باج افزار (Ransomware) چیست؟ بهترین روش‌های حذف باج افزار

در عصر حاضر، جرایم سایبری به یک نگرانی اصلی برای افراد و سازمان‌ها تبدیل شده است. یکی از موذی‌ ترین شکل‌های جرایم سایبری، باج افزار است. نوعی بدافزار که داده‌های قربانی را رمزگذاری می‌کند و در ازای دریافت کلید رمزگشایی، درخواست پرداخت پول می‌کند.

در این مقاله، به سوالاتی مانند باج افزار چیست، چگونه کار می‌کند، چند نمونه از انواع باج افزارهای معروف، روش‌های پیشگیری، مراحل حملات باج افزار موبایل، اقداماتی که در صورت آلوده شدن به باج افزار باید انجام دهیم و بهترین راه‌های حذف آن پاسخ می‌دهیم.

باج افزار چیست؟

همانطور که گفتیم، باج افزار نوعی نرم افزار مخرب است که داده‌های قربانی را رمزگذاری می‌کند و در ازای دریافت کلید رمزگشایی درخواست پول می‌کند. فرآیند رمزگذاری داده‌ها را برای قربانی غیر قابل دسترسی می‌کند و استفاده یا بازیابی بدون کلید رمزگشایی را غیرممکن می‌کند.

باج افزار می‌تواند رایانه‌ها، سرورها و دستگاه‌های تلفن همراه را از طریق روش‌های مختلفی مانند ایمیل‌های فیشینگ، وب‌سایت‌های مخرب یا نرم‌افزارهای مخرب، آلوده کند.

باج افزار چگونه کار می‌کند؟

باج افزار با سوء استفاده از آسیب‌پذیری‌ها در نرم‌افزار یا سیستم‌ عامل‌ها برای دسترسی به سیستم قربانی کار می‌کند. بدافزار یا همان Malware پس از داخل شدن، داده‌های قربانی را با استفاده از الگوریتم‌های رمزگذاری قوی، رمزگذاری می‌کند که شکستن آنها دشوار است.

پيشنهاد وب رمز: بد افزار Darkleech وردپرس، علت آلودگی Psuedo-Darkleech

سپس در ازای دریافت کلید رمزگشایی، به قربانی تقاضای باج داده می‌شود. تقاضای باج ممکن است بسته به نوع باج افزار و ارزش داده‌های رمزگذاری شده متفاوت باشد. برخی از گونه‌های باج افزار نیز تهدید می‌کنند که در صورت برآورده نشدن درخواست باج، داده‌های قربانی را حذف یا منتشر می‌کنند.

چند نمونه از معروف ترین باج افزارهای شناخته شده

۱- GPCode: اولین باج افزار در سال 2004

GPCode یکی از اولین اشکال باج افزار بود که در سال 2004 کشف شد. این باج افزار از طریق نرم افزارهای آلوده منتشر شد و در ازای رمزگشایی درخواست پول کرد. GPCode از الگوریتم‌های رمزگذاری ضعیفی استفاده می‌کرد که به راحتی توسط کارشناسان امنیتی شکسته می‌شد.

۲- WinLock: اولین باج افزار لاکر

این باج افزار در سال 2014 کشف شد و یکی از اولین اشکال Ransomware بود که از الگوریتم‌های رمزگذاری قوی استفاده می‌کرد. این باج افزار سیستم‌های ویندوز را هدف قرار داده و در ازای رمزگشایی، درخواست پرداخت به بیت‌کوین را داشت.

وین لاک همچنین از تاکتیک‌های مهندسی اجتماعی برای فریب کاربران برای پرداخت باج با نمایش هشدارهای جعلی پلیس و تهدید به اقدام قانونی استفاده کرد.

