باج‌افزار (Ransomware) چیست؟

حانیه حسینی

آخرین به‌روزرسانی: ۲۱ بهمن ۱۳۹۸ | ۲۰:۳۰

باج‌افزار (Ransomware) نوعی بدافزار است که روی سیستم‌های کامپیوتری مثل کامپیوترهای شخصی، شبکه‌های مربوط به کسب‌وکار، بیمارستان‌ها، فرودگاه‌ها و آژانس‌های دولتی رخنه کرده و پس از رمزگذاری فایل‌های سیستم، برای رمزگشایی فایل‌ها، درخواست باج می‌کند.

باج‌افزار پس از اولین پیدایش در سال ۱۹۸۹، دائماً در حال اصلاح است و مدام پیچیده‌تر می‌شود. در حالی که انواع ساده آن نمونه‌های بدون رمزگذاری هستند، نمونه‌های مدرن برای رمزگذاری فایل‌ها از روش‌های رمزنگاری جدید استفاده می‌کنند؛ در نتیجه دسترسی به آنها تا حد زیادی مشکل می‌شود.

باج‌افزارهای رمزگذاری‌کننده با هدف قرار دادن حافظه رایانه (Hard Drive) ساخته منجر به قفل شدن فایل‌های روی رایانه می‌شوند. هدف نهایی این کار متقاعد کردن قربانیان برای پرداخت باجِ رمزگشایی (Ransom) است. سازندگان این باج‌افزارها معمولا خواستار ارزهای دیجیتال (مثل بیت کوین یا …) هستند که ردیابی آنها دشوار است. با این حال هیچ تضمینی وجود ندارد که مبلغ پرداختی توسط مهاجمان مورد قبول واقع شود و فایل‌های شما آزاد گردند.

استفاده از باج‌افزار در دهه گذشته (به‌خصوص در سال ۲۰۱۷) به میزان قابل توجهی افزایش یافته است و به عنوان یک حمله سایبری با انگیزه مالی، در حال حاضر برجسته‌ترین تهدید بدافزاری در جهان است.

باج افزار چگونه قربانی می‌گیرد؟

باج‌افزارها به روش‌های گوناگون وارد سیستم‌ قربانی می‌شوند که سه مورد از رایج‌ترینشان عبارتند از:

مهندسی اجتماعی: ایمیل‌های گمراه‌کننده یکی از رایج‌ترین روش‌های گسترش بدافزارها هستند. قربانیان معمولا از طریق پیوست ایمیل‌ها یا لینک‌‌هایی که در قالب امن خود را نشان می‌دهند به دام میفتند و نرم‌افزارهایی را دانلود می‌کنند که حاوی بدافزار است.

اکسپلویت کیت‌ها: پکیجی است که از ابزارهای مخرب و کدهای از پیش نوشته شده تشکیل شده است. این کیت‌ها به ایرادات و نقاط آسیب‌پذیر در نرم‌افزارها و سیستم‌عامل‌ها حمله می‌کنند و برای گسترش بدافزارها طراحی شده‌اند (سیستم‌های ناامن و قدیمی متداول‌ترین اهداف این کیت‌ها هستند).

بدافزار تبلیغاتی (Malvertising): مهاجم‌ها از شبکه‌های تبلیغاتی برای گسترش باج‌افزارها استفاده می‌کنند.

چگونه می‌توانید از حملات باج افزاری در امان بمانید؟

پشتیبان‌گیری از فایل‌های خود را فراموش نکنید و آن‌ها روی فضای ذخیره‌سازی خارجی قرار دهید. در این صورت بعد از حذف احتمالی توسط ویروس وارد شده به سیستم، قادر به بازیابی فایل‌ها خواهید بود.

مراقب فایل پیوست ایمیل‌ها و لینک‌ها باشید. از کلیک کردن بر روی تبلیغات یا سایت‌های مشکوک، خودداری کنید.

یک آنتی ویروس قابل اعتماد نصب کنید و نرم‌افزار و سیستم‌عامل خود را به‌روز نگه دارید.

گاهی اوقات فایل‌های باج‌افزار با ظاهری شبیه به عکس یا فایل‌های امن برای شما ارسال می‌شوند. گزینه «نمایش پیوند فایل» (show file extensions) را در تنظیمات ویندوز فعال کنید تا به راحتی بتوانید پیوند فایل‌های خود را ببینید. از اجرای فایل‌های نامعتبر exe. vbs. scr. اجتناب کنید.

