باج افزاری که اخیرادر منطقه ی خاورمیانه وعلی الخصوص ایران در حال افزایش چشم گیری است،جزو یکی ازباج افزارهای خطرناک طبقه بندی شده است.
در ماههای اخیر بحث Ransomwareها یا باجافزارها در دنیای امنیت دیجیتال بسیار داغ شده است و ماهی نیست که خبری در این مورد منتشر نشود. به عنوان مثال نیویورک تایمز به نقل از Lookout خبری را منتشر کرد که در آن باجافزار جدیدی با هدف قرار دادن تلفنهای هوشمند اندروید، در حال گسترش بوده است.
همچنين؛ چند ماهه گذشته را میتوان بر اساس گزارشات پلیس فتا دوران آغاز ظهور باج افزارها و استفاده از آنها در عرصه وب ایرانی دانست. هرچند در سالهای قبل نیز موارد معدودی استفاده از باج افزار مشاهده شده بود؛ اما هشدارهای مکرر پلیس فتا در سال ۹۴ نشان دهنده رشد فزاینده این نرم افزار خطرناک و این رفتار ضد اجتماعی در چند ماهه اخیر است.
باجافزار چیست؟
باجافزار که ترجمه بسیار خوبی برای واژه Ransomware است، در حقیقت یک بدافزار است که با نصب بر روی دستگاههای رایانهای (لپتاپ، رایانه رومیزی، تلفنهای هوشمند و…) امکان دسترسی به بخشی یا کل دستگاه فرد قربانی را از بین میبرد. این بدان معناست که اگر رایانه شما دچار باجافزار شود، شما نمیتوانید وارد سیستم عامل بشوید و یا در حالت پیشرفتهتر، امکان دسترسی به اطلاعات خود را ندارید زیرا تمام هارد دیسک رایانه یا حافظه تلفن همراهتان رمزگذاری شده است!
در این حالت و زمانی که شما دسترسی به رایانه/ تلفن همراه خود را به دلیل قفل یا رمزگذاری شدن اطلاعات توسط باجافزار از دست بدهید، فرد یا افراد خرابکار از شما درخواست میکنند که مبلغی را از طریق تماس تلفنی و یا بیتکوین واریز کنید تا به این صورت آنها کلید خصوصی (Private Key) برای باز کردن رمزگذاری هارد دیسکتان و یا کد باز کردن قفل سیستم عاملتان را برای شما ارسال کنند.
سه نمونه معروف باجافزار
برای درک بهتر عملکرد باجافزارها بد نیست سه نمونه معروف باجافزارها که تاکنون میلیونها دلار درآمد برای خلافکاران سایبری به ارمغان آوردهاند را بشناسيد.
۱- ریووتون (Revoton): باجافزار ریووتون در سال ۲۰۱۲ ابتدا در اروپا و سپس در آمریکا گسترش پیدا کرد. این باجافزار پیامی را به کاربران قربانی نشان میداد که رایانه آنها به دلیل فعالیتهای غیرقانونی مانند دانلود غیرقانونی نرمافزارها و یا پرنوگرافی کودکان قفل شده است و صاحب رایانه باید مبلغی را به عنوان جریمه از طریق وبسایتهای Ukash یا Paysafecard پرداخت کند.
تصویر زیر مجموعه پیامهای ریووتون است که در آن از لوگوی نیروهای انتظامی کشورهای مختلف استفاده شده است تا پیام در مقابل چشمان فرد قربانی معتبر به نظر برسد:
۲- کریپتولاکر (CryptoLocker): کریپتولاکر را میتوان یکی از پیشرفتهترین باجافزارها دانست که بیش از ۲۷ میلیون دلار درآمد برای فرد/ افراد پشت این باجافزار به ارمغان آورد هر چند که در ۲ جون ۲۰۱۴ (۱۲ خرداد ۱۳۹۳) این باجافزار توسط وزارت دادگستری ایالات متحده آمریکا از بین رفت.
