لوگوی ارتباط افزار افق
منو
بستن
۰۲۱۹۱۳۰۵۹۷۹
٠٩٠٢٦٣٤٩٦١٦

باج افزار یا ویروس باجگیر چیست؟ و چگونه می‌توان ransomware را از بین برد؟

باج افزار چیست؟ چگونه در برابر آن مقابله کنیم؟

فهرست مطالب

گروگان‌گیری سایبری

باج افزار (به انگلیسی Ransomware) نوعی از بدافزارهای رایانه­‌ای است. ویژگی‌­ای که این نوع از بدافزارها را بسیار خاص می­کند؛ باج گیری آن است. باج افزارها با گروگان گرفتن اطلاعات و فایل­‌های شخصی قربانیان خود، از این اهرم فشار برای باج گیری استفاده می­‌کنند. سازمان­‌ها و شرکت­‌ها در برابر این نوع از بدافزارها بسیار آسیب پذیر می­‌باشند و در صورتی که اقدامات متناسب با سازمان اتخاذ نشود؛ اطلاعات و داده­‌های بسیار عظیمی در معرض خطر قرار خواهند گرفت. با توجه به گسترش روزانه باج­ افزارها، مقابله در برابر این حملات به چالش اصلی تیم­‌های امنیت سایبری تبدیل شده و کوچک­ترین اشتباه در انجام اقدامات پیشگیرانه یا پس از وقوع این حمله می­تواند قربانیان را متحمل ضررهای بعضا جبران ناپذیری نماید. در این مقاله با انواع بدافزارهای باج­گیر، روش­‌های مقابله و اقدامات پس از آن آشنا خواهیم شد.

باج افزار چیست؟

ماهیت اصلی باج­ افزارها گروگان گیری فایل‌ها می‌­باشد؛ روش انجام نوع جدید باج­ افزارها به این صورت است که بدافزاری که ویژگی­‌های یک تروجان را دارد به سیستم کامپیوتری افراد با استفاده از آسیب پذیری­‌های موجود نفوذ می­‌کند و پس از ارتباط با تیم هکری هدایت کننده حمله و دریافت دستورات کنترلی اقدام به تغییر محتویات فایل‌­های قربانی می­‌کند. تیم طراح باج­ افزارها آن را به گونه‌­ای برنامه نویسی می­‌کنند که تغییرات انجام گرفته بروی فایل­‌ها قابل برگشت باشد این ویژگی توسط الگوریتم‌­های رمزنگاری نامتقارن(Asymmetric) و یا متقارن(Symmetric) انجام می‌­گیرد. بدافزار با رمزگذاری بروی فایل­‌های قربانی آن­ها را غیر قابل استفاده می‌­کند و با نمایش یک فایل متنی، به قربانی اعلام می‌­کند که فایل­‌های شخصی­‌شان در معرض خطر قرار دارد و تنها در صورت پرداخت باج، دسترسی دوباره به آن­ها فراهم خواهد شد.

هکرها برای دریافت باج از رمزارزها استفاده می­‌کنند؛ چون کیف پول‌­های رمزارز به پنهان نگاه‌داشتن هویت آنان کمک می­‌کند و به دلیل ردیابی سخت تراکنش­‌ها در بستر رمزارز، به پلتفرم بسیار جذابی برای هکرها تبدیل شده است. همچنین تعدادی نیز جهت از بین بردن آثار هرگونه نقل و انتقال رمزارزها از میکسرهای غیرقانونی در بستر دارک‌وب استفاده می­‌کنند؛ تا هرگونه ردپای ناشی از انتقال مبلغ اخاذی شده را از بین ببرند.

تیم­‌های هدایت کننده این حملات معمولا برای ایجاد اطمینان خاطر قربانیان، تعدادی از فایل­ها را بدون دریافت مبلغ رمزگشایی می­‌کنند. این عمل باعث ترغیب قربانی به پرداخت باج برای باز پس‌گیری فایل­‌های خود می­‌شود. هکرها با تحت فشار قراردادن قربانیان با نمایش تایمر معکوس، تهدید قربانی به افشای اطلاعات در سطح اینترنت، از دست رفتن دائمی فایل­ها و …  ، قربانی را به پرداخت سریع­تر مبلغ تشویق می­‌کنند.

نحوه عملکرد باج افزار

عملکرد باج‌ افزارهای مدرن

باج افزارهای جدید پس از استقرار در سیستم قربانی، ابتدا یک رشته متنی منحصر به فرد تولید می‌­کنند و با ارسال آن به سرور کنترلی(C2 server) خود ضمن اعلام اطلاعات سیستم آلوده شده، اقدام به تولید کلیدهای رمزنگاری می­‌کنند که معمولا از نوع نامتقارن می­‌باشد زیرا در صورت استفاده از کلید متقارن در صورت لو رفتن کلید سیستم آلوده، قربانی قادر خواهد بود رمزگشایی را بدون پرداخت باج انجام دهد.  