۳- Reveton: اولین باج افزار مالی

Reveton در سال 2012 کشف شد و یکی از اولین اشکال باج افزاری بود که موسسات مالی را هدف قرار داد. این باج افزار از تاکتیک‌های مهندسی اجتماعی استفاده کرد تا کاربران را فریب دهد تا تصور کنند مرتکب جرمی‌ شده‌اند و در ازای رمزگشایی درخواست پرداخت پول کرد. Reveton همچنین از الگوریتم‌های رمزگذاری قوی استفاده کرد که شکستن آن‌ها دشوار بود.

۴- CryptoLocker

کریپتو لاکر در سال 2013 کشف شد و یکی از بدنام ترین اشکال باج افزار به دلیل کارایی آن در رمزگذاری داده‌ها و درخواست باج‌های بالا بود. این باج افزار  سیستم‌های ویندوز را هدف قرار داده و در ازای رمزگشایی، درخواست پرداخت به بیت‌کوین را داشت.

CryptoLocker از الگوریتم‌های رمزگذاری قوی استفاده کرد که شکستن آن‌ها دشوار بود و از تاکتیک‌های مهندسی اجتماعی برای فریب کاربران با نمایش هشدارهای پلیسی جعلی و تهدید به اقدام قانونی استفاده کرد.

۵- ScareMeNot و ScarePackage

این دو سویه در سال 2016 کشف شدند و دستگاه‌های اندرویدی را هدف قرار دادند. آنها از تاکتیک‌های مهندسی اجتماعی برای فریب کاربران برای دانلود برنامه‌های آلوده از فروشگاه‌های برنامه شخص ثالث استفاده کردند و در ازای رمزگشایی درخواست پرداخت پول کردند.

ScareMeNot همچنین از اخطارهای جعلی پلیس و تهدید به اقدام قانونی برای وادار کردن کاربران به پرداخت باج استفاده کرد.

روش‌های نفوذ باج افزارها

۱- ایمیل‌های فیشینگ

ایمیل‌های فیشینگ یکی از رایج ترین روش‌هایی است که مجرمان سایبری برای انتشار باج افزار استفاده می‌کنند. این ایمیل‌ها حاوی پیوست‌ها یا لینک‌های مخربی هستند که با کلیک یا دانلود، سیستم قربانی را با باج افزار آلوده می‌کنند.

ایمیل‌های فیشینگ اغلب مشروع به نظر می‌رسند، مانند صورت‌حساب‌های بانکی، که باعث می‌شود قربانیان به راحتی طعمه آنها شوند.

۲- وب سایت‌های مخرب

مجرمان سایبری همچنین می‌توانند باج افزار را از طریق وب سایت‌های مخربی که حاوی محتوای آلوده یا پیوندهایی هستند که به وب سایت‌های آلوده منتهی می‌شوند، گسترش دهند.

قربانیان می‌توانند با مراجعه به این وب سایت‌ها یا کلیک کردن روی پیوندهای آلوده در آنها، گرفتار باج افزار شوند. تشخیص وب‌سایت‌های مخرب از وب‌سایت‌های قانونی ممکن است دشوار باشد، و قربانیان بدون اینکه بدانند به راحتی آلوده می‌شوند.

۳- نرم افزار آلوده

مجرمان سایبری می‌توانند باج افزار را از طریق نرم افزارهای آلوده هم منتشر کنند، مانند نرم افزارهای دزدی یا نسخه‌های کرک شده نرم افزارهای دارای مجوز. این نسخه‌ها اغلب حاوی بدافزار (تروجان) پنهانی هستند که هنگام نصب یا اجرا، سیستم قربانی را آلوده می‌کند.

تشخیص نرم‌افزارهای آلوده از نرم‌افزارهای قانونی دشوار است، و این امر باعث می‌شود قربانیان بدون اینکه بدانند آلوده شوند.

۴- آسیب پذیری‌های نرم افزاری

مهاجمان از آسیب پذیری‌های موجود در نرم افزار یا سیستم عامل‌ها برای دسترسی به دستگاه قربانی و نصب باج افزار سوء استفاده می‌کنند. 

