باج افزار چیست؟ + تاریخچه، انواع و روش های مقابله

مقدمه: باج افزار در سراسر سال 2021 سرفصل خبرها شد و همچنان خبرساز می شود. ممکن است داستان هایی از حملات به شرکت ها، سازمان های خصوصی یا سازمان های دولتی بزرگ شنیده باشید، یا شاید شما خودتان تا به حال مورد این نوع از حملات قرار گرفته باشید. باج افزارها به مشکلاتی مهم و چشم اندازی ترسناک تبدیل شده اند که تمام پرونده ها و داده های شما گروگان گرفته می شود تا زمانی که باج موردنظر مهاجمین پرداخت شود. حملات باج‌افزار نوعی از حملات بدافزارها هستند که در آن عوامل تهدیدکننده ممکن است فایل‌ها را رمزگذاری کنند، داده‌ها را استخراج کنند (سرقت کنند) و تهدید به انتشار آن‌ها کنند یا هر دو را تهدید کنند تا قربانی را مجبور به پرداخت باج، معمولاً به صورت ارز دیجیتال، کنند. مهاجمان معمولاً قول می‌دهند که پس از پرداخت، کلیدهای رمزگشایی را به قربانیان بدهند یا داده‌های دزدیده شده را حذف کنند. باج افزارها به ابزار بسیار محبوب برای اخاذی توسط مجرمان سایبری تبدیل شده اند.

اگر می‌خواهید درباره این تهدید بیشتر بدانید، ادامه مطلب را بخوانید تا در مورد اشکال مختلف باج‌افزار، نحوه دریافت آن، از کجا آمده است، چه کسی را هدف قرار می‌دهد و در نهایت، چه کاری می‌توانید برای محافظت در برابر آن انجام دهید، بخوانید.

باج افزار چیست؟

باج‌افزار ( باج افزار به انگلیسی: ransomware ) نوعی بدافزار است که داده‌ها یا دستگاه قربانی را قفل می‌کند و با تهدید کردن شخص قربانی آن‌ها را قفل نگه می‌دارد، یا حتی بدتر از آن قربانی را تهدید می کند به مهاجم باج بدهد. در حالی که برخی از مردم ممکن است فکر کنند “ویروسی کامپیوتر من را قفل کرده است”، باج افزار معمولاً به عنوان یک بدافزار متفاوت از ویروس طبقه بندی می شود.

اولین حملات باج‌افزار صرفاً در ازای دریافت کلید رمزگذاری مورد نیاز برای دسترسی مجدد به داده‌های آسیب‌دیده یا استفاده از دستگاه آلوده بود. با تهیه کردن بکاپ های منظم یا مداوم از داده‌ها، یک سازمان می‌تواند هزینه‌های ناشی از این نوع حملات باج‌افزار را محدود کند و اغلب از پرداخت باج‌خواهی اجتناب کنند.

در سال‌های اخیر، حملات باج‌افزاری تکامل یافته‌اند و شامل حملات اخاذی مضاعف و اخاذی سه‌گانه می‌شود که خطرات را به میزان قابل‌توجهی افزایش می‌دهد، حتی برای قربانیانی که به شدت از داده‌هایشان بکاپ تهیه می‌کنند یا باج اولیه را پرداخت می‌کنند. حملات اخاذی مضاعف، خطر سرقت داده‌های قربانی و افشای آن‌ها را به صورت آنلاین افزایش می‌دهد. علاوه بر این، در حملات اخاذی سه گانه قربانیان تهدید به فروختن داده های سرقت شده به شرکای تجاری می شوند.

طبق آمار سهم باج افزار در تمام حوادث امنیت سایبری از سال 2021 تا 2022 به میزان 4 درصد کاهش یافته است، احتمالاً به این دلیل که مدافعان در شناسایی و جلوگیری از حملات باج افزار موفق تر بوده اند.

ransomware-as-a-service (RaaS) چیست؟

باج افزار به عنوان یک سرویس (RaaS) یک مدل کسب و کار است که شامل فروش یا اجاره باج افزار به خریدارانی که به آنها خریداران وابسته است گفته می شود، می شود. RaaS را می‌توان به عنوان یکی از دلایل اصلی گسترش سریع حملات باج‌افزار دانست، زیرا استفاده از باج‌افزار علیه اهداف را برای انواع بازیگران تهدید حتی کسانی که دانش فنی کمی دارند آسان‌تر کرده است.