کارکرد این باجافزار به این صورت بود که تمامی اطلاعات بر روی رایانه فرد قربانی را رمزگذاری میکرد و فرد قربانی تنها ۷۲ ساعت وقت داشت تا مبلغ مورد نظر را پرداخت کند و کلید رمزگشایی را دریافت کند؛ در صورت عدم پرداخت همچنان امکان دسترسی به اطلاعات وجود داشت اما هزینه دریافت کلید رمزگشایی به ۱۰ بیتکوین (۵۰۰۰ دلار آمریکا) افزایش پیدا میکرد. شاید بد نباشد به این نکته نیز اشاره کنم که موفقیت این باجافزار آنقدر زیاد بوده است که دیگر خلافکاران سایبری نیز به فکر ایجاد نسخههای مشابه آن افتادهاند..
بدافزار Cryptolocker که اطلاعات کاربران را قفل کرده و سپس براي آزادسازي آن درخواست پول ميکند، در آمريکا و بريتانيا بيشترين قرباني را داشتهاست. به گفته شرکت Dell Secureworks، تبهکاران سايبري که مسئول اين دردسرهاي آنلاين شدهاند پس از تمرکز برروي مشاغل خاص، اکنون کاربران خانگي اينترنت را هدف گرفتهاند.
اين شرکت ليستي از دامنههاي شبکه را که مضنون به پراکندهسازي کدهاي اين بدافزار هستند را منتشر کردهاست، اما در عين حال هشدار داده که اين دامنهها روزانه تغيير ميکنند.
پديده باجافزار از سال 1989 شناخته شد اما اين مورد اخير به دليل شيوهاي که فايلها و اطلاعات کاربران را از دسترس خارج ميسازد، بسيار دردسرساز شدهاست. براساس گزارش دل، در اين بدافزار جديد به جاي استفاده از برنامههاي رمزنگاري معمولي که در ديگر بدافزارها از آنها استفاده ميشود، از تکنيک رمزنگاري تاييدشدهاي متعلق به CryptoAPI مايکروسافت استفاده شدهاست و همين موضوع اين بدافزار را به برنامهاي نفوذناپذير تبديل کرده که غلبه بر آن بسيار دشوار است.
در ماه سپتامبر سال 2013، کریپتولاکر با استفاده از یک کلید عمومی 2048 بیتی شروع به رمزنگاری فایلهای با پسوند خاصی از کاربران کرد. کریپتولاکر کاربران را به حذف کلید خصوصی این رمز نگاری در صورت پرداخت نشدن هزینه در عرض چهار روز تهدید می کرد. البته امکان به دست آوردن کلید خصوصی بعد از آن نیز با پرداخت هزینه نسبتاً زیاد وجود داشت. با توجه به کلید بسیار طولانی استفاده شده در رمز نگاری عملیات رمز گشایی بسیار طولانی می شد و همین باعث خطرناک بودن کریپتولاکر بود.
به هر حال، کریپتولاکر امروز یک تهدید بسیار بزرگ برای رایانه های سازمانی تبدیل شده است و متاسفانه توانسته با موفقیت تعداد زیادی از سیستم های سازمانی را آلوده کند. با این حال خوشبختانه به منظور جلوگیری از آلوده شدن سیستم ها و کاهش آسیب هایی که این بدافزار می توانند به سیستم وارد سازد، راه های مختلفی وجود دارد.
مهدی بهروزی قائم مقام مرکز تخصصی آپا(آگاهی رسانی، پشتیبانی و امداد رایانهای) دانشگاه صنعتي اصفهان درباره کریپتولاکر اظهار کرد: باجافزار شناسایی شده علاوه بر قطع دسترسی کاربران به سیستم، دادههای آنها را رمز کرده و برای رمزگشایی از آنها تقاضای باج میکند.
مهدی بهروزی افزود: با توجه به اینکه این بدافزار به طور خاص مستندات و فایلهای صوتی و تصویری را هدف قرار میدهد پیشبینی میشود برای سازمانها و بخشهای اداری طراحی شده باشد.