بدافزار پس از دریافت کلید عملیات رمزگذاری بروی داده­‌ها رو شروع می­‌کند. در این قسمت بنابر داده­‌هایی که برای رمزگذاری ترجیح داده می‌شود؛ می­توان باج­ افزارها را به دو دسته کلی تقسیم کرد:

  • Locker ransomware : فایل­‌های سیستمی رمزگذاری می­‌گردد و کاربر به سیستم عامل دسترسی نخواهد داشت مانند باج افزار CryptoLocker
  • Crypto ransomware: فایل‌­های شخصی هدف این نوع از باج افزارها است و کاربر همچنان قادر به استفاده از سیستم عامل خواهد بود. مانند باج افزار WannaCry

این بدافزارها قابلیت از بین بردن Shadow Copy های تمامی داریوهای متصل به سیستم، متوقف کردن سرویس­‌های پایگاه‌ داده و اکتیودایرکتوری، غیرفعال کردن آنتی ویروس­ و گزینه‌­های محافظتی را دارند. برای افزایش سرعت رمزگذاری، معمولا تعدادی از پسوندهای فایل توسط باج ­افزار نادیده گرفته می­‌شوند و تنها فایل­‌هایی که به احتمال زیاد دارای داده­‌های مهم و حیاتی می­‌باشد رمزگذاری می‌­شود؛ همچون: داده‌­های ذخیر شده در پایگاه­ داده، فایل­های word، excel و ..

پس از پایان عملیات رمزگذاری، یک پیغام متنی به کاربر نشان داده می­‌شود مبنی بر اینکه فایل­‌هایشان گروگان گرفته شده و برای آزادسازی آنها مجبور به پرداخت هزینه ­می­‌باشند. در صورتی که به هیچ عنوان قادر به بازگردانی فایل­های خود از طریق بکاپ نیستید؛ یا مجبور به پرداخت باج هستید که بسیار فرآیند پرریسکی می­‌باشد و یا از بین رفتن فایل­های خود را بپذیرید! 

نمونه متن ایجاد شده با محتوای تهدید آمیز توسط باج افزار LockBit
نمونه متن ایجاد شده با محتوای تهدید آمیز توسط باج افزار LockBit

روش‌های مقابله در برابر حمله باج افزار

همانند بدافزارهای دیگر، اصلی ترین روش تکثیر و آلوده شدن سیستم‌­ها از طریق ایمیل و دیسک‌­های آلوده می­‌باشد. با توجه به عملکرد باج افزارها تنها استفاده از یک لایه امنیتی جهت پایش سیستم، در برابر باج افزارهای جدید مؤثر نخواهد بود. جهت تامین حداکثر ایمنی در برابر باج افزارها به: سیستم­‌های جلوگیری از نفوذ، محافظ درگاه ایمیل، ضدباج افزار با قابلیت تشخیص رفتاری، سیستم پشتیبان گیری خودکار و سیستم تشخیص دسترسی غیرمجاز نیاز خواهیم داشت.

سازمان­‌ها در کنار استفاده از تجهیزات امنیت شبکه همچون UTMو NGFW جهت جلوگیری از ورود ترافیک آلوده به درون سازمان، باید راه­‌حلی در سمت کاربران نهایی اتخاذ نمایند که به عنوان یک لایه محافظتی مضاعف، در برابر باج­گیرها عمل کند. مهمترین ویژگی آنتی ویروس­ جهت بهره برداری در سطح سازمان یا به عنوان کاربر خانگی به شرح زیر می­‌باشد:

  1. موتور هوشمند مبتنی بر هوش مصنوعی و یادگیری ماشین
  2. به‌روز رسانی مرتب و روزانه
  3. مجهز به تشخیص باج افزار بر اساس رفتار
  4. محافظت از بوت سیستم (MBR Protection)
  5. پشتیبان گیری خودکار از درایوها
  6. محافظت از فایل­‌های پشتیبان
  7. سیستم جلوگیری از نشت اطلاعات
  8. سیستم تشخیص و مقابله در برابر نفوذ
  9. قابلیت تشخیص وبسایت­‌های فیشینگ
  10. راهکار محافظت و پشتیبانی ابری

در صورت رمز شدن فایل‌ها توسط ویروس باجگیر چکار کنیم؟

بنابر اهمیت فایل‌­هایی که رمز شده‌­اند، رویکردهای مختلفی در مواجه با باج ­افزارها وجود دارد. اولین مرحله در این پروسه تشخیص حمله باج افزاری است، که نشانه­‌هایی همانند موارد زیر دارد:

  1. نمایش پیغام در خصوص رمز شدن فایل­ها و درخواست مبلغ برای بازگردانی( در برخی موارد این پیغام­‌ها توسط scareware ها نیز نمایش داده می­‌شود)
  2. تغییر پسوند فایل­‌های شخصی به صورتی که قابل استفاده نیستند.
  3. بوت نشدن ویندوز که می­تواند نشانه آلوده شده به نوع locker ransomware باشد.

