باج افزار چیست و شیوه متوقف کردن آن چگونه است؟
این روزها اینترنت مملو از خطر است، اما هیچ چیزی به اندازه باج افزار و یا Ransomware نمی تواند متخصصان امنیت و مدیران سیستم ها را نگران کند. با توجه به بررسی وضعیت امنیت از نگاه eSecurance Planet 2019، باج افزار یکی از تهدیدات امنیت سایبری است که سازمانها کمترین آمادگی را برای مواجهه با آن دارند. واین تهدید یکی از مهمترین تهدیدات جنگ سایبری است.
بنابراین در اینجا نگاهی جامع به باج افزار داریم و چگونگی جلوگیری از آن را بررسی میکنیم و همچنین اگر شما یکی از قربانیان تاسف بار آن شوید به شما میگوییم که چه کاری باید انجام دهید.
بیاین اول به این سوال بپردازیم که باج افزار چیست؟
مفهوم Ransomware نسبتاً ساده است: بدافزاری که مخفیانه بر روی یک سیستم نصب شده و پس از آن یک حمله رمزنگاری را انجام می دهد که در سکوت فایل های روی سیستم رمزگذاری می کند. همچنین ممکن است در شبکه شرکت گسترش یابد و از طریق پرونده های به اشتراک گذاشته شده سرورهای و دیگر سیستم ها را آلوده کند. سپس درخواست می کند که از طریق Bitcoin سریعاً باج را بپردازید تا به کلید مورد نیاز برای رمزگشایی فایل ها دسترسی پیدا کنید. غالباً قیمت باج پس از یک دوره اولیه (معمولاً ۷۲ ساعت) بالا می رود، و هیچ ضمانتی مبنی بر دریافت کلید در صورت پرداخت باج وجود ندارد.
باج افزار غالباً حاوی قابلیت استخراج است که می تواند اطلاعات مهم مانند نام کاربری و رمز عبور را بدزدد، بنابراین متوقف کردن باج افزار کار جدی است.
اگر در سیستم خود را با پیغامی مانند این مواجه شدید باید بدانید که قربانی باج افزار شدید:
“!!! IMPORTANT INFORMATION !!! All of your files are encrypted with RSA-2048 and AES-128 ciphers.”
“!!! اطلاعات مهم! همه پرونده های شما با رمزهای RSA-2048 و AES-128 رمزگذاری شده اند.”
آمار باج افزار
Ransomware ها با سرعت زیادی در حال تکامل و رشد هستند. یک بررسی آژانس Malwarebytes-Osterman در ایالات متحده، انگلیس، کانادا و آلمان در ماه اوت گذشته مشخص شد که باج افزارها به حدود ۴۰٪ سازمان ها در سال گذشته رسیده اند و بیش از ۴۰٪ از این قربانیان باج را پرداخت کرده اند.
در این گزارش همچنین مشخص شد:
- ۴۶٪ از حملات از طریق ایمیل سرچشمه گرفته است
- خدمات حسابداری و درمانی ، صنایعی بودند که اغلب توسط باج افزارها مورد استفاده قرار می گرفتند
- ۶۳٪ از سازمانهای آسیب دیده بیش از یک روز جهت ترمیم عدم سرویس دهی زمان نیاز داشته اند
- سازمان های ایالات متحده بیشترین حمله را به خود اختصاص داده اند، در سال گذشته ۸۰٪ از حملات سایبری رنج برده و بیش از نیمی از این حملات را باج افزارها انجام داده اند
- سازمانهای کانادایی در بیشتر موارد باج را پرداخت می کردند (۷۵٪ مواقع) و بیشترین پول (۶۵٪ از پرداخت های انجام شده برای این باج افزارها بین ۱۰۰۰ تا ۵۰،۰۰۰ دلار بوده است).