۵- تبلیغات آلوده

برخی مهاجمان از تبلیغات مخرب استفاده می‌کنند تا قربانیان را به وب‌سایت‌هایی هدایت کنند که باج افزار را روی دستگاه‌هایشان دانلود می‌کنند.

۶- دانلودهای Drive-by

مهاجمان از وب سایت‌های در معرض خطر برای دانلود خودکار باج افزار بر روی دستگاه قربانی بدون اطلاع یا رضایت آنها، استفاده می‌کنند.

نحوه ظاهر شدن باج افزار در سیستم

۱- صفحه سیاه یا تاریک

یکی از روش‌های رایج مورد استفاده توسط مجرمان سایبری، نمایش یک صفحه سیاه یا تاریک با پیامی‌ است که در ازای رمزگشایی، هنگامی‌ که سیستم قربانی به باج افزار آلوده می‌شود، درخواست پرداخت پول می‌کند.

این صفحه ممکن است حاوی اخطارهای جعلی پلیس یا تهدیدهای قانونی برای وادار کردن قربانیان به پرداخت سریع باج نیز باشد.

۲- خرابی سیستم

روش دیگری که توسط مجرمان سایبری استفاده می‌شود، نمایش پیامی‌ است مبنی بر اینکه سیستم قربانی از کار افتاده یا به دلیل نقص امنیتی یا آلوده شدن به ویروس، قفل شده است. 

۳- پاپ آپ‌های بی نهایت

مجرمان سایبری همچنین می‌توانند از پنجره‌های بازشو بی نهایت به عنوان روشی برای انتشار باج افزار با نمایش مکرر پاپ آپ‌ها استفاده کنند تا زمانی که قربانی روی آنها کلیک کند یا پیوست یا پیوند آلوده را دانلود کند.

این پنجره‌های بازشو ممکن است حاوی هشدارهای پلیسی جعلی یا تهدیدهای قانونی برای وادار کردن قربانیان به پرداخت سریع پول باشد.

راه‌های جلوگیری از باج افزار

۱- نرم افزار و سیستم عامل خود را به روز نگه دارید

یکی از راه‌های جلوگیری از باج افزار این است که نرم افزار خود را با آخرین وصله‌ها و به‌روزرسانی‌های ارائه شده توسط سازندگان و توسعه دهندگان به‌روز نگه دارید. این به‌روزرسانی‌ها اغلب حاوی اصلاحات امنیتی هستند که آسیب پذیری‌های شناخته شده‌ای را که می‌توانند توسط مجرمان سایبری برای انتشار باج افزار مورد سوء استفاده قرار گیرند، برطرف می‌کند.

۲- استفاده از رمزهای عبور قوی

راه دیگر برای جلوگیری از باج افزار، استفاده از رمزهای عبور قوی است که حدس زدن یا شکستن آنها با استفاده از حملات brute force توسط مجرمان سایبری دشوار است.

۳- از داده‌های خود نسخه پشتیبان تهیه کنید

برای جلوگیری از از دست رفتن داده‌ها در صورت حمله باج افزار، ضروری است که به طور مرتب از اطلاعات خود نسخه پشتیبان تهیه کنید. این نسخه پشتیبان باید در یک دستگاه خارجی یا سرویس ذخیره سازی ابری ذخیره شود تا اطمینان حاصل شود که تحت تأثیر باج افزار قرار نمی‌گیرد.

۴- استفاده از نرم افزارهای آنتی ویروس و ضد بدافزار

استفاده از نرم افزارهای آنتی ویروس و ضد بدافزار راه دیگری برای جلوگیری از باج افزار است. این برنامه‌های نرم‌ افزاری می‌توانند باج افزار را قبل از اینکه فرصتی برای آلوده کردن سیستم شما یا رمزگذاری داده‌های شما پیدا کند، شناسایی و حذف کنند.

