باج‌افزار چیست و چطور باید با آن مقابله کرد؟

در حال حاضر بدافزارهایی که با عنوان «باج‌افزار» (Ransomware) شناخته می‌شوند، بازاری چند میلیون دلاری دارند. با‌ج‌افزارها ممکن است دامن همه، از اشخاص تا شرکت‌ها و سازمان‌ها را بگیرند. برای آشنایی با روش‌های مقابله با آن، ادامه‌ی مطلب را از دست ندهید.

‌‌‌‌         ‌

به گزارش FBI در سال گذشته‌ی میلادی، بیش از ۲۴ میلیون دلار اخاذی شده و این رقم تنها مربوط به اشخاص یا شرکت‌هایی است که درخواست باج‌خواهی هکرها را گزارش کرده‌اند.

هکرهایی که از دانش‌شان به شکل منفی برای به‌دست آوردن پول استفاده می‌کنند، همیشه روش‌ها و ابزارهای جدیدی را به جای هک بانک‌ها یا کارت‌های اعتباری برای این کار ابداع می‌کنند. یکی از ابزارهای مورد علاقه‌ی آن‌ها، باج‌افزار است. این روش حمله در واقع راهی برای هکرها است که از طریق روش‌های خاص یا به کمک نرم‌افزارهای آلوده، با گروگان‌گیری کامپیوتر یا رمزنگاری فایل‌های کاربر، از او اخاذی ‌کنند. در اینجا انتخاب با کاربر است که با پرداخت پول مورد درخواست، به فایل‌های خود دسترسی پیدا کند یا به فکر راهی دیگر باشد. شاید تصور کنید که داشتن نسخه‌ی پشتیبان از فایل‌ها برای گریز از پرداخت باج، کافی باشد. اما این مساله با نوع بک‌آپ‌گیری، حجم داده‌ها و اندازه‌ی شرکت یا سازمان مورد حمله، ارتباط مستقیم دارد. قربانیان باج‌افزار CryptoWall از زمان کشف این بدافزار در ژانویه‌ی ۲۰۱۵ تا‌به‌حال متحمل ضرری ۳۲۵ میلیون دلاری شده‌اند. این هزینه شامل هزینه‌ی پاکسازی سیستم‌ها و بازیابی نسخه‌های پشتیبان بوده است که بسته به فاکتورهای مورد اشاره، روزها و هفته‌ها برای شرکت یا سازمان‌های قربانی زمان برده است.

درعین‌حال، جای نگرانی عمده‌ای نیست. در صورت توجه به نکاتی خاص، می‌توانید خود و شرکت‌تان را تا حدود زیادی از حملات هکرهای باج‌خواه در امان نگه دارید.

در مورد باج‌افزار چه باید بدانیم؟

هر شرکت یا سازمانی بسته به میزان دسترسی به اطلاعات، باید اهمیت بیشتری به مقابله با باج‌افزارها بدهد. بانک‌ها، بیمارستان‌ها، وزارت‌خانه‌ها، شرکت‌های هواپیمایی، فرودگاه‌ها و نمونه‌های مشابه، باید در روش‌های مقابله با بدافزارها نسبت به سایر مجموعه‌ها اولویت بسیار بالاتری اختصاص دهند. از طرفی سایر مجموعه‌ها نیز باید بسته به اینکه تا چه حد به زیرساخت‌های مهم دسترسی دارند، نسبت به این خطر گوش‌به‌زنگ باشند. به گفته‌ی «رابرت لی» (Robert M. Lee) -مدیر شرکت امنیتی Dragos Security- باج‌افزارها می‌توانند بر سیستم ‌عامل ویندوز اثر بگذارند؛ اما بر اساس بررسی‌های انجام شده، باج‌افزارها، حداقل تا این تاریخ، امکان اثرگذاری بر سیستم‌های حساسی که زیرساخت‌های اساسی را کنترل می‌کنند، ندارند.