استرمن نشان داد که موارد باج افزار در کیت های سوء استفاده ۲۵۹٪ در پنج ماه قبل از گزارش رشد یافته است. یکی از دلایل این افزایش این است که حملات باج افزار برای مجرمان سودآور است. در سال ۲۰۱۵، فقط ۲۴ میلیون دلار به عنوان باج برای باز کردن پرونده ها پرداخت شد، در حالی که تخمین زده می شود ۱ میلیارد دلار در سال ۲۰۱۶ توسط افراد و سازمان های مختلف در سراسر جهان پرداخت شده باشد.
طبق گفته سیمانتک مقدار باج درخواست شده توسط باج افزارها به طور میانگین ۶۷۹ دلار بوده است. اما برخی از باج افزارها با توجه با سازمان قربانی شونده میزان متفاوتی را درخواست میکردند. به عنوان مثال هنگامی که آژانس حمل و نقل شهری سانفرانسیسکو در نوامبر سال ۲۰۱۶ مورد حمله قرار گرفت، باج خواه مبلغی در حدود ۷۰،۰۰۰ دلار ازر بیت کوین برای رمزگشایی درخواست کرد.
باج افزار چگونه کار میکند؟
رایج ترین راه مجرمان جرایم سایبری جهت آلوده کردن یک سازمان، ارسال ایمیل با لینک یا پیوست مخرب است که یک کارمند ناخواسته روی آن کلیک می کند. این ایمیل هاممکن است ایمیل هایی باشد که برای میلیون ها قربانی بالقوه و یا به صورت هدفمند برای شخص خاص در یک سازمان خاص ارسال شود. طبق گفته ی PhishMe ،Ransomware ها اکنون ۹۷٪ از ایمیل های فیشینگ را شامل می شود، و خاطرنشان كرد كه Locky رایج ترین باج افزار بود و با قرار گرفتن در كنار CryptoLocker 2013 در بین بدنام ترین ransomware جای گرفته اند، و در ماه مه سال ۲۰۱۷ باج افزار WannaCry به سرعت بیش از ۱۰۰،۰۰۰ سیستم را آلوده کرد و خسارات زیادی را ایجاد نمود.
Locky به طور معمول از طریق پیوست نامه الکترونیکی وارد می شود و از شما میخواهد ماکرو را فعال کنید. اگر این کار را انجام دهید، دسک تاپ شما به صورت زیر ظاهر می شود:
حمله باج افزارها از طریق ایمیل، متوقف کردن باج افزار را به یک مشکل دشوار تبدیل می کند. این نوع حمله، که بر متکی ترغیب کارمند برای انجام یک اقدام خاص است. حتی کاربران نسبتاً پیشرفته نیز می توانند با کلیک روی فاکتور مورد نظرشان یا عکسی که ظاهراً از طرف کسی است که می شناسند یا سندی که ظاهراً از رئیس آنها فرستاده شده است فریب بخورند.
این بدان معناست که باید تلاش زیادی انجام شود تا از حمله باج افزار جلوگیری شود، سازمانها باید برای بدترین وضعیت آماده شوند و اطمینان حاصل کنند که تمام اقدامات لازم برای به حداقل رساندن تأثیر احتمالی باج افزارها انجام شده است.
جلوگیری از حملات باج افزارها
چندین مرحله وجود دارد که سازمانها می توانند برای جلوگیری از باج افزار، با درجات مختلفی از کارآیی انجام دهند:
- افزایش آگاهی و آموزش کارکنان: افزایش آگاهی در مورد باج افزار با آموزش کارکنان در مورد خطرات کلیک روی پیوستها یا پیوندها در ایمیلها، به عنوان یک اقدام امنیتی اساسی کاملاً حائز اهمیت است. فقط یک کارمند نیاز است تا امنیت سایبری یک سازمان را به خطر بیاندازد و به همین دلیل نباید به آموزش کارکنان اعتماد کامل شود و اقداماتی دیگری نیز باید انجام شود. شواهد زیادی وجود دارد که نشان می دهد اثرات یک جلسه آموزشی به مرور زمان از بین می رود، اما شرکت هایی مانند PhishMe فناوری هایی را برای کمک به تازه نگه داشتن آموزشهای امنیتی کارکنان با ارسال ایمیل های مخرب شبیه سازی شده به صورت مداوم فراهم می کنند. اگر یک کارمند روی پیوند مخرب شبیه سازی شده کلیک کند، آموزش بیشتری را دریافت می کند تا اطمینان حاصل شود که دوباره توسط یک ایمیل مشابه تبدیل به قربانی نشود.
