده باشید. شدیدا پیشنهاد میگردد که در مواجهه با باج افزار از یک فرد یا تیم متخصص در این حوزه مشاوره و کمک بگیرید.
جمع بندی
از آنجایی که انگیزه بسیاری از حملات سایبری انجام شده توسط گروههای هکری، مسائل مالی میباشد؛ در سالهای اخیر شاهد رشد روز افزون تعداد باج افزارها بودهایم. هکرها با تحت فشار قرار دادن قربانی با فایلهای گروگان گرفته شده، قربانی را مجبور به پرداخت باج میکنند. تهدیدات باج افزاری بسیار جدی بوده و هیچ سازمانی یا شخصی از آن در امان نیست. بهترین رویکرد در برابر این بدافزارها، راهکارهای پیشگیرانه میباشد؛ با توجه به ماهیت روشهای رمزنگاری، فایلهای رمز شده توسط باج افزارها به سختی و با صرف منابع بسیار زیادی قابل رمزگشاییست. در بسیاری از موارد، الگوریتم استفاده شده در رمزگذاری فایلها، هرگونه احتمال رمزگشایی بدون در دست داشتن کلید رمزگشایی و با سخت افزارهای امروزی را از بین میبرند. استفاده از آنتی ویروسها با قابلیت مقابله در برابر جدیدترین باج افزارها، امنیت سایبری شما را تا حد بسیار زیادی افزایش داده و اطمینان خاطر را برای شما به ارمغان خواهد آورد.