اما به گفته‌ی «رابرت لی» با وجود اینکه سیستم ‌عامل ویندوز از کنترل این زیرساخت‌ها کنار گذاشته شده، نباید ریسک بی‌توجهی به تاثیرات منفی باج‌افزارها را در چنین مواردی نادیده گرفت. در صورت بروز آلودگی، امکان توقف عملیات بازبینی یا فرایندهای کنترل با مشکل مواجه می‌شود.

در صنایع و بخش‌های حساسی مثل نیروگاه‌های هسته‌ای، سدها و موارد مشابه، تنها ارسال دستور خاموش شدن به سیستم می‌تواند موقعیت بسیار خطرناکی برای یک شهر، منطقه یا حتی یک کشور ایجاد کند.

اما در مقیاس بسیار کوچک‌تر، افراد عادی هم می‌توانند به‌صورت مستقیم مورد حمله‌ی باج‌افزارها قرار بگیرند. جهت پیشگیری از بروز این مورد و ضررهای احتمالی که متوجه ما است، نکاتی در زیر اشاره شده که می‌تواند ما را تا حد زیادی از خطر مصون نگه دارد.

۱- تهیه‌ی نسخه‌ی پشتیبان را جدی بگیرید.

بهترین دفاع در برابر باج‌افزارها، پیشگیری در قدم اول است. به این معنی که به‌صورت مرتب و روزانه نسبت به پشتیبان‌گیری از اطلاعات مهم اقدام شود. در این صورت چنانچه کامپیوتر یا سرور شما قفل شد، شما الزاما برای آزاد کردن آن‌ها، مجبور به پرداخت پول به هکرها نیستید.

برخی حمله‌کننده‌هایی که از این روش استفاده می‌کنند، در کنار رمزنگاری و قفل‌کردن سیستم، سرویس‌های بک‌آپ را هم مورد هدف قرار می‌دهند.

«کریس داگت» (Chris Doggett) -از مسوولان شرکت Carbonite که سرویس پشتیبان‌گیری اطلاعات را به اشخاص و کسب‌وکارهای کوچک می‌دهد- اشاره کرده که در دوازده ماه گذشته، بیش از پنج هزار مشتری در رابطه با حمله با باج‌افزار، با این شرکت تماس گرفته و درخواست کمک کرده‌اند. همچنین به گفته‌ی او در حملاتی جداگانه دسترسی به ۱۴ هزار پرونده در یک موسسه‌ی درمانی و بیش از ۱۷۰ هزار فایل در یک سازمان به‌وسیله‌ی حمله‌هایی با باج‌افزار محدود شد که هر دوی آن‌ها به کمک نسخه‌های پشتیبان، باجی به هکرها پرداخت نکردند. البته برخی حمله‌کننده‌هایی که از این روش استفاده می‌کنند، در کنار رمزنگاری و قفل‌کردن سیستم، سرویس‌های بک‌آپ را هم مورد هدف قرار می‌دهند. آن‌ها در پی نسخه‌های پشتیبان ممکن است شبکه را نیز برای سرورهای احتمالی جست‌وجو کنند. در این صورت، چنانچه به‌جای سرویس‌های ابری از فضای محلی برای ذخیره‌سازی و به‌روزرسانی نسخه‌ی پشتیبان استفاده می‌کنید، ممکن است خطر بیشتری شما را تهدید کند. بهتر است در صورت استفاده از راهکارهای محلی برای تهیه‌ی نسخه‌ی پشتیبان، پس از انجام عملیات پشتیبان‌گیری، دسترسی‌ها را برای پیشگیری از نفوذ حمله‌کننده قطع یا محدود کنید.

همچنین به گفته‌ی «آنیپ گاش» (Anup Ghosh) -مدیر شرکت امنیتی Invincea- بسیاری از افراد از شبکه‌های محلی برای تهیه‌‌ی نسخه‌ی پشتیبان استفاده می‌کنند. او تاکید می‌کند که شبکه‌های محلی به اندازه‌ی کامپیوترهای شخصی در برابر آلودگی به‌وسیله‌ی باج‌افزارها آسیب‌پذیر هستند. باید توجه داشت که نسخه‌های پشتیبان در جایی نگهداری شوند که در صورت آلوده شدن کامپیوترها، ارتباطی بین کامپیوتر و فضای ذخیره‌سازی بک‌آپ وجود نداشته باشد.

