باجافزار چیست و چطور باید با آن مقابله کرد؟
در حال حاضر بدافزارهایی که با عنوان «باجافزار» (Ransomware) شناخته میشوند، بازاری چند میلیون دلاری دارند. باجافزارها ممکن است دامن همه، از اشخاص تا شرکتها و سازمانها را بگیرند. برای آشنایی با روشهای مقابله با آن، ادامهی مطلب را از دست ندهید.
به گزارش FBI در سال گذشتهی میلادی، بیش از ۲۴ میلیون دلار اخاذی شده و این رقم تنها مربوط به اشخاص یا شرکتهایی است که درخواست باجخواهی هکرها را گزارش کردهاند.
هکرهایی که از دانششان به شکل منفی برای بهدست آوردن پول استفاده میکنند، همیشه روشها و ابزارهای جدیدی را به جای هک بانکها یا کارتهای اعتباری برای این کار ابداع میکنند. یکی از ابزارهای مورد علاقهی آنها، باجافزار است. این روش حمله در واقع راهی برای هکرها است که از طریق روشهای خاص یا به کمک نرمافزارهای آلوده، با گروگانگیری کامپیوتر یا رمزنگاری فایلهای کاربر، از او اخاذی کنند. در اینجا انتخاب با کاربر است که با پرداخت پول مورد درخواست، به فایلهای خود دسترسی پیدا کند یا به فکر راهی دیگر باشد. شاید تصور کنید که داشتن نسخهی پشتیبان از فایلها برای گریز از پرداخت باج، کافی باشد. اما این مساله با نوع بکآپگیری، حجم دادهها و اندازهی شرکت یا سازمان مورد حمله، ارتباط مستقیم دارد. قربانیان باجافزار CryptoWall از زمان کشف این بدافزار در ژانویهی ۲۰۱۵ تابهحال متحمل ضرری ۳۲۵ میلیون دلاری شدهاند. این هزینه شامل هزینهی پاکسازی سیستمها و بازیابی نسخههای پشتیبان بوده است که بسته به فاکتورهای مورد اشاره، روزها و هفتهها برای شرکت یا سازمانهای قربانی زمان برده است.
درعینحال، جای نگرانی عمدهای نیست. در صورت توجه به نکاتی خاص، میتوانید خود و شرکتتان را تا حدود زیادی از حملات هکرهای باجخواه در امان نگه دارید.
در مورد باجافزار چه باید بدانیم؟
هر شرکت یا سازمانی بسته به میزان دسترسی به اطلاعات، باید اهمیت بیشتری به مقابله با باجافزارها بدهد. بانکها، بیمارستانها، وزارتخانهها، شرکتهای هواپیمایی، فرودگاهها و نمونههای مشابه، باید در روشهای مقابله با بدافزارها نسبت به سایر مجموعهها اولویت بسیار بالاتری اختصاص دهند. از طرفی سایر مجموعهها نیز باید بسته به اینکه تا چه حد به زیرساختهای مهم دسترسی دارند، نسبت به این خطر گوشبهزنگ باشند. به گفتهی «رابرت لی» (Robert M. Lee) -مدیر شرکت امنیتی Dragos Security- باجافزارها میتوانند بر سیستم عامل ویندوز اثر بگذارند؛ اما بر اساس بررسیهای انجام شده، باجافزارها، حداقل تا این تاریخ، امکان اثرگذاری بر سیستمهای حساسی که زیرساختهای اساسی را کنترل میکنند، ندارند.
اما به گفتهی «رابرت لی» با وجود اینکه سیستم عامل ویندوز از کنترل این زیرساختها کنار گذاشته شده، نباید ریسک بیتوجهی به تاثیرات منفی باجافزارها را در چنین مواردی نادیده گرفت. در صورت بروز آلودگی، امکان توقف عملیات بازبینی یا فرایندهای کنترل با مشکل مواجه میشود.
در صنایع و بخشهای حساسی مثل نیروگاههای هستهای، سدها و موارد مشابه، تنها ارسال دستور خاموش شدن به سیستم میتواند موقعیت بسیار خطرناکی برای یک شهر، منطقه یا حتی یک کشور ایجاد کند.