وی اظهار کرد: سیستم عاملهای ویندوز ایکس پی، ویستا، ۲۰۰۰، سون، سرور ۲۰۰۳ و سرور ۲۰۰۸ در معرض آلودگی به این بدافزار هستند.
وی با بیان اینکه این باج افزار با نام Trojan.Ransomcrypt.F یا Cryptolocker شناسایی شده و درحال گسترش است افزود: این بدافزار فایل های کاربران از جمله عکس ها، مستندات Office و فایل های صوتی و تصویری را رمزگذاری میکند.
این کارشناس اضافه کرد: سپس با فعال کردن یک شمارنده معکوس زمانی برای رمزگشایی از طریق پایگاههای پرداخت مانند بیتکوین (Bitcoin) و مانی پک (MoneyPak) تقاضای باج ۳۰۰ دلاری می کند.
بهروزی تصریح کرد: در برخی مواردی با پرداخت مبلغ باج درخواست شده باز هم فایلهای محدود شده به حالت اولیه بر نمی گردد و قابل دسترسی نیست.
وی گفت: طبق گزارش آزمایشگاه های تحلیل بدافزار، سطح گستردگی این باج افزار بیشتر در آمریکای شمالی، چین، روسیه، استرالیا و بخشی از اروپا است اما مواردی از آلودگی سیستمهای رایانهای ایران نیز دیده شده است.
وی مسیر اصلی بهرهبرداری از این حمله را رایانامه هایی (email) دانست که دارای یک پیوست Trojan.Zbot بوده و پس از دریافت بدافزار Trojan.Ransomlock.F آن را با یک نام تصادفی در Documents and Setting نصب میکند.
بهروزی تاکید کرد: اگر رایانه به این بدافزار آلوده شود دادههایی که روی رایانه رمز گذاری شده اند دیگر قابل بازیابی نیستند.
وی برای پیشگیری از آلوده شدن به این بدافزار توصیه هایی را مطرح کرد از جمله اینکه رایانامه هایی که به آن اطمینان ندارید را باز نکنید و فایل هایی را از آن دریافت نکنید.
قائم مقام مرکز آپا دانشگاه صنعتی اصفهان همچنین بر به روز نگه داشتن رایانه تاکید کرد و افزود: لازم است همه وصله های ارائه شده توسط شرکت های تولید کننده نصب شود.
وی همچنین توصیه کرد که از همه داده های مهم، نسخه پشتیبان تهیه و در محل امن ذخیره و از نصب افزونه ها و نرم افزار های کاربری نامطمئن خودداری شود.
تصویر زیر نمونهای از پیامهای اخطار باجافزار کریپتولاکر است که در آن از رمزگذاری اطلاعات رایانه خبر میدهد:
۳- ScarePackage و ScareMeNot: این باجافزارها را میتوان جز اولین باجافزارهایی دانست که تلفنهای همراه را هدف قرار دادهاند و در این مورد هدف تلفنهای هوشمند اندروید هستند! این باجافزارها مانند موارد بالا دستگاه اندروید قربانی را قفل میکنند و علت آن را هم پورنوگرافی کودکان، پونوگرافی حیوانخواهی، سو استفاده از کودکان و ارسال اسپم با حجم بسیار زیاد اعلام میکنند. براساس تحقیقی که Lookout انجام داده است، این باجافزارها از طریق وبسایتهای مختلف و با نشان دادن یک اپلیکیشن جعلی اندروید (مانند فلش پلیر یا آنتیویروس) و درخواست نصب آنها بر روی تلفن هوشمند قربانی، دستگاه وی را قفل میکنند.
باج افزار به روزرسانی ویندوز 10
در یکی از جدید ترین انواع باج افزار که در یک ماهه اخیر و پس از آغاز عرضه ویندوز ده شایع شده باج افزار با بهانه به روز رسانی ویندوز نفوذ می کند. کارشناسان امنیتی هشدار دادند که مراقب پیامهایی مبتنی بر بهروزرسانی رایانه و نصب ویندوز ۱۰ باشید تا بهجای آخرین نسخه سیستمعامل رایانهای مایکروسافت، یک بدافزار مخرب را در اختیار نگیرید.