- از اسپم فیلتر مناسب و کاربردی استفاده کنید: مجرمان سایبری میلیون ها ایمیل مضر را به سازمان ها ارسال می کنند، اما یک فیلتر اسپم مؤثر که به طور مداوم از یک مرکز اطلاعاتی تهدید مبتنی بر سرویس ابری cloud-based threat intelligence center بروزرسانی می شود می تواند جلوی رسیدن بیش از ۹۹% آنها را قبل از رسیدن به سیستم کاربر بگیرد.
- پیکربندی سیستم ها برای نشان دادن پسوند فایل ها: کارمندان باید آموزش ببینند که روی فایلهای اجرایی با پسوند .exe دوبار کلیک نکنند. با این حال، ویندوز پسوند فایل را بطور پیش فرض پنهان می کند، و به یک فایل اجرایی مخرب مانند “file.doc.exe” اجازه می دهد که به شکل یک سند Word بنام “file.doc” باشد. اطمینان از نمایش تمام پسوند ها میتواند در جلوگیری از آلودگی سیستم ها بسیار کاربردی باشد.
- مسدود کردن ارسال و دریافت فایل های اجرایی در ایمیل ها: فیلتر کردن پرونده ها با پسوند .exe از طریق ایمیل می تواند از ارسال برخی فایل های مخرب به کارمندان جلوگیری کند، اما این نکته را بخاطر بسپارید که این یک راه پیش پا افتاده نیست. دلیل این امر است که ایمیل های مخرب می توانند به کارمندان دستور تغییر نام پرونده ها دهند و باج افزار نیز به طور فزاینده ای به عنوان فایل های JavaScript تحویل داده می شود.
- جلوگیری از اجرای فایل های مخرب: کدهای JavaScript که به طور فزاینده ای در پرونده های zip می باشد. این موارد را می توان به عنوان پرونده های متنی با نام هایی مانند “readme.txt.js” پنهان کرد و اگر پسوند فایل نشان داده نشود، این با عنوان “readme.txt” برای کاربر ظاهر می شود، با یک نماد اسکریپت که به نظر یک کاربر ناخوشایند مانند نماد یک فایل متنی. برای جلوگیری از اجرای سهوی کدهای مخرب توسط کاربران با استفاده از فایل های JavaScript مخرب میتوانید Windows Script Host را غیرفعال کنید.
- محدود سازی سطح دسترسی کاربران سیستم: باج افزار فقط می تواند پرونده هایی را که برای کاربر خاص در سیستم خود قابل دسترسی است رمزگذاری کند مگر اینکه کد هایی را در بر بگیرد که می تواند سطح دسترسی یک کاربر را به عنوان بخشی از حمله بالا ببرد.
- بروزرسانی مداوم و سریع نرم افزارها و سیستم ها: اطمینان از بروزرسانی کلیه نرم افزارها با آخرین وصله های امنیتی، یک اقدام اساسی است، زیرا یک گزارش خطرات امنیتی از HP در سال ۲۰۱۶ نشان داد که ۴۴٪ از حملات موفق ransomware توسط نرم افزارهایی ایجاد شده است که وصله امنیتی نشده است. به عنوان مثال WannaCry 2017 از آسیب پذیری غیرقابل نمایش مایکروسافت ویندوز استفاده میکرد.
نرم افزارهای ضد باج افزارها
سیستم های امنیتی سازمانی می توانند نقش مهمی در جلوگیری از حملات باج افزار داشته باشند. در اینجا قابلیت های مهمی وجود دارد که نرم افزار امنیتی شما (که شامل فایروال های نسل جدید، نرم افزار امنیتی دروازه ایمیل، سیستم های جلوگیری از نشط داده ها DLP و نرم افزار ضد ویروس نقاط انتهایی endpoint) می باشد.