اما در مقیاس بسیار کوچکتر، افراد عادی هم میتوانند بهصورت مستقیم مورد حملهی باجافزارها قرار بگیرند. جهت پیشگیری از بروز این مورد و ضررهای احتمالی که متوجه ما است، نکاتی در زیر اشاره شده که میتواند ما را تا حد زیادی از خطر مصون نگه دارد.
۱- تهیهی نسخهی پشتیبان را جدی بگیرید.
بهترین دفاع در برابر باجافزارها، پیشگیری در قدم اول است. به این معنی که بهصورت مرتب و روزانه نسبت به پشتیبانگیری از اطلاعات مهم اقدام شود. در این صورت چنانچه کامپیوتر یا سرور شما قفل شد، شما الزاما برای آزاد کردن آنها، مجبور به پرداخت پول به هکرها نیستید.
برخی حملهکنندههایی که از این روش استفاده میکنند، در کنار رمزنگاری و قفلکردن سیستم، سرویسهای بکآپ را هم مورد هدف قرار میدهند.
«کریس داگت» (Chris Doggett) -از مسوولان شرکت Carbonite که سرویس پشتیبانگیری اطلاعات را به اشخاص و کسبوکارهای کوچک میدهد- اشاره کرده که در دوازده ماه گذشته، بیش از پنج هزار مشتری در رابطه با حمله با باجافزار، با این شرکت تماس گرفته و درخواست کمک کردهاند. همچنین به گفتهی او در حملاتی جداگانه دسترسی به ۱۴ هزار پرونده در یک موسسهی درمانی و بیش از ۱۷۰ هزار فایل در یک سازمان بهوسیلهی حملههایی با باجافزار محدود شد که هر دوی آنها به کمک نسخههای پشتیبان، باجی به هکرها پرداخت نکردند. البته برخی حملهکنندههایی که از این روش استفاده میکنند، در کنار رمزنگاری و قفلکردن سیستم، سرویسهای بکآپ را هم مورد هدف قرار میدهند. آنها در پی نسخههای پشتیبان ممکن است شبکه را نیز برای سرورهای احتمالی جستوجو کنند. در این صورت، چنانچه بهجای سرویسهای ابری از فضای محلی برای ذخیرهسازی و بهروزرسانی نسخهی پشتیبان استفاده میکنید، ممکن است خطر بیشتری شما را تهدید کند. بهتر است در صورت استفاده از راهکارهای محلی برای تهیهی نسخهی پشتیبان، پس از انجام عملیات پشتیبانگیری، دسترسیها را برای پیشگیری از نفوذ حملهکننده قطع یا محدود کنید.
همچنین به گفتهی «آنیپ گاش» (Anup Ghosh) -مدیر شرکت امنیتی Invincea- بسیاری از افراد از شبکههای محلی برای تهیهی نسخهی پشتیبان استفاده میکنند. او تاکید میکند که شبکههای محلی به اندازهی کامپیوترهای شخصی در برابر آلودگی بهوسیلهی باجافزارها آسیبپذیر هستند. باید توجه داشت که نسخههای پشتیبان در جایی نگهداری شوند که در صورت آلوده شدن کامپیوترها، ارتباطی بین کامپیوتر و فضای ذخیرهسازی بکآپ وجود نداشته باشد.
در صورتیکه از یک هارد اکسترنال برای تهیهی نسخهی پشتیبان استفاده میکنید، بهتر است تنها وقتی قصد بکآپگیری دارید، هارد را به کامپیوترتان متصل و پس از آن ارتباط را قطع کنید.
آقای گاش تاکید میکند که درصورتیکه پس از پشتیبانگیری، هارد اکسترنال را از کامپیوتر جدا نکنید، در صورت آلوده شدن کامپیوتر به باجافزار، نسخهی پشتیبان شما هم آلوده و قفل میشود. به یاد داشته باشید که اگر چه نسخهی پشتیبان میتواند خطر را از بین ببرد، اما این فایلها حملههای باجافزارها را دفع نمیکنند و در خصوص برخی کسبوکارها یا شرکتهای خاص، ممکن است وجود نسخهی پشتیبان هم به کارتان نیاید. به گفتهی آقای داگت در برخی مواقع، اماکنی مانند بیمارستانها، پرداخت باج را –به خاطر اطلاعات حیاتی بیماران- ترجیح میدهند. چراکه حتی در صورت وجود نسخهی پشتیبان، بازهی زمانی لازم برای بازگردانی بکآپها میتواند برای برخی بیماران گران تمام شود.