تاریخچه ی شکل گیری باج افزار

با وجود اینکه باج‌افزارها در چند سال گذشته به طور مداوم سرتیتر اخبار بوده اند، ایده گروگان گرفتن فایل‌های کاربر یا رایانه‌ها با رمزگذاری فایل‌ها، ممانعت از دسترسی به سیستم یا روش‌های دیگر و سپس درخواست باج برای بازگرداندن آنها کاری بسیار قدیمی است.

در اواخر دهه 1980، مجرمان در ازای دریافت پول نقدی که از طریق سرویس پستی ارسال می شد، پرونده های رمزگذاری شده را گروگان نگه می داشتند. پس از کنفرانس ایدز سازمان جهانی بهداشت در سال 1989، جوزف ال. پاپ، زیست شناس تحصیل کرده هاروارد، 20000 فلاپی دیسک را برای شرکت کنندگان در این رویداد پست کرد. این دیسک حاوی پرسشنامه ای برای تعیین احتمال ابتلای فردی به HIV بود.

در آن زمان، دلایل کمی وجود داشت که باور کرد دیسک ها با نیت بد ارسال شده اند. به هر حال، این بسته توسط یک محقق معتبر ارائه شده بود و هیچ کس قبلاً در مورد باج افزار چیزی نشنیده بود.

این بدافزار که تروجان ایدز نام داشت، پس از راه اندازی به سیستم قربانیان، از یک رمزگذار متقارن ساده برای جلوگیری از دسترسی کاربران به فایل هایشان استفاده می کرد و پیامی بر روی صفحه نمایش کاربران ظاهر می شد که از آنها واریز مبلغ 189 دلار به یک P.O. در ازای دسترسی به فایل های آنها خواسته شده بود. به دلیل سادگی ویروس، متخصصان فناوری اطلاعات به سرعت یک کلید رمزگشایی را کشف کردند که قربانیان را قادر می‌ساخت تا بدون پرداخت باج، دوباره به داده هایشان دسترسی پیدا کنند.

پاپ احتمالاً از این کلاهبرداری پول کمی به دست آورد، اما ایده ی او در نهایت به یک صنعت چند میلیارد دلاری تبدیل شد و باعث شد تا او را “پدر باج افزار” نامگذاری کنند.
علیرغم سابقه طولانی، حملات باج افزار در دهه 2000 چندان شناخته شده نبودند. با این حال، ظهور ارزهای دیجیتال، مانند بیت کوین در سال 2010، جلوه ی باج افزارها را تغییر داد. ارزهای مجازی با ارائه روشی آسان و غیرقابل ردیابی برای دریافت پرداخت از قربانیان، این فرصت را برای مهاجمان باج افزارها ایجاد کرد تا این حملات را به یک تجارت پرسود تبدیل کنند.

در سال 2011، WinLock به عنوان اولین باج افزار قفل کننده ظاهر شد، گونه ای که دستگاه های قربانیان را به طور کامل قفل می کرد.

Reveton در سال 2012 اولین باج افزار تحت عنوان سرویس (RaaS) بود، یک سرویس اجاره ای که به مجرمان سایبری با مهارت های فنی محدود امکان خرید باج افزار در دارک وب را می داد. Reveton پیام های متقلبانه ای را به نمایش گذاشت که قربانیان را به ارتکاب جرم متهم می کرد. مهاجمان قربانیان را در صورت عدم پرداخت باج با زندان تهدید می کردند. Reveton همچنین یکی از اولین حملات باج افزاری بود که خواستار پرداخت بیت کوین شد.

در سال 2013، یک نوع باج افزار با استفاده از یک کلید پیشرفته 2048 بیتی RSA کشف شد. پیچیده ترین باج افزار تا به حال، ,CryptoLocker هم یک نوع قفل و هم نوعی رمزنگاری بود. مجرمان سایبری پشت کریپتولاکر ۲۷ میلیون دلار در دو ماه اول به دست آوردند.