زمانی که یک کاربر ایمیل مذکور را باز میکند، اقدام به باز کردن فایل زیپ شده میکند و پس از خارج کردن آن از حالت زیپ، یک پیام برای او منتشر میشود که در او نوشته شده: «رایانهی او آلوده شده است و فایلهای او توسط CTB-Locker رمزگذاری شدهاند.»
سپس به کاربر گفته میشود ظرف ۹۶ ساعت آینده مقدار مشخصی پول پرداخت کند تا فایلهایش از حالت رمزگذاری شده خارج شوند و در غیر این صورت تمام فایلها پاک میشوند.
گوشی های هوشمند آلوده به بدافزار وارد بازار می شوند!
تحقیقات جدید نشان می دهد برخی گوشی های اندروید موجود در بازار حاوی بدافزار و نرم افزارهای مخرب اند.
نرم افزارهای مخرب و جاسوس ابزارهایی که گوشی های هوشمند مبتنی بر سیستم عامل اندروید را هدف قرار قرار می دهند این روز ها بسیار رایج شده اند. حالا تحقیقات اخیر نشان می دهد برخی از این گوشی ها در زمان خرید توسط مشتری نیز در درون خود حاوی نرم افزارهای جاسوسی و بدافزار هستند.
بنا بر گزارش اخیر شرکت امنیتی آلمانی GDATA نمونه هایی کشف شده از گوشی هایی که حاوی بدافزار هستند در مقایسه با سه ماهه اول سال 2015 میلادی 25 درصد رشد داشته است.
یافته های موجود در این گزارش نشان می دهد در برخی گوشی های هوشمند سازندگان موبایل نظیر Huawei و Xiaomi، ابزارهای دستکاری شده ای قرار دارد که برای مقاصد جاسوسی و نمایش دادن تبلیغات به مشتریان مورد استفاده قرار می گیرند.
کریستین لوگ، سنخگوی شرکت امنیتی GDATA در این باره عنوان داشت: "به نظر می رسد این بدافزارها توسط یک شخص واسط (میانجی) نصب می شوند اما از اینکه مبدا آن دقیقا کجا است اطلاعاتی در دسترس نیست. ما ردپای این بدافزار را از کشور چین به بعد از دست داده ایم".
وی افزود: کاربران گوشی های هوشمند با نصب نرم افزار ضد ویروس می توانند این نوع بدافزار را شناسایی کنند.
گفتی است این تحقیق همچنین نشان می دهد که درهر 14 ثانیه یک نمونه بدافزاری توسط تحلیلگران شناسایی می گردد. که این امر نشان دهنده افزار تهدیدات و بدافزارهای گوشی های همراه است.
بحران باجگيري
گزارشهاي دريافت شده از قربانيان که حاضر به پرداخت باج شدهاند نشان ميدهد هکرها پس ار دريافت پول قربانيان را براي غيرفعال کردن و پاککردن بدافزار و رمزگشايي از اطلاعات راهنمايي ميکنند. به گفته اين قربانيان، پرداخت ميتواند از چند دقيقه تا چند هفته وقتگير باشد.
با اينهمه شرکت امنيتي ديگري به نام ترندمايکرو هشدار دادهاست که تسليم درخواست اين بدافزار شدن تنها منجر به گسترش بيشتر آن و ديگر بدافزارها شده و در عين حال هيچ تضميني وجود ندارد که پس از پرداخت باج، اطلاعات به کاربر برگردانده شود.