۵- هنگام باز کردن پیوست‌ها و کلیک کردن روی پیوندها محتاط باشید

هنگام باز کردن پیوست‌ها یا کلیک کردن روی پیوندها، به ویژه در ایمیل‌های فرستنده‌های ناشناس، باید محتاط باشید. این پیوست‌ها یا پیوندها ممکن است حاوی بدافزار پنهانی باشند که سیستم شما را با باج افزار آلوده می‌کند.

۶- به خود و کارمندان خود آموزش دهید

آموزش خود و کارمندان در مورد خطرات باج افزار و نحوه جلوگیری از آن بسیار مهم است. این آموزش باید شامل بهترین شیوه‌ها برای استفاده از نرم‌ افزار، اجتناب از ایمیل‌های فیشینگ، و احتیاط در هنگام باز کردن پیوست‌ها یا کلیک کردن روی پیوندها باشد.

مراحل حملات باج افزار موبایل

مرحله اول- ایجاد بدافزار و ارسال آن به کاربر

مجرمان سایبری باج افزار موبایل را ایجاد می‌کنند و آن را از طریق برنامه‌ها، وب سایت‌ها یا پیامک‌های آلوده برای کاربران ارسال می‌کنند. این برنامه‌ها، وب‌سایت‌ها یا پیام‌ها مشروع به نظر می‌رسند و دانلود یا کلیک روی آن‌ها را برای کاربران آسان می‌کنند، بدون اینکه متوجه شوند به بدافزار آلوده شده‌اند.

مرحله دوم- اجرا توسط کاربر و ایجاد رمزهای نامتقارن

هنگامی‌ که کاربر برنامه، وب‌سایت یا پیام آلوده را دانلود کرد یا روی آن کلیک کرد، بدافزار روی دستگاه او نصب می‌شود و رمزهای عبور نامتقارن برای اهداف رمزگذاری ایجاد می‌شوند.

این رمزهای عبور برای دستگاه هر کاربر منحصر به فرد هستند و شکستن آنها با استفاده از حملات brute force توسط مجرمان سایبری که سعی در دسترسی به آن دارند، دشوار است.

مرحله سوم- درخواست پول توسط هکر

پس از رمزگذاری، هکر با استفاده از رمزهای عبور نامتقارن ایجاد شده در حین پیاده سازی توسط کاربر، پیامی‌ را ارسال می‌کند که در ازای رمزگشایی، درخواست پرداخت پول می‌کند.

همانطور که قبلا اشاره شد، این پیام ممکن است حاوی هشدارهای پلیسی جعلی یا تهدیدهای قانونی برای وادار کردن کاربران به پرداخت سریع باج‌خواهی باشد.

در صورت آلوده شدن به باج افزار چه اقدامی انجام دهیم؟

• دستگاه آلوده را ایزوله کنید: برای جلوگیری از گسترش باج‌ افزار، اتصال خود را از تمام شبکه‌ها و دستگاه‌های خارجی قطع کنید.
• گزارش حادثه: مقامات مربوطه یا بخش فناوری اطلاعات سازمان خود را در مورد آلودگی باج افزار مطلع کنید.
• ثبت جزئیات مهم: جزئیات حمله باج افزار، از جمله یادداشت‌های باج یا پیام‌های دریافت شده را مستند کنید.
• با کارشناسان امنیتی مشورت کنید: از کارشناسان امنیت سایبری یا سازمان‌های مجری قانون کمک حرفه‌ای بگیرید.
• بازیابی اطلاعات از نسخه پشتیبان: سیستم آلوده را از پشتیبان‌های آفلاین و رمزگذاری شده، در صورت وجود، بازیابی کنید.
• ارزیابی گزینه‌های بازیابی: گزینه‌های بازیابی مختلف را در نظر بگیرید، مانند پاک کردن هارد دیسک و نصب مجدد سیستم عامل.
• پرهیز از پرداخت باج: از پرداخت باج خودداری کنید، زیرا انتشار فایل‌های رمزگذاری شده را تضمین نمی‌کند و به عوامل مخرب کمک مالی می‌کند.
• به‌روزرسانی کلیدهای رمزگذاری: در صورت وجود، کلیدهای رمزگذاری مدیریت شده توسط مشتری را برای افزایش امنیت به‌روزرسانی کنید.
• جلوگیری از آلوده شدن مجدد: اقدامات احتیاطی را برای جلوگیری از حملات مجدد در طول فرآیند بازیابی انجام دهید، مانند آفلاین نگه داشتن سیستم‌ها و به‌روزرسانی اقدامات امنیتی.
• گردآوری شواهد: جمع آوری شواهد مربوط به حمله باج افزار، از جمله نمونه‌های فایل رمزگذاری شده، فایل‌های گزارش و هرگونه ارتباط از سوی مهاجمان، برای بررسی و تجزیه و تحلیل احتمالی.
• به دنبال مشاوره حقوقی باشید: به دنبال مشاوره حقوقی باشید، به خصوص اگر حمله باج افزار باعث تأثیر یا ضرر قابل توجهی شده باشد.
• آموزش کارکنان: اگر حمله باج افزار در یک محیط سازمانی رخ داده است، به کارکنان در مورد حادثه آموزش دهید و بهترین شیوه‌های امنیتی را برای جلوگیری از حملات آینده تقویت کنید.