در سال 2014، Simplelocker اولین باج افزاری بود که فایل ها را در دستگاه های اندرویدی رمزگذاری کرد. این باج افزار تصاویر، اسناد و ویدئوها را روی کارت‌های SD دستگاه‌ها رمزگذاری می‌کرد و تغییر بزرگی را در مسیر تکامل باج افزارها به وجود آورد زیرا درها را به روی مجموعه جدیدی از قربانیان و حملات باز کرد.

Ransom32، یک RaaS که در سال 2016 ظاهر شد، این باج افزار اولین باج افزار مبتنی بر جاوا اسکریپت بود. به دلیل توانایی کد برای عملکرد در همه سیستم‌عامل‌ها، مهاجمان را قادر ساخت تا شبکه گسترده‌تری ایجاد کنند.

مرحله بعدی تکامل باج‌افزارها، پیشرفت مداوم در تکنیک‌های حمله و همچنین گسترش حملات در سطح جهانی را به همراه داشت.

در سال 2016، Petya اولین گونه ای بود که فایل های فردی را رمزگذاری نکرد، بلکه رکورد اصلی بوت را بازنویسی کرد و جدول فایل اصلی را رمزگذاری کرد. این کار هارد دیسک قربانیان را سریع‌تر از سایر تکنیک‌ها قفل می‌کرد.

سه ماه بعد، جهان در معرض Zcryptor قرار گرفت که ویژگی‌های باج‌افزار را با کرم‌ها ترکیب کرد و تهدیدی به نام cryptoworm یا ransomworm ایجاد کرد. این ترکیب به‌ویژه به دلیل توانایی آن در کپی کردن گسسته خود در کل سیستم و هر دستگاه شبکه‌ای آسیب‌رسان معروف است.

حمله ی بدنام باج‌افزاری به نام WannaCry در سال 2017 صدها هزار دستگاه را در بیش از 150 کشور مورد هدف قرار داد، نویسندگان خطاهای رمزگشایی را در نسخه‌های قبلی باج‌افزار برطرف کردند تا باج‌افزاری قوی‌تر و خطرناک‌تر بسازند.

در همان سال، NotPetya ظهور کرد. این باج افزار هارد دیسک های قربانیان را مانند نسخه پیشین خود رمزگذاری می کرد، اما ویژگی های جدید پاک کنندگی را نیز در خود جای داده بود که می توانست فایل های کاربران را حذف و از بین ببرد.

در اواخر دهه 2010 و تا اوایل دهه 2020، باج افزار به مخرب ترین مرحله خود تا کنون رسیده است. همچنین همه‌گیری جهانی COVID-19 باعث گسترش انواع باج افزار شد. در می 2021، از نوع REvil RaaS برای انجام یکی از بزرگترین حملات باج افزار در تاریخ استفاده شد. باند REvil برای باز کردن قفل بیش از 1 میلیون دستگاه آسیب دیده در حمله به ارائه دهنده خدمات مدیریت شده Kaseya حدود 70 میلیون دلار باج درخواست کردند.

آینده ممکن است ناشناخته باشد، اما آنچه مشخص است این است که بازیگران بدخواه به اصلاح روش های خود برای پیچیده تر، کارآمدتر و موثرتر شدن ادامه خواهند داد. تاکتیک‌ها و تکنیک‌های مهاجمان به بلوغ های جدیدی می‌رسند و قربانیان همچنان با سیستم‌های قفل‌شده، فایل‌های رمزگذاری‌شده و درخواست‌های باج مواجه خواهند شد و تا زمانی که مهاجمان به کسب درآمد ادامه دهند، حملات همچنان ادامه خواهند داشت.

مقاله پیشنهادی: آیا امنیت شبکه خانگی برقرار است؟

باج افزار چگونه کار می کند؟

باج افزار از رمزگذاری نامتقارن از یک جفت کلید برای رمزگذاری و رمزگشایی یک فایل استفاده می کند. جفت کلیدهای عمومی-خصوصی به طور منحصربه‌فرد توسط مهاجم برای قربانی ایجاد می‌شود و کلید خصوصی برای رمزگشایی فایل‌های ذخیره شده در سرور مهاجم است. مهاجم کلید خصوصی را تنها پس از پرداخت باج در اختیار قربانی قرار می‌دهد، اگرچه همانطور که در کمپین‌های باج‌افزار اخیر دیده می‌شود، همیشه اینطور نیست. بدون دسترسی به کلید خصوصی، رمزگشایی فایل هایی که برای باج نگهداری می شوند تقریبا غیرممکن است.