در صورتی‌که از یک هارد اکسترنال برای تهیه‌ی نسخه‌ی پشتیبان استفاده می‌کنید، بهتر است تنها وقتی قصد بک‌آپ‌گیری دارید، هارد را به کامپیوترتان متصل و پس از آن ارتباط را قطع کنید.

آقای گاش تاکید می‌کند که درصورتی‌که پس از پشتیبان‌گیری، هارد اکسترنال را از کامپیوتر جدا نکنید، در صورت آلوده شدن کامپیوتر به باج‌افزار، نسخه‌ی پشتیبان شما هم آلوده و قفل می‌شود. به یاد داشته باشید که اگر چه نسخه‌ی پشتیبان می‌تواند خطر را از بین ببرد، اما این فایل‌ها حمله‌های باج‌افزارها را دفع نمی‌کنند و در خصوص برخی کسب‌وکارها یا شرکت‌های خاص، ممکن است وجود نسخه‌ی پشتیبان هم به کارتان نیاید. به گفته‌ی آقای داگت در برخی مواقع، اماکنی مانند بیمارستان‌ها، پرداخت باج را –به خاطر اطلاعات حیاتی بیماران- ترجیح می‌دهند. چراکه حتی در صورت وجود نسخه‌ی پشتیبان، بازه‌ی زمانی لازم برای بازگردانی بک‌آپ‌ها می‌تواند برای برخی بیماران گران تمام شود.

۲- ایمیل‌های غیرضروری را نادیده بگیرید.

یکی از روش‌های معمول هکرها برای آلوده کردن کامپیوتر قربانیان، استفاده از تکنیک‌های «فیشینگ» (Phishing) است. آن‌ها با استفاده از این تکنیک‌ها با ارسال ایمیل‌های اسپم برای قربانیان، آن‌ها را ترغیب به دانلود فایل ضمیمه‌ی ایمیل یا کلیک بر لینکی خاص می‌کنند. پس از آن، آلودگی در کامپیوتر منتشر می‌شود.

یکی از روش‌های ابداعی که به‌وسیله‌ی این هکرها استفاده می‌شود تکنیکی به نام «مَل‌وِرتایزینگ» (Malvertising) است.

در کنار فیشینگ، یکی از روش‌های ابداعی تازه که به‌وسیله‌ی این هکرها استفاده می‌شود تکنیکی به نام «مَل‌وِرتایزینگ» (Malvertising) است. در این روش، هکرها ابتدا شبکه‌های تبلیغات بنری را هدف قرار می‌دهند و پس از آن، لینک‌های آلوده‌ی خود را از طریق تبلیغاتی که در سایت‌های قابل اعتماد نمایش داده می‌شوند، منتشر می‌کنند. این نوع حمله اخیرا در سایت نیویورک‌تایمز و بی‌بی‌سی دیده شده است. یکی از روش‌های مقابله با این حمله، استفاده از افزونه‌هایی مثل AdBlocker برای حذف تبلیغات در صفحات اینترنتی است که می‌تواند جلوی نمایش تبلیغات آلوده‌شده‌ی احتمالی را بگیرد. متخصصان حوزه‌ی امنیت، تاثیر آموزش را در کاهش نفوذ حملات فیشینگ بسیار بالا ارزیابی کرده‌اند. در این روش‌ها، به کارکنان شرکت‌ها یا موسسه‌ها روش‌های اعتماد یا عدم اعتماد به ایمیل‌های دریافتی و نحوه‌ی رفتار با هر کدام را آموزش می‌دهند. توصیه شده در طی مراحل آموزش، ایمیل‌های مشکوک -اما سالم- عمدا از طرف آموزش‌دهنده برای کارکنان ارسال شود تا نحوه‌ی رفتار آن‌ها مورد بررسی قرار گیرد. در این حملات شبیه‌سازی شده که پس از آموزش ارسال می‌شوند، خودآگاهی کارکنان افزایش می‌یابد؛ به‌طوری‌که در برخی شرکت‌ها میزان موفقیت حملات فیشینگ از ۱۵٫۹ درصد به ۱٫۲ درصد می‌رسد.