جلوگیری از بازدید کاربران از صفحات وب مخرب: نرم افزار امنیتی باید بتواند نشانی اینترنتی را به درستی نمایش دهد ، بنابراین کاربران می دانند از کدام صفحه بازدید می کنند و رتبه بندی خطر و حصن شهرت و پیش نمایش صفحه هدف را بازیابی می کنند. سایت های مخرب شناخته شده پس می توانند مسدود شوند.
مسدود کردن فایل های باج افزار: نرم افزار امنیتی مرتبط با شبکه اطلاعاتی تهدید مبتنی بر بستر ابر می تواند پرونده های مخرب شناخته شده را مسدود کند. پرونده های ناشناخته را می توان رهگیری و بارگذاری کرد و آنرا روی ابر بارگذاری کرد تا به sandboxed جهت تجزیه و تحلیل برسد، و به آنها امتیاز تهدید داده شود یا مسدود شود.
جلوگیری از فعالیت مشکوک: نرم افزار انتهایی آنتی ویروس باید پرونده های مخرب شناخته شده را مسدود کند ، اما محصولاتی که تجزیه و تحلیل اکتشافی را ارائه می دهند نیز می توانند در پرونده های ناشناخته رفتار مشابه باج افزار را شناسایی و از آن جلوگیری کنند. به طور خاص ، اکثر باج افزارها از DLL های رمزگذاری شده خود ویندوز استفاده می کنند، بنابراین نرم افزارهای امنیتی مؤثر تماسها را با برنامه های غیرقابل اعتماد به این DLL ها مسدود می کنند، یا درخواست تأیید را از کاربر درخواست می کنند که درخواست رمزگذاری شده است.
نظارت بر تغییرات جمعی: قابلیت های نظارت بر یکپارچگی پرونده ها می توانند تغییرات در پرونده های سیستم و رجیستری را تشخیص دهند. این می تواند برای مسدود کردن برنامه هایی که سعی در ایجاد یا تغییر تعداد زیادی فایل یا تغییر نام آنها دارند، استفاده شود.
تشخیص رفتار غیر عادی سیستم های پیشگیری از دست دادن داده می تواند پرونده های ساختگی ایجاد کند که هرگز نباید به آنها دسترسی داشته باشید یا از آنها نسخه پشتیبان تهیه نشود. اگر به این پرونده ها دسترسی پیدا کنید ، می توانند هشدار دهند که حمله احتمالی باج افزار در حال وقوع است.
نرم افزارهای ضد باج افزارها
PhishMe و Wombat Security دو فروشنده هستند که راه حل های ضد باج افزار را ارائه می دهند. تعدادی از فروشندگان امنیتی دیگر محصولاتی را ارائه می دهند که از همه موارد از ایمیل و امنیت شبکه گرفته تا تشخیص نفوذ و جلوگیری از نفوذ و ابزارهای اطلاعات تهدید ، را پوشش می دهد مانند :
لیست جزئی از محصولات برای خریداران فناوری اطلاعات برای ارزیابی:
- Symantec Endpoint Protection and Symantec Messaging Gateway
- Cisco Email Security and Cisco Ransomware Defense
- Kaspersky Security Solutions for Enterprise
- McAfee Web Gateway, Threat Defense, VirusScan and Network Security
- Proofpoint Enterprise Protection
حذف باج افزار
اگر قبل از این مورد حمله باج افزارها قرار گرفته اید برای جلوگیری از تکرار این موضوع مراحل و ابزارهای مورد نیاز را در نظر بگیرید .