انواع مختلفی از باج افزار وجود دارد. اغلب باج افزارها (و سایر بدافزارها) با استفاده از کمپین های اسپم ایمیل یا از طریق حملات هدفمند توزیع می شوند. بدافزار به یک بردار حمله نیاز دارد تا حضور خود را در نقطه پایانی ثابت کند. پس از برقراری حضور، بدافزار تا زمانی که وظیفه‌اش انجام شود، روی سیستم باقی می‌ماند.

پس از یک اکسپلویت (exploit) موفق، باج افزار یک باینری مخرب را بر روی سیستم آلوده اجرا می کند. سپس این باینری فایل های با ارزشی مانند اسناد Microsoft Word، تصاویر، پایگاه های داده و غیره را جستجو و رمزگذاری می کند. این باج افزار همچنین ممکن است از آسیب پذیری های سیستم و شبکه برای گسترش به سیستم های دیگر و احتمالاً در کل سازمان ها سوء استفاده کند.

هنگامی که فایل‌ها رمزگذاری شدند، باج‌افزار از کاربر می‌خواهد که طی 24 تا 48 ساعت برای رمزگشایی فایل‌ها باج بپردازد، در غیر این صورت برای همیشه اطلاعاتش از دست خواهند رفت. اگر پشتیبان‌گیری داده‌ها در دسترس نباشد یا خود آن نسخه‌های پشتیبان رمزگذاری شده باشند، قربانی با پرداخت باج برای بازیابی فایل‌های شخصی مواجه می‌شود.

چگونه باج افزار یک سیستم یا دستگاه را آلوده می کند

حملات باج افزار می توانند از چندین روش یا بردار برای آلوده کردن یک شبکه یا دستگاه استفاده کنند. برخی از برجسته ترین منتشر کنندگان باج افزار عبارتند از:

ایمیل‌های فیشینگ و سایر حملات مهندسی اجتماعی

ایمیل‌های فیشینگ کاربران را برای دانلود و اجرای یک پیوست مخرب که حاوی باج‌افزاری است که به‌عنوان یک فایل بی‌ضرر pdf، سند مایکروسافت ورد و یا بازدید از یک وب‌سایت مخرب ترغیب می کند.

آسیب پذیری های سیستم عامل و نرم افزار

مجرمان سایبری اغلب از آسیب پذیری های موجود برای تزریق کد مخرب به دستگاه یا شبکه سوء استفاده می کنند. آسیب‌پذیری‌های روز صفر، آسیب‌پذیری‌هایی هستند که یا برای جامعه امنیتی ناشناخته هستند یا شناسایی شده‌اند اما هنوز اصلاح نشده‌اند، یک تهدید خاص هستند. برخی از باج افزارها اطلاعات مربوط به نقص های روز صفر را از سایر هکرها خریداری می کنند تا حملات خود را برنامه ریزی کنند. هکرها همچنین به طور موثری از آسیب پذیری های اصلاح شده به عنوان بردارهای حمله استفاده میکنند.

سرقت اعتبار

مجرمان سایبری ممکن است اعتبار کاربران مجاز را بدزدند، آنها را در دارک وب بخرند، یا از طریق زور وحشیانه آنها را بشکنند. سپس ممکن است از این اعتبارنامه ها برای ورود به شبکه یا رایانه و استقرار مستقیم باج افزار استفاده کنند. پروتکل دسکتاپ از راه دور (RDP)، یک پروتکل اختصاصی است که توسط مایکروسافت ایجاد شده است تا به کاربران امکان دسترسی از راه دور به رایانه را بدهد، این پروتکل یک هدف محبوب برای سرقت اعتبار در میان مهاجمان باج افزار است.

سایر بدافزارها

هکرها اغلب از بدافزارهای توسعه یافته برای حملات دیگر باج افزار به دستگاه استفاده می کنند. به عنوان مثال، تروجان Trickbot که در اصل برای سرقت اطلاعات بانکی طراحی شده بود، برای گسترش نوع باج افزار Conti در سراسر سال 2021 استفاده شد.