۲- ایمیلهای غیرضروری را نادیده بگیرید.
یکی از روشهای معمول هکرها برای آلوده کردن کامپیوتر قربانیان، استفاده از تکنیکهای «فیشینگ» (Phishing) است. آنها با استفاده از این تکنیکها با ارسال ایمیلهای اسپم برای قربانیان، آنها را ترغیب به دانلود فایل ضمیمهی ایمیل یا کلیک بر لینکی خاص میکنند. پس از آن، آلودگی در کامپیوتر منتشر میشود.
یکی از روشهای ابداعی که بهوسیلهی این هکرها استفاده میشود تکنیکی به نام «مَلوِرتایزینگ» (Malvertising) است.
در کنار فیشینگ، یکی از روشهای ابداعی تازه که بهوسیلهی این هکرها استفاده میشود تکنیکی به نام «مَلوِرتایزینگ» (Malvertising) است. در این روش، هکرها ابتدا شبکههای تبلیغات بنری را هدف قرار میدهند و پس از آن، لینکهای آلودهی خود را از طریق تبلیغاتی که در سایتهای قابل اعتماد نمایش داده میشوند، منتشر میکنند. این نوع حمله اخیرا در سایت نیویورکتایمز و بیبیسی دیده شده است. یکی از روشهای مقابله با این حمله، استفاده از افزونههایی مثل AdBlocker برای حذف تبلیغات در صفحات اینترنتی است که میتواند جلوی نمایش تبلیغات آلودهشدهی احتمالی را بگیرد. متخصصان حوزهی امنیت، تاثیر آموزش را در کاهش نفوذ حملات فیشینگ بسیار بالا ارزیابی کردهاند. در این روشها، به کارکنان شرکتها یا موسسهها روشهای اعتماد یا عدم اعتماد به ایمیلهای دریافتی و نحوهی رفتار با هر کدام را آموزش میدهند. توصیه شده در طی مراحل آموزش، ایمیلهای مشکوک -اما سالم- عمدا از طرف آموزشدهنده برای کارکنان ارسال شود تا نحوهی رفتار آنها مورد بررسی قرار گیرد. در این حملات شبیهسازی شده که پس از آموزش ارسال میشوند، خودآگاهی کارکنان افزایش مییابد؛ بهطوریکه در برخی شرکتها میزان موفقیت حملات فیشینگ از ۱۵٫۹ درصد به ۱٫۲ درصد میرسد.
حتی اگر ایمیلی را بهظاهر، از دوستتان نیز دریافت کردید که فایلی به آن پیوست شده، تا قبل از اطمینان از اینکه ایمیل مربوطه بهدرستی و از طرف فرد مورد نظر ارسال شده، آن را باز نکرده و فایل ضمیمهاش را دانلود نکنید.
وظیفهی بخش IT در شرکتها و سازمانها برای اعمال این آموزشها بسیار حیاتی است. چرا که ممکن است برخی کارکنان، بدون آگاهی از اصول اولیهی امنیت در اینترنت، خودشان و کل شرکت یا سازمان را با سهلانگاری و ناآگاهی به خطر بیندازند. به عنوان یک کاربر، بهتر است شما به بسیاری از ایمیلهای دریافتی اعتماد نکرده و توجه داشته باشید که روی لینکهای این ایمیلها و فایلهای ضمیمهی آنها، کلیک نکنید. توجه کنید که حتی اگر ایمیلی را بهظاهر، از دوستتان نیز دریافت کردید که فایلی به آن پیوست شده، تا قبل از اطمینان از اینکه ایمیل مربوطه بهدرستی و از طرف فرد مورد نظر ارسال شده، آن را باز نکرده و فایل ضمیمهاش را دانلود نکنید. توجه داشته باشید که دوستان، هرگز بدون هماهنگی قبلی فایلی برای شما ارسال نمیکنند.
۳- بهروز باشید و حفرههای امنیتی را مسدود کنید.