از بازید سایت‌هایی که با پروتکل‌های HTTPS محافظت نشده‌اند، خودداری کنید (URL هایی که با HTTPS شروع می‌شوند امن‌تر هستند). به خاطر داشته باشید که بسیاری از وب‌سایت‌های مخرب از فرآیند پروتکل‌های HTTPS در راستای گمراه کردن قربانیان استفاده می‌کنند، پس پروتکل به تنهایی تضمین معتبر و یا امن بودن وب‌سایت نیست.

از وب‌سایت‌های ساخته شده توسط سازمان‌های مجری قانون و امنیت IT که در جهت مختل کردن باج افزارها فعالیت دارند، استفاده کنید؛ نوموررنسام (NoMoreRansom) از جمله این وب‌سایت‌هاست. این وب‌سایت ابزارهای رمزگشایی رایگان برای افرادی که مورد حمله چنین ویروس‌هایی قرار گرفته‌اند و همچنین توصیه‌هایی برای پیشگیری ارائه می‌دهد.

باج‌افزارهای مشهور

حالا که با مفهوم و سازوکار حملات باج‌افزاری آشنا شدید، وقت آن رسیده است که به معرفی برخی از مشهورترین و خطرناک‌ترین باج‌افزارهای دنیا بپردازیم.

گرندکرب (۲۰۱۸)

گرندکرب (GrandCrab) برای اولین بار در ژانویه ۲۰۱۸ کشف شد. فعالیت این باج‌افزار پیش از آنکه توسط مقامات رومانیایی به همراه شرکت بیت دیفندر (Bitdefender) و پليس اتحاديه اروپا (يوروپل) کنترل شود، توانست در کمتر از یک ماه بیشتر از ۵۰,۰۰۰ قربانی را مورد هدف قرار دهد. لازم به ذکر است که کیت رایگان بازیابی اطلاعات برای این بدافزار موجود است. گرندکرب با بدافزارهای تبلیغاتی و ایمیل‌های تقلبی گسترش یافت و به عنوان اولین باج‌افزاری که خواستار باج پرداخت به صورت ارز دیجیتال بود شناخته شد. باج اولیه بین ۳۰۰ تا ۱,۵۰۰ دلار آمریکا متغیر بود.

واناکرای (۲۰۱۷)

واناکرای (WannaCry) یک حمله سایبری جهانی بود که در ۴ روز دست کم ۳۰۰,۰۰۰ کامپیوتر را آلوده کرد. واناکرای از طریق حمله‌ای که اترنال بلو (EternalBlue) شناخته می‌شد، سیستم‌عامل‌ ویندوز را هدف قرار داده بود (بیشتر کامپیوترهای مورد حمله از ویندوز ۷ استفاده می‌کردند). این حمله با یک پک تصحیح‌کننده اضطراری که توسط مایکروسافت منتشر شد، متوقف شد. کارشناسان امنیتی آمریکا ادعا کردند که کره شمالی مسئول این حمله است، اگرچه هیچ مدرک قابل اتکایی برای این ادعا ارائه نشد.

بد ربیت (۲۰۱۷)

باج افزار بد ربیت (BadRabbit) که از دانلود آپدیت تقلبی ادوبی فلش (Adobe Flash) از یک وب‌سایت ویروسی توزیع شد، بیشتر کامپیوترهای روسیه را هدف قرار داد. این ویروس وابسته به نصب دستی یک فایل exe. بود. مبلغ رمزگشایی حدود ۲۸۰ دلار آمریکا در آن زمان بود (۰.۰۵ بیت کوین).

لاکی (۲۰۱۶)

لاکی (Locky) معمولاً از طریق ایمیل‌های پرداخت صورتحساب که دارای فایل پیوست آلوده به ویروس بود، گسترش یافت. در سال ۲۰۱۶ مرکز پزشکی پرزبایتریان (Presbyterian) در هالیوود آمریکا به ویروس لاکی آلوده شد و ۴۰ بیت کوین (حدود ۱۷,۰۰۰ دلار) باج برای دسترسی مجدد به سیستم‌های بیمارستان پرداخت کرد.