در اینجا مراحلی وجود دارد که ممکن است در صورت آلوده شدن به باج افزار به شما کمک کند:
تهیه نسخه پشتیبان: راه اصلی که اطلاعات سازمانها پس حمله توسط باج افزارها بازیابی می شوند ، بازیابی سیستم ها از طریق نسخه های پشتیبان است. با این حال ، بازیابی تمام سیستم ها می تواند روزها طول بکشد ، و تغییراتی از آخرین نسخه پشتیبان تهیه شده قبل از حمله از بین می رود. اما کاملاً تحقیق کنید تا بدانید وقتی داده های شما دستکاری شده است، بنابراین می توانید از یک نسخه پشتیبان تهیه نشده مطمئن شوید.
بازیابی نسخه: در بعضی موارد ممکن است بازیابی فایلها در سیستمهای جداگانه با استفاده از یک سرویس نسخه داخلی پرونده مانند Windows Volume Shadow Copy انجام شود. این باعث می شود که تاریخچه نسخه همه پرونده ها در درایو قرار بگیرد و این امکان را برای “برگشتن به موقع” برای بازگرداندن آنها به حالت غیر رمزنگاری شده آنها فراهم کند. با این حال انواع جدیدتر ransomware قادر به غیرفعال کردن این قابلیت هستند، بنابراین نمی توان به آنها اعتماد کرد.
بزار رمزگشایی: در برخی از انواع ransomware، فرایند رمزگذاری بطور صحیح اجرا نشده است، فرصتی را برای بازیابی داده ها فراهم می کند. به عنوان مثال باج افزار Linux.Encoder1 دارای نقص در نحوه تولید کلید رمزنگاری است و این امکان را می دهد که کلید از یک فایل دریافت شود. شرکت امنیتی Bitdefender ابزاری رمزگشایی را منتشر کرده است که به طور خودکار کلیدها را تولید می کند و پرونده ها را رمزگشایی می کند.
اخیراً Kaspersky Labs نقص در باج افزار Xpan را کشف کرده ابزاری را جهت رمزگشایی فایل ها ایجاد کرده است.
پروژه No More Ransom، همکاری بین پلیس ملی هلند ، یوروپول ، Intel Security و کسپرسکی میباشد که ۱۶۰،۰۰۰ کلید رمزگشایی ransomware شناخته شده را جمع آوری کرده و مجموعه ای از چهار ابزار را ارائه می دهد که بطور خودکار پرونده های رمزگذاری شده توسط برخی از انواع باج افزار را رمزگشایی می کنند.
همچنین تعدادی ابزار رمزگشایی رایگان وجود دارد که می توانند به شما در برگرداندن اطلاعات خود کمک کنند.
پرداخت باج: مهمترین نکته در طی هر بحث درباره باج افزار این است که آیا یک سازمان ممکن است با تسلیم مطالبات مجرمان و پرداخت باج با کمترین اختلال و ضرر مالی روبرو شود. در برخی موارد، ممکن است تنها گزینه جلوگیری از خروج یک شرکت از تجارت باشد.
این تصمیمی است که فقط توسط سازمانها می توانند بصورت موردی اتخاذ شود ، اما فراموش نکنید:
پرداخت به مجرمان باعث می شود که حملات آینده محتمل تر باشد.
هیچ تضمینی وجود ندارد که پرداخت باج منجر به رمزگشایی کلیه فایل ها شود و سیستم های شما به طور عادی به سرویس دهی بازگردند.
مطالب زیر را حتما بخوانید
-
راهنمای جامع و کاربردی Rsyslog: مدیریت لاگها در سیستمهای لینوکسی
14 بازدید
-
راهنمای جامع Syslog: مدیریت و تحلیل لاگها در سیستمهای شبکه
15 بازدید
-
بررسی کامل LogRhythm: ابزار پیشرفته مدیریت امنیت و وقایع (SIEM)
9 بازدید
-
مترپرتر (Meterpreter): راهنمای جامع و کاربردی برای تست نفوذ و امنیت سایبری
8 بازدید
-
راهنمای کامل Bind Shell: مفاهیم، کاربردها و ملاحظات امنیتی
7 بازدید
-
آشنایی کامل با شلتر (Shellter): ابزاری قدرتمند برای تزریق کد و دور زدن مکانیزمهای امنیتی
6 بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.