حتی اگر ایمیلی را به‌ظاهر، از دوستتان نیز دریافت کردید که فایلی به آن پیوست شده، تا قبل از اطمینان از این‌که ایمیل مربوطه به‌درستی و از طرف فرد مورد نظر ارسال شده،  آن را باز نکرده و فایل ضمیمه‌اش را دانلود نکنید.

وظیفه‌ی بخش IT در شرکت‌ها و سازمان‌ها برای اعمال این آموزش‌ها بسیار حیاتی است. چرا که ممکن است برخی کارکنان، بدون آگاهی از اصول اولیه‌ی امنیت در اینترنت، خودشان و کل شرکت یا سازمان را با سهل‌انگاری و ناآگاهی به خطر بیندازند. به عنوان یک کاربر، بهتر است شما به بسیاری از ایمیل‌های دریافتی اعتماد نکرده و توجه داشته باشید که روی لینک‌های این ایمیل‌ها و فایل‌های ضمیمه‌ی آن‌ها، کلیک نکنید. توجه کنید که حتی اگر ایمیلی را به‌ظاهر، از دوستتان نیز دریافت کردید که فایلی به آن پیوست شده، تا قبل از اطمینان از این‌که ایمیل مربوطه به‌درستی و از طرف فرد مورد نظر ارسال شده،  آن را باز نکرده و فایل ضمیمه‌اش را دانلود نکنید. توجه داشته باشید که دوستان، هرگز بدون هماهنگی قبلی فایلی برای شما ارسال نمی‌کنند.

۳- به‌روز باشید و حفره‌های امنیتی را مسدود کنید.

کاربران به‌تنهایی هرگز نمی‌توانند تمامی راه‌های ورود را ببندند. به گفته‌ی آقای گاش، کاربران سرانجام فایلی را دانلود می‌کنند یا به سایتی سر می‌زنند که باعث آلودگی کامپیوتر می‌شود؛ و زمانی که این اتفاق بیفتد، تنها باید امیدوار باشند که به شکلی از وضعیت خلاص شوند. شرکت آقای گاش نرم‌افزاری امنیتی طراحی کرده که با کمک یادگیری ماشینی قدرت شناسایی باج‌افزارها و سایر بدافزارها را دارد. به گفته‌ی خود او، این نرم‌افزار جلوی صددرصد حملات را از ۶۴ سایت آلوده گرفته است. اما هیچ نرم‌افزار امنیتی به‌طور کامل بی‌اشتباه نیست. بااین‌حال افراد و شرکت‌ها، این روزها به واسطه‌ی این ابزارها، کمتر قربانی حملات باج‌افزاری می‌شوند. به همین دلیل است که باید توجه بیشتری به اطمینان از تامین معیارهای استاندارد امنیت بشود. به‌روزرسانی‌های امنیتی سیستم‌ عامل و نرم‌افزارها و پیشگیری از ورود نرم‌افزارهای مخرب از جمله‌ی آن‌ها است. به گفته‌ی آقای گاش، در حملاتی که از طریق وب انجام می‌شود، حمله‌کنندگان از طریق پلاگین‌های Java و Flash اقدام به حمله می‌کنند که به‌روزرسانی این ابزارها به‌طور مشخص می‌تواند به بهبود روند کمک کند.

از دیگر راه‌های پیشگیری از ورود و نصب نرم‌افزارهای مخرب، ایجاد لیستی سفید از نرم‌افزارهای امن و تایید شده است که اجازه‌ی اجرا بر روی سیستم را دارند. در این صورت، هیچ نرم‌افزار دیگری نمی‌تواند روی سیستم نصب شود و همین مساله از اجرای فایل‌ها و برنامه‌های مخرب نیز جلوگیری می‌کند. این وظیفه در شرکت‌ها به عهده‌ی بخش IT است که پس از پاکسازی سیستم‌ها و نصب ابزارهای مورد نیاز، پیکربندی کامپیوترها را در جهت مسدودسازی نصب اپلیکیشن‌های جانبی دیگر، انجام دهند.