سیستم قربانی را به سرعت قرنطینه و کلیه اتصالات آن به شبکه سازمان را قطع نمایید تا از تکثیر و آلوده شدن سیستم­‌های بیشتر به باج­ افزار جلوگیری شود. باج ­افزارها به دو صورت آنلاین و آفلاین اقدام به رمزگذاری بروی فایل­‌ها می‌کنند. در صورتی که سیستم آلوده شده به اینترنت دسترسی نداشته احتمالا رمزگذاری به صورت آفلاین انجام شده است.

در صورت عدم وجود آنتی ویروس بروی سیستم نسبت به تهیه و نصب آنتی ویروس اورجینال به همراه آخرین آپدیت برروی سیستم خود اقدام نمایید.رایانه خود را به طور کامل پاکسازی نمایید در غیر اینصورت بدافزار به حضور خود در سیستم ادامه خواهد داد. در صورتی که قادر به بوت سیستم عامل خود نیستید از دیسک­‌های نجات ارائه شده توسط کمپانی­‌های ارائه دهنده آنتی ویروس و امنیت سایبری بهره‌­برداری کنید.

باج افزارها پس از رمزگذاری فایل­ها، پسوند منحصر به فرد خود را بروی آنها قرار می‌­دهند، با جستجوی پسوند فایل­‌های رمز شده در سطح اینترنت می­‌توانید اطلاعات بسیار زیادی از باج ­افزار مدنظر به دست آورید. تعدادی از تیم­‌های امنیت سایبری در سطح جهان، اقدام به ارائه ابزارهای رایگان رمزگشایی فایل­ها می­‌نمایند. تعدادی از آنها مطابق لیست زیر معرفی می­‌گردد؛ البته پروسه رمزگشایی فایل­ها بسیار طولانی و در بسیاری از موارد یافتن کلید رمزگشایی غیر ممکن می‌باشد.

  1. ابزارهای رمزگشایی No More Ransom
  2. رمزگشاهای تیم امنیت سایبری کسپراسکی No Ransom Kaspersky
  3. AVG Free Ransomware Decryption tools
  4. یافتن کلید رمزگشایی با ابزار Avast
  5. شکستن قفل باج ­افزار با TrendMicro File Decryptor
  6. ابزارهای رایگان بازگشایی قفل Emsisoft

در صورتی که ابزار متناسب با باج ­افزار خود را در بین ابزارهای معرفی شده پیدا نکردید، متاسفانه شما به نوع ناشناخته و پیشرفته باج ­افزار دچار شده­‌اید. در صورتی که فایل­‌های رمز شده از اهمیت بسیار زیادی برخوردار می­‌باشد و نسبت به پرداخت باج ترغیب شده‌­اید دست نگه‌دارید! زیرا هیچ تضمینی برای ارسال روش رمزگشایی توسط تیم هکری وجود ندارد و حتی ممکن است به نوع جدید از بدافزارهای پاک کننده همانند CryWiper دچار شده باشید. شدیدا پیشنهاد می­‌گردد که در مواجهه با باج ­افزار از یک فرد یا تیم متخصص در این حوزه مشاوره و کمک بگیرید.

جمع بندی

از آنجایی که انگیزه بسیاری از حملات سایبری انجام شده توسط گروه­های هکری، مسائل مالی می‌­باشد؛ در سال­‌های اخیر شاهد رشد روز افزون تعداد باج ­افزارها بوده‌ایم. هکرها با تحت فشار قرار دادن قربانی با فایل­های گروگان گرفته شده، قربانی را مجبور به پرداخت باج می­‌کنند. تهدیدات باج ­افزاری بسیار جدی بوده و هیچ سازمانی یا شخصی از آن در امان نیست. بهترین رویکرد در برابر این بدافزارها، راهکارهای پیشگیرانه می­‌باشد؛ با توجه به ماهیت روش‌­های رمزنگاری، فایل­‌های رمز شده توسط باج افزارها به سختی و با صرف منابع بسیار زیادی قابل رمزگشاییست. در بسیاری از موارد، الگوریتم استفاده شده در رمزگذاری فایل­ها، هرگونه احتمال رمزگشایی بدون در دست داشتن کلید رمزگشایی و با سخت افزارهای امروزی را از بین می­‌برند. استفاده از آنتی ویروس­‌ها با قابلیت مقابله در برابر جدیدترین باج­ افزارها، امنیت سایبری شما را تا حد بسیار زیادی افزایش داده و اطمینان خاطر را برای شما به ارمغان خواهد آورد.