پلیس چه توصیهای میکند؟
پلیس در این گونه موارد توصیه میکند که شهروندان بجای همکاری و برآوردن خواست مجرم به دفاتر پلیس فتا مراجعه نمایند تا مجرم ره گیری شده و ضمن برخورد انتظامی و قضایی با وی اطلاعات کاربر نیز بازیابی گردد. در هر صورت باید دانست که هیچگاه ابتلا به یک باج افزار به معنای ناچار شدن از پرداخت باج نیست و همیشه با مراجعه به پلیس میتوان ضمن حل بدون هزینه مشکل مجرمین را نیز به سزای اعمالشان رساند.
نحوه عملکرد فنی باج افزارها چگونه است؟
باج افزارها با روشهای مختلفی مانند کرمها و ویروسها منتشر میشوند و پس از نصب و اجرا شروع به اعمالی برای مسدود ساری دسترسی کاربر اصلی مانند رمزگذاری هارددیسک میکنند. باج افزارهای پیشرفتهتر معمولا با بهره گیری از کلیدهای عمومی فایلها را رمزگذاری میکنند. در این حالت کلید خصوصی لازم برای خارج کردن فایلها از حالت رمز شده فقط در دست طراح باج افزار است. باج افزار از فرد قربانی میخواهد که به حساب طراح خود پول واریز کند. البته لازم به ذکر است بعضی باج افزارها رمزگذاری نمیکنند، بلکه از راههای دیگری مثل اختصاص پوستهٔ سیستم عامل به خود و یا تغییر رکوردهای مربوط به بوت، استفاده از سیستم را دچار مشکل میسازند.
به احتمال زیاد با خواندن مطالب بالا این سوال برای شما پیش آمده است که چگونه میتوان با باجافزارها مقابله کرد؟
در پاسخ به این سوال باید بگویم که شما با رعایت یک سری نکات میتوانید تا حد بسیار زیادی از آلوده شدن رایانه/ تلفن هوشمندتان به باجافزارها جلوگیری کنید هر چند که تضمین ۱۰۰٪ در دنیای امنیت دیجیتال بیمعنی است!
۱- از دانلود و نصب فایل و نرمافزار از وبسایتهای ناشناس و مشکوک شدیدا خودداری کنید.
۲- همواره یک نسخه پشتیبان آفلاین از اطلاعات حیاتی خود بر روی سیدی، دیویدی، هارد اکسترنال و… داشته باشید زیرا باجافزارها میتوانند اطلاعات بر روی کلود مانند دراپ باکس یا گوگل درایو را هم رمزگذاری کنند.
۳- از دانلود کردن اپلیکیشنها از فروشگاهها و وبسایتهای ناشناس و غیرمشهور خودداری کنید. پیشنهاد من آن است که اپلیکیشنهای اندروید خود را از طریق گوگل پلی یا کافه بازار دانلود و نصب کنید.
۴- در هنگام نصب اپلیکیشنهای مختلف بر روی دستگاه اندروید خود به سطح دسترسی ادمین دقت کنید و اگر اپلیکیشین ناشناسی خواستار دسترسی ادمین شد از نصب آن شدیدا خودداری کنید. اپبین تا حدودی در این زمینه ممکن است به کار شما بیاید.
۵- همواره نرمافزارهای سیستم عامل خود را به روز نگهدارید و به هیچ عنوان به روز کردن ویندوز، آنتیویروس و… را پشت گوش نیاندازید.
در صورت ابتلا چه کنیم؟
چنانکه در بالا نیز ذکر شد توصیههای رسمی کارشناسان پلیس فتا مراجعه مستقیم به این مجموعه از طریق تلفن یا سایت پلیس فتا به آدرسCyberpolice.ir است و به صورت جدی توصیه میشود که از همکاری با این گونه افراد پرهیز گردد.
گفتنی است این احتمال به صورت جدی وجود دارد که در صورت همکاری با فرد خاطی و مجرم وی قربانی را طعمه خوبی برای مزاحمتهای بعدی خود ببیند و ماجرا به یک پرداخت ساده ختم نگردد چنانکه چنین اتفاقاتی در مورد باج افزارهای فاقد گستره عمومی مشاهده شده و قابل تکرار میباشد.