بهترین روش‌های حذف باج افزار

اگر مطمئن هستید که سیستم شما به باج افزار آلوده شده است، لازم است بدانید که شناسایی حمله در اسرع وقت و جلوگیری از گسترش آن به سایر سیستم‌ها و دستگاه‌ها بسیار مهم است.

افراد و سازمان‌ها به طور یکسان می‌توانند این مراحل را برای حذف باج افزار دنبال کنند. کارمندانی که مورد حمله باج افزار قرار می‌گیرند باید بلافاصله به مدیر و سرپرست مربوطه اطلاع دهند.

مرحله ۱: دستگاه آلوده را ایزوله کنید

فوراً دستگاه آسیب دیده را از هرگونه اتصال سیمی‌ یا بی سیم، از جمله اینترنت، شبکه‌ها، دستگاه‌های تلفن همراه، درایوهای فلش،‌ هارد دیسک‌های خارجی، حساب‌های ذخیره سازی ابری و درایوهای شبکه جدا کنید.

این از انتشار باج افزار به دستگاه‌های دیگر جلوگیری می‌کند. همچنین، بررسی کنید که آیا دستگاه‌های متصل به دستگاه آلوده توسط باج افزار آلوده شده‌اند یا خیر.

اگر هنوز درخواست باج نشده است، بدافزار را فوراً از سیستم حذف کنید. اگر باج خواسته شده است، در تعامل با عاملان محتاط باشید. بسیاری از منابع، از جمله پلیس فتا، عدم پرداخت باج را توصیه می‌کنند.

مرحله ۲: نوع باج افزار را تعیین کنید

دانستن اینکه کدام گونه از باج افزار دستگاه را آلوده کرده است، می‌تواند به تلاش‌های اصلاحی کمک کند. اگر دسترسی دستگاه مسدود شده باشد، مانند باج افزار قفل، تشخیص باج افزار دشوار است.

دستگاه آلوده ممکن است نیاز داشته باشد توسط یک متخصص امنیتی با تجربه بررسی شود یا با یک ابزار نرم افزاری تشخیص داده شود. برخی از ابزارها به صورت رایگان در دسترس هستند، در حالی که برخی دیگر به اشتراک پولی نیاز دارند.

مرحله ۳: باج افزار را حذف کنید

قبل از بازیابی سیستم، باج افزار باید حذف شود. در طول هک اولیه، باج افزار یک سیستم را آلوده می‌کند و فایل‌ها را رمزگذاری می‌کند و یا دسترسی سیستم را قفل می‌کند. فقط یک رمز عبور یا کلید رمزگشایی محدودیت را باز یا رمزگشایی می‌کند.