دانلودهای Drive-by

می توانند از وب سایت ها برای ارسال باج افزار به دستگاه ها بدون اطلاع کاربران استفاده کنند. کیت‌های اکسپلویت از وب‌سایت‌های در معرض خطر با اسکن مرورگرهای بازدیدکنندگان برای آسیب رساندن به برنامه وب استفاده می‌کنند تا از آنها برای تزریق باج‌افزار به دستگاه استفاده کنند. تبلیغات مخرب می تواند باج افزار را به دستگاه ها منتقل کند، حتی اگر کاربر روی تبلیغ کلیک نکند.

مقاله پیشنهادی: خدمات امنیت شبکه

انواع باج افزار

دو نوع کلی از باج افزار وجود دارد. متداول‌ترین نوع آن که باج‌افزار رمزگذاری یا باج‌افزار رمزنگاری نام دارد، داده‌های قربانی را با رمزگذاری در گروگان نگه می‌دارد. سپس مهاجم در ازای ارائه کلید رمزگذاری مورد نیاز برای رمزگشایی داده ها، باج می خواهد.

نوع کمتر رایج باج افزار که باج افزار غیر رمزگذاری یا باج افزار قفل کننده صفحه نامیده می شود، کل دستگاه قربانی را معمولاً با مسدود کردن دسترسی به سیستم عامل قفل می کند. به‌جای راه‌اندازی معمول، دستگاه صفحه‌ای را نمایش می‌دهد که درخواست باج می‌دهد.

این دو نوع را می‌توان به دسته‌های زیر تقسیم کرد:

Leakware/Doxware

باج‌افزاری است که داده‌های حساس را می‌دزدد یا استخراج می‌کند و تهدید به انتشار آن می‌کند. در حالی که اشکال قبلی leakware یا doxware اغلب داده ها را بدون رمزگذاری به سرقت می بردند، امروزه اغلب هر دو ی این کارها را انجام می دهند.

باج افزار موبایل

شامل تمام باج افزارهایی است که بر روی دستگاه های تلفن همراه تأثیر می گذارد. باج‌افزار تلفن همراه که از طریق برنامه‌های مخرب یا دانلود با درایو ارائه می‌شود، معمولاً باج‌افزار غیررمزگذاری‌ است، زیرا پشتیبان‌گیری استاندارد خودکار داده‌های ابری، در بسیاری از دستگاه‌های تلفن همراه، معکوس کردن حملات رمزگذاری را آسان می‌کند.

پاک‌کننده‌ها

پاک کننده ها باج‌افزار مخربی هستند که در صورت عدم پرداخت باج، داده‌ها را از بین می‌برند، به استثنای مواردی که داده‌ها را حتی در صورت پرداخت باج از بین می‌برند.

Scareware

Scareware دقیقاً همان چیزی است که به نظر می رسد، باج افزاری که سعی می کند کاربران را با ترساندن مجبور به پرداخت باج کند. Scareware ممکن است به عنوان پیامی از سوی یک سازمان مجری قانون باشد که قربانی را متهم به پرداخت جریمه می کند. ممکن است این کار را با جعل یک هشدار قانونی عفونت ویروس انحام دهد و قربانی را تشویق به خرید نرم افزار آنتی ویروس یا ضد بدافزار کند.

مجرمان سایبری برای بهره برداری از این بردارها لزوماً نیازی به توسعه باج افزار خود ندارند. برخی از توسعه دهندگان باج افزار، کد بدافزار خود را از طریق ترتیبات باج افزار به عنوان سرویس (RaaS) با مجرمان سایبری به اشتراک می گذارند. مجرم سایبری از کد برای انجام یک حمله استفاده می کند و سپس پرداخت باج را با توسعه دهنده تقسیم می کند. این یک رابطه دوجانبه سودمند است: شرکت‌های وابسته می‌توانند بدون نیاز به توسعه بدافزار خود از اخاذی سود ببرند، و توسعه‌دهندگان می‌توانند بدون انجام حملات سایبری اضافی، سود خود را افزایش دهند.