از روش‌های مهم دیگر، نیاز به رمز عبور حساب اصلی برای اجازه‌ی نصب نرم‌افزارها روی سیستم است. بدین‌ترتیب هیچ نرم‌افزار جدیدی بدون اجازه‌ی مدیر سیستم و رمز عبور او -جهت تایید- قابل نصب نخواهد بود. در این صورت حتی درخواست‌های احتمالی از طریق شبکه‌ی محلی به نتیجه نمی‌رسد و جلوی انتشار عملکرد منفی بدافزار گرفته می‌شود. به‌علاوه با گروه‌بندی کارکنان هر بخش در شبکه‌های محلی مجزا، امکان آلوده شدن کل شبکه به حداقل می‌رسد؛ چراکه هکرها باید به شبکه‌ها و سرورهای متعددی برای ایجاد آلودگی بیشتر دسترسی پیدا کنند و این مساله زمان‌بر و مشکل است.

۴- در صورت آلودگی، ارتباط با شبکه را قطع کنید.

لازم است که کلیه‌ی ارتباطات بی‌سیم از قبیل Wi-Fi و بلوتوث نیز خاموش شوند تا بدافزار مربوطه نتواند از طریق این ارتباطات به‌نحوی خود را منتشر کند.

اوایل سال جاری میلادی، پس از آلوده شدن MedStar Health با یک باج‌افزار، مدیران فنی شرکت به‌سرعت کامپیوترهای مجموعه را برای کاهش انتشار آلودگی خاموش کردند. در فایل راهنمایی که به وسیله‌ی یک شرکت امنیتی در همین رابطه منتشر شده، به روش‌های پاسخ به حمله‌های باج‌افزاری اشاره شده که قطع ارتباط کامپیوتر از شبکه از مهم‌ترین کارها در این زمینه است. لازم است که کلیه‌ی ارتباطات بی‌سیم از قبیل Wi-Fi و بلوتوث نیز خاموش شوند تا بدافزار مربوطه نتواند از طریق این ارتباطات به‌نحوی خود را منتشر کند. پس از آن، لازم است نوع باج‌افزاری که کامپیوتر قربانی را آلوده کرده شناسایی شود. در حال حاضر اغلب آنتی‌ویروس‌های بازار، از جمله «کسپرسکی» (Kaspersky)، امکان شناسایی، برداشتن قفل و پاکسازی سیستم را از بسیاری از باج‌افزارها دارند. با این وجود، رفع مشکل با کمک آنتی‌ویروس بستگی به قدرت رمزنگاری باج‌افزار مربوطه دارد. درصورتی‌که امکان شکستن قفل باج‌افزار و دسترسی به نسخه‌ی پشتیبان نیز وجود نداشته باشد، احتمالا تنها گزینه، پرداخت پول درخواست شده به حمله‌کننده(ها) است!

به گفته‌ی آقای گاش، پیش‌ازاین بسیاری از حملات ویروسی یا نمونه‌های دیگر، مشکلی جدی برای کاربران به وجود نمی‌آوردند. اما یک باج‌افزار می‌تواند یک کسب‌وکار بزرگ را فلج کند. در حملات شخصی نیز کاربران ممکن است به خاطر از دست دادن اطلاعات شخصی نظیر تصاویر خانوادگی و خاطره‌انگیز یا عدم دسترسی مجدد به پروژه‌های شخصی‌شان، با مشکل مواجه شوند.

‌‌‌‌‌‌         ‌‌‌

دستگاه‌های امنیتی و متخصصان، پرداخت پول به هکرها را برای آزادسازی فایل‌ها توصیه نمی‌کنند. چرا که با افتادن در دام این اخاذی، به آن‌ها در ساخت باج‌افزارهای قدرتمندتر کمک شده است. درعین‌حال نباید از یاد برد که درک چنین مساله‌ای برای شخصی که در آستانه‌ی از دست دادن اطلاعاتی حساس است، چندان ساده نیست.