کاربران بهتنهایی هرگز نمیتوانند تمامی راههای ورود را ببندند. به گفتهی آقای گاش، کاربران سرانجام فایلی را دانلود میکنند یا به سایتی سر میزنند که باعث آلودگی کامپیوتر میشود؛ و زمانی که این اتفاق بیفتد، تنها باید امیدوار باشند که به شکلی از وضعیت خلاص شوند. شرکت آقای گاش نرمافزاری امنیتی طراحی کرده که با کمک یادگیری ماشینی قدرت شناسایی باجافزارها و سایر بدافزارها را دارد. به گفتهی خود او، این نرمافزار جلوی صددرصد حملات را از ۶۴ سایت آلوده گرفته است. اما هیچ نرمافزار امنیتی بهطور کامل بیاشتباه نیست. بااینحال افراد و شرکتها، این روزها به واسطهی این ابزارها، کمتر قربانی حملات باجافزاری میشوند. به همین دلیل است که باید توجه بیشتری به اطمینان از تامین معیارهای استاندارد امنیت بشود. بهروزرسانیهای امنیتی سیستم عامل و نرمافزارها و پیشگیری از ورود نرمافزارهای مخرب از جملهی آنها است. به گفتهی آقای گاش، در حملاتی که از طریق وب انجام میشود، حملهکنندگان از طریق پلاگینهای Java و Flash اقدام به حمله میکنند که بهروزرسانی این ابزارها بهطور مشخص میتواند به بهبود روند کمک کند.
از دیگر راههای پیشگیری از ورود و نصب نرمافزارهای مخرب، ایجاد لیستی سفید از نرمافزارهای امن و تایید شده است که اجازهی اجرا بر روی سیستم را دارند. در این صورت، هیچ نرمافزار دیگری نمیتواند روی سیستم نصب شود و همین مساله از اجرای فایلها و برنامههای مخرب نیز جلوگیری میکند. این وظیفه در شرکتها به عهدهی بخش IT است که پس از پاکسازی سیستمها و نصب ابزارهای مورد نیاز، پیکربندی کامپیوترها را در جهت مسدودسازی نصب اپلیکیشنهای جانبی دیگر، انجام دهند.
از روشهای مهم دیگر، نیاز به رمز عبور حساب اصلی برای اجازهی نصب نرمافزارها روی سیستم است. بدینترتیب هیچ نرمافزار جدیدی بدون اجازهی مدیر سیستم و رمز عبور او -جهت تایید- قابل نصب نخواهد بود. در این صورت حتی درخواستهای احتمالی از طریق شبکهی محلی به نتیجه نمیرسد و جلوی انتشار عملکرد منفی بدافزار گرفته میشود. بهعلاوه با گروهبندی کارکنان هر بخش در شبکههای محلی مجزا، امکان آلوده شدن کل شبکه به حداقل میرسد؛ چراکه هکرها باید به شبکهها و سرورهای متعددی برای ایجاد آلودگی بیشتر دسترسی پیدا کنند و این مساله زمانبر و مشکل است.
۴- در صورت آلودگی، ارتباط با شبکه را قطع کنید.
لازم است که کلیهی ارتباطات بیسیم از قبیل Wi-Fi و بلوتوث نیز خاموش شوند تا بدافزار مربوطه نتواند از طریق این ارتباطات بهنحوی خود را منتشر کند.
اوایل سال جاری میلادی، پس از آلوده شدن MedStar Health با یک باجافزار، مدیران فنی شرکت بهسرعت کامپیوترهای مجموعه را برای کاهش انتشار آلودگی خاموش کردند. در فایل راهنمایی که به وسیلهی یک شرکت امنیتی در همین رابطه منتشر شده، به روشهای پاسخ به حملههای باجافزاری اشاره شده که قطع ارتباط کامپیوتر از شبکه از مهمترین کارها در این زمینه است. لازم است که کلیهی ارتباطات بیسیم از قبیل Wi-Fi و بلوتوث نیز خاموش شوند تا بدافزار مربوطه نتواند از طریق این ارتباطات بهنحوی خود را منتشر کند. پس از آن، لازم است نوع باجافزاری که کامپیوتر قربانی را آلوده کرده شناسایی شود. در حال حاضر اغلب آنتیویروسهای بازار، از جمله «کسپرسکی» (Kaspersky)، امکان شناسایی، برداشتن قفل و پاکسازی سیستم را از بسیاری از باجافزارها دارند. با این وجود، رفع مشکل با کمک آنتیویروس بستگی به قدرت رمزنگاری باجافزار مربوطه دارد. درصورتیکه امکان شکستن قفل باجافزار و دسترسی به نسخهی پشتیبان نیز وجود نداشته باشد، احتمالا تنها گزینه، پرداخت پول درخواست شده به حملهکننده(ها) است!