توزیع‌کنندگان باج‌افزار می‌توانند باج‌افزار را از طریق بازارهای دیجیتال بفروشند یا مستقیماً از طریق انجمن‌های آنلاین، وابستگان خود را جذب کنند.

چگونه از حملات باج افزار جلوگیری کنیم

برای محافظت از خود و سیستمتان در برابر باج افزار، این مراحل توصیه شده را دنبال کنید:

از اطلاعات خود نسخه پشتیبان تهیه کنید.

بهترین راه برای جلوگیری از تهدید قفل شدن فایل‌های حیاتی خود این است که اطمینان حاصل کنید همیشه نسخه‌های پشتیبان آن‌ها را ترجیحاً در فضای ابری و یک هارد دیسک اکسترنال جدا در اختیار دارید. به این ترتیب، اگر به یک باج افزار آلوده شدید، می توانید رایانه یا دستگاه خود را پاک کنید و فایل های خود را از نسخه پشتیبان دوباره نصب کنید. این کار از داده های شما محافظت می کند و وسوسه نمی شوید که با پرداخت باج به نویسندگان بدافزار پاداش دهید. پشتیبان گیری از باج افزار جلوگیری نمی کند، اما می تواند خطرات را کاهش دهد.

پشتیبان های خود را ایمن کنید.

اطمینان حاصل کنید که داده‌های پشتیبان شما برای اصلاح یا حذف در سیستم‌هایی که داده‌ها در آن قرار دارند قرار ندارند. باج افزار به دنبال پشتیبان گیری از داده ها می گردد و آنها را رمزگذاری یا حذف می کند تا نتوان آنها را بازیابی کرد، بنابراین از سیستم های پشتیبان گیری استفاده کنید که اجازه دسترسی مستقیم به فایل های پشتیبان را نمی دهند.

از نرم افزارهای امنیتی استفاده کنید و آن ها را به روز نگه دارید.

اطمینان حاصل کنید که همه رایانه ها و دستگاه های شما با نرم افزار امنیتی جامع محافظت می شوند و تمامی نرم افزارهای خود را به روز نگه دارید. مطمئن شوید که نرم‌افزار دستگاه‌هایتان را زود و اغلب به‌روزرسانی می‌کنید، زیرا معمولاً در هر به‌روزرسانی، وصله‌هایی برای نقص‌ها وجود دارد.

مراقب باشید کجا کلیک می کنید.

به ایمیل‌ها و پیام‌های متنی افرادی که نمی‌شناسید پاسخ ندهید و فقط برنامه‌ها را از منابع مطمئن دانلود کنید. این کار بسیار مهم است زیرا نویسندگان بدافزار اغلب از مهندسی اجتماعی استفاده می کنند تا شما را وادار به نصب فایل های خطرناک کنند.

فقط از شبکه های امن استفاده کنید.

از استفاده از شبکه های Wi-Fi عمومی خودداری کنید، زیرا بسیاری از آنها ایمن نیستند و مجرمان سایبری می توانند استفاده از اینترنت شما را زیر نظر بگیرند. در عوض، نصب VPN را در نظر بگیرید، که بدون توجه به جایی که می روید، اتصال ایمن به اینترنت را برای شما فراهم می کند.

در جریان اخبار باشید.

در جریان آخرین تهدیدات باج افزار باشید تا بدانید که باید مراقب چه چیزی باشید. در صورتی که به یک باج افزار آلوده شده اید و از همه فایل های خود نسخه پشتیبان تهیه نکرده اید، بدانید که برخی از ابزارهای رمزگشایی توسط شرکت های فناوری برای کمک به قربانیان در دسترس هستند.

آموزش کارکنان

اجرای یک برنامه برای ایجاد آگاهی امنیتی اعضای سازمان خود امری ضروری است تا بتوانند از فیشینگ و سایر حملات مهندسی اجتماعی جلوگیری کنند. تمرینات و آزمایشات منظم را برای اطمینان از رعایت آموزش انجام دهید.

چگونه باج افزار را حذف کنیم؟

پیام باج چیزی نیست که کسی بخواهد در رایانه خود ببیند زیرا نشان می دهد که یک عفونت باج افزار موفقیت آمیز بوده است. در این مرحله، می‌توان اقداماتی را برای پاسخ به یک عفونت باج‌افزار فعال انجام داد و یک سازمان باید انتخاب کند که آیا باج را بپردازد یا نه.