چند گزینه برای حذف باج افزار وجود دارد:

1. بررسی کنید که آیا باج افزار حذف شده است یا خیر. باج افزار گاهی اوقات پس از آلوده کردن یک سیستم، خود را حذف می‌کند. در مواقع دیگر، روی دستگاه می‌ماند تا دستگاه‌ها یا فایل‌های دیگر را آلوده کند.
2. از ضد بدافزار ضد باج افزار استفاده کنید. اکثر نرم افزارهای ضد بد افزار و ضد باج افزار می‌توانند نرم افزارهای مخرب را قرنطینه و حذف کنند.
3. از متخصصان امنیتی کمک بخواهید. با یک متخصص امنیتی، چه در سازمان یا پشتیبانی فنی شخص ثالث، برای کمک به حذف باج افزار صحبت کنید.
4. آن را به صورت دستی حذف کنید. در صورت امکان، نرم افزار نصب شده روی دستگاه را بررسی کرده و فایل باج افزار را حذف نصب کنید. این فقط برای متخصصان امنیتی باتجربه توصیه می‌شود.

توجه داشته باشید که حتی اگر باج افزار حذف شود، باز هم دسترسی به فایل‌های رمزگذاری شده دشوار است. ابزارهای رمزگشایی باج افزار در دسترس هستند و بسیاری از گزینه‌های ضد بدافزار و ضد باج افزار این ویژگی را ارائه می‌دهند. اما به خاطر داشته باشید که ابزارهای رمزگشایی برای هر گونه باج افزار در دسترس نیستند.

به عنوان بخشی از فعالیت‌های امنیتی، تیم‌های فناوری اطلاعات باید یک اسکن دقیق از دستگاه یا سیستم را انجام دهند تا مطمئن شوند هیچ باج افزاری باقی نمانده است. ممکن است لازم باشد دستگاه‌های آسیب‌دیده را قرنطینه کنید تا اطمینان حاصل شود که قبل از بازگرداندن آنها به سرویس، کاملاً پاکسازی شده‌اند.

مرحله ۴: سیستم را بازیابی کنید

با بازیابی نسخه قبلی سیستم عامل از قبل از وقوع حمله، فایل‌ها را بازیابی کنید. اگر نسخه‌های پشتیبان رمزگذاری یا قفل نشده بودند، با استفاده از عملکرد بازیابی سیستم، آنها را بازیابی کنید.

توجه داشته باشید، هر فایلی که پس از آخرین تاریخ پشتیبان‌گیری ایجاد شود، بازیابی نمی‌شود. اکثر سیستم‌عامل‌های اصلی ابزارهایی برای بازیابی فایل‌ها و ارائه قابلیت‌های دیگر برای بازیابی سیستم‌های در معرض خطر دارند.

پس از بازیابی سیستم، حتما موارد زیر را انجام دهید:

1. تمام رمزهای عبور و کدهای دسترسی امنیتی را در اسرع وقت به‌روز کنید.
2. بررسی کنید تا مطمئن شوید قوانین فایروال و نرم افزارهای ضد بدافزار به‌روز هستند. در صورت لزوم نرم افزار امنیتی را با نرم افزار قوی تر جایگزین کنید.
3. برای جلوگیری از آلودگی به باج افزار در آینده، اقدامات پیشگیری از باج افزار را دنبال کنید.

پيشنهاد وب رمز: مراحل پاک سازی و بازگردانی سایت وردپرسی آلوده به بدافزار

نتیجه گیری

باج افزار تهدیدی جدی است که در صورت عدم پیشگیری یا حذف فوری با استفاده از بهترین شیوه‌های بهداشت امنیت سایبری، می‌تواند به افراد و سازمان‌ها آسیب جدی وارد کند.

حذف باج افزار نیازمند اطلاعات کافی درباره بهترین شیوه‌های مقابله با باج افزار است. توصیه می‌شود که در صورت آلودگی به باج افزار، حتما از یک متخصص کمک بگیرید و از اقدامات پیشگیری کننده غافل نشوید.