به گفتهی آقای گاش، پیشازاین بسیاری از حملات ویروسی یا نمونههای دیگر، مشکلی جدی برای کاربران به وجود نمیآوردند. اما یک باجافزار میتواند یک کسبوکار بزرگ را فلج کند. در حملات شخصی نیز کاربران ممکن است به خاطر از دست دادن اطلاعات شخصی نظیر تصاویر خانوادگی و خاطرهانگیز یا عدم دسترسی مجدد به پروژههای شخصیشان، با مشکل مواجه شوند.
دستگاههای امنیتی و متخصصان، پرداخت پول به هکرها را برای آزادسازی فایلها توصیه نمیکنند. چرا که با افتادن در دام این اخاذی، به آنها در ساخت باجافزارهای قدرتمندتر کمک شده است. درعینحال نباید از یاد برد که درک چنین مسالهای برای شخصی که در آستانهی از دست دادن اطلاعاتی حساس است، چندان ساده نیست.
با سلام
آیا راه حلی برای بازیابی فایل هایی که با باج افزار Zepto تغییر کرده اند وجود دارد؟
با سلام
فعلا هیچ راه حلی پیدا نشده ولی شرکت کاسپرسکی دارد به شدت روی این بدافزار و رمزگشایی Zepto کار میکند
انشاالله که بتواند کار مثبتی انجام دهد
باید به خاطر داشته باشید که شرکت های تولید کننده آنتی ویروس خود تولید کننده بدافزارها نیز می باشند و از طریق رمزنگاری و رمزگشایی درآمد های هنگفت به دست می آورند
خیلی ممنون بخاطر این مقالتون
و راهکار هایتون
ولی اگه این بدافزار همون موقع که سیستم الوده شد خودشو نشون نده و شروع کنه به پخش شدن و بعد از عملیات بکاپ گیری نه یک بار بلکه چنبار (بعنوان مثال:سیستمم هارد ۱ ترا داره و من ۷ تا هارد ۱ ترا دارم و هر روز هفته با یک کدوم از این هاردام بکاپ گیری میکنم و اگر این بد افزار امروز وارد سیستمم بشه من امروز بکاپ بگیرم اولین هاردم الوده میشه همینطور بقیه حافظه هایی که ب سیستمم هم وصل میکنم الوده میشن و همینطور تا روز اخر و کلا همه هاردام و ایمیلام و همه الوده میشن) یهو خودشو نشون بده اونو موقع چیکار باید کرد و اینگونه میشه که باید ۱۰۰۰ تا هارد داشته باشم که بعد سه سالم خودشو نشون داد باز یخورده از اطلاتم هم سالم بمونه
آیا این بهترین راهکاره و اینم در نظر داشته باشین که اون بدافزار فقط برای سیستم من طراحی شده و هیچ انتی ویروسی هم نتونه شناسایش کنه
و در مورد (از روشهای مهم دیگر، نیاز به رمز عبور حساب اصلی برای اجازهی نصب نرمافزارها روی سیستم است. بدینترتیب هیچ نرمافزار جدیدی بدون اجازهی مدیر سیستم و رمز عبور او -جهت تایید- قابل نصب نخواهد بود) هم یخورده توضیح بدین اولین باره که به گوشم خورده چون بنظرم این تنها راه حل ممکنه هست
چندماه پیش گرفتار یکی از همین باج افزارها شدم؛اما خوشبختانه اطلاعات مهمی روی لپ تاپ نداشتم،هارد دیسکمو به طور کامل فرمت کردم و مجددا سیستم عامل نصب کردم.ماجرا از این قرار بود که حدود ده دقیقه از پای pc بلند شدم و وقتی برگشتم با یک پنجره عجیب روی مانیتورم مواجه شدم؛تو این پنجره نوشته شده بود فایل های مدیای شما از جمله عکس،موزیک و ویدیو رمزنگاری شده اند و شما سه روز فرصت دارین که از طریق این درگاه پرداخت،مبلغی رو پرداخت کنین تا کد بازگشایی سیستم رو دریافت کنین.اون زمان نمیدونستم نام این بدافزار چیه،الان تازه متوجه میشم که اون درواقع باج افزار یا ransomware بوده!ممنون بابت مقاله مفیدتون.