بسیاری از حملات موفقیت آمیز باج افزار تنها پس از تکمیل رمزگذاری داده ها و نمایش یادداشت باج بر روی صفحه رایانه آلوده شناسایی می شوند. در این مرحله، فایل‌های رمزگذاری‌شده احتمالاً غیرقابل بازیابی هستند، اما برخی اقدامات باید فوراً انجام شوند:

1. قرنطینه کردن ماشین های مجازی

برخی از باج‌افزارها سعی می‌کنند به درایوهای متصل و سایر ماشین‌ها سرایت کنند. با حذف دسترسی به سایر اهداف بالقوه، گسترش بدافزار را محدود کنید.

2. رایانه را روشن بگذارید

رمزگذاری فایل ها ممکن است رایانه را ناپایدار کند و خاموش کردن رایانه می تواند منجر به از دست دادن حافظه شود. رایانه را روشن نگه دارید تا احتمال بازیابی به حداکثر برسد.

3. ایجاد یک نسخه پشتیبان

رمزگشایی فایل ها برای برخی از انواع باج افزار بدون پرداخت باج امکان پذیر است. در صورتی که راه حلی در آینده در دسترس قرار گیرد یا تلاش رمزگشایی ناموفق به فایل ها آسیب برساند، از فایل های رمزگذاری شده روی رسانه های قابل جابجایی کپی کنید.

4. بررسی رمزگشاها

با پروژه No More Ransom بررسی کنید تا ببینید آیا رمزگشا رایگان در دسترس است یا خیر. اگر چنین است، آن را روی یک کپی از داده های رمزگذاری شده اجرا کنید تا ببینید آیا می تواند فایل ها را بازیابی کند یا خیر.

5. کمک بخواهید

گاهی اوقات رایانه ها نسخه های پشتیبان فایل های ذخیره شده روی خود را ذخیره می کنند. اگر این نسخه‌ها توسط بدافزار حذف نشده باشند، ممکن است یک متخصص قانونی دیجیتال بتواند این نسخه‌ها را بازیابی کند.

6. پاک کردن و بازیابی

دستگاه را از یک نسخه پشتیبان تمیز یا نصب سیستم عامل بازیابی کنید. این کار تضمین می کند که بدافزار به طور کامل از دستگاه حذف می شود.

باج افزارهای معروف

ده ها نوع باج افزار وجود دارد که هر کدام ویژگی های منحصر به فرد خود را دارند. با این حال، برخی از گروه‌ها پرکارتر و موفق‌تر از سایرین بوده‌اند و باعث می‌شوند که آنها را از بقیه متمایز کنند.

1. Ryuk

Ryuk باج افزاری بسیار هدفمند است که معمولاً از طریق ایمیل های فیشینگ نیزه ای یا اعتبار کاربری با استفاده از پروتکل دسکتاپ از راه دور (RDP) فعالیت خود را انجام می دهد. هنگامی که یک سیستم آلوده می شود، Ryuk انواع خاصی از فایل ها را رمزگذاری می کند (با اجتناب از موارد ضروری برای عملکرد رایانه)، سپس درخواست باج را مطرح می کند.

Ryuk به عنوان یکی از گران ترین باج افزارهای موجود شناخته شده است و باج هایی با میانگین بیش از 1 میلیون دلار طلب می کند. در نتیجه، مجرمان سایبری پشت Ryuk در درجه اول بر شرکت هایی تمرکز می کنند که منابع لازم برای برآورده کردن خواسته های خود را دارند.

2. Maze

باج افزار Maze به دلیل اینکه اولین نوع باج افزاری است که رمزگذاری فایل و سرقت داده را ترکیب می کند، مشهور است. هنگامی که قربانیان شروع به امتناع از پرداخت باج کردند، Maze شروع به جمع آوری داده های حساس از رایانه های قربانیان قبل از رمزگذاری آنها می کرد. اگر درخواست‌های باج برآورده نمی‌شد، این داده‌ها در معرض دید عموم قرار می‌گرفت یا به بالاترین پیشنهاد فروخته می‌شد.

گروه باج افزار Maze رسما به فعالیت خود پایان داد. با این حال، این بدان معنا نیست که تهدید باج افزار کاهش یافته است. برخی از زیرمجموعه‌های Maze به استفاده از باج‌افزار Egregor روی آورده‌اند و اعتقادشان بر این است که گونه‌های Egregor، Maze و Sekhmet منبع مشترکی دارند.

3. REvil (Sodinokibi)

گروه REvil (که همچنین به عنوان Sodinokibi شناخته می شوند) نوع دیگری از باج افزار است که سازمان های بزرگ را مورد هدف قرار می دهد.

REvil یکی از شناخته شده ترین خانواده های باج افزار در شبکه است. از سال 2019 که گروه روسی زبان REvil را اداره می کنند، مسئول بسیاری از رخنه های بزرگ مانند “Kaseya” و “JBS” بوده اند.

این باج افزار در چندین سال گذشته برای عنوان گران ترین نوع باج افزار با Ryuk رقابت کرده است. آنها از تکنیک Double Extortion برای سرقت داده ها از مشاغل و در عین حال رمزگذاری پرونده ها استفاده می کنند. این بدان معناست که علاوه بر درخواست باج برای رمزگشایی داده ها، مهاجمان ممکن است تهدید کنند که در صورت عدم پرداخت دوم، داده های دزدیده شده را منتشر خواهند کرد.

4. Lockbit

LockBit یک بدافزار رمزگذاری داده است که از سپتامبر 2019 در حال کار است و یک Ransomware-as-a-Service (RaaS) اخیراً ارائه شده است. این باج افزار برای رمزگذاری سریع سازمان های بزرگ به عنوان راهی برای جلوگیری از شناسایی سریع آن توسط دستگاه های امنیتی و تیم های IT/SOC توسعه یافته است.

5. DearCry

در مارس 2021، مایکروسافت وصله‌هایی را برای چهار آسیب‌پذیری در سرورهای Microsoft Exchange منتشر کرد DearCry یک نوع باج افزار جدید است که برای استفاده از چهار آسیب پذیری اخیرا فاش شده در Microsoft Exchange طراحی شده است.

باج افزار DearCry انواع خاصی از فایل ها را رمزگذاری می کند. پس از پایان رمزگذاری، DearCry یک پیام باج به کاربران نشان می دهد که به اپراتورهای باج افزار ایمیل ارسال کنند تا نحوه رمزگشایی فایل های خود را بیاموزند.

6. Lapsus$

Lapsus$ یک باج افزار در آمریکای جنوبی است که با حملات سایبری به برخی از اهداف برجسته مرتبط است. این باند سایبری به اخاذی معروف است و تهدید به انتشار اطلاعات حساس در صورت عدم درخواست قربانیان آن می کند. این گروه به انویدیا، سامسونگ، یوبی سافت و سایرین حمله کرده اند.

آیا باید باج را پرداخت کنید؟

پاسخ کوتاه، خیر. اگرچه پرداخت باج راه حلی سریع و آسان برای بازگرداندن فایل های شما و به حداقل رساندن زمان خرابی به نظر می رسد، اما پرداخت باج پیامدهای نامطلوبی دارد.

پرداخت باج لزوماً همه چیز را حل نمی کند. در بسیاری از موارد هکرها پس از به خطر انداختن شبکه شما، بدافزار را در سیستم شما قرار می دهند، بدین ترتیب فرصتی برای آلوده کردن مجدد رایانه شما در زمان دیگری باقی می‌ماند.

با وجود پرداخت باج، هکر ممکن است نتواند فایل های شما را رمزگشایی کند. هیچ تضمینی وجود ندارد که در صورت پرداخت باج، واقعاً فایل های خود را پس بگیرید. طبق آمار، 80 درصد از قربانیانی که باج را پرداخت کرده اند، داده های خود را پس نگرفته اند.

پرداخت باج باعث تحریک این حملات باج افزار می شود. با پرداخت باج، ثابت می کنید که حمله در هدف نهایی خود موفقیت آمیز بوده است. این پول به کلاهبردان انگیزه ی بیشتری برای حمله به مشاغل دیگر و حتی حمله ی دوباره به خود شما می دهد.