باج‌افزارها (به انگلیسی: ransomware) گونه‌ای از بدافزارها هستند که دسترسی به سامانه را محدود می‌کنند[۱] و ایجادکننده آن برای برداشتن محدودیت درخواست باج می‌کند. برخی از انواع آن‌ها روی فایل‌های هارددیسک رمزگذاری انجام می‌دهند و برخی دیگر ممکن است به سادگی سامانه را قفل کنند و پیام‌هایی روی نمایشگر نشان دهند که از کاربر می‌خواهد مبالغی را واریز کنند. باج‌افزارها ابتدا در روسیه مشاهده شدند اما اخیراً تعداد حملات باج‌افزارها به کشورهای دیگر از جمله استرالیا، آلمان، ایالات متحده آمریکا و ایران افزایش یافته است.[۲][۳][۴]

تصویر یک حمله باج‌افزار

نحوه عملکرد

ویرایش

باج افزارها از طرق مختلف مانند کرمها منتشر می‌شوند و پس از نصب و اجرا شروع به اعمالی مانند رمزگذاری هارددیسک می‌کنند. باج افزارهای پیشرفته تر با استفاده از کلید عمومی فایلها را رمز نگاری می‌کنند و کلید خصوصی لازم برای بیرون آوردن فایلها از حالت رمز شده تنها در دستان طراح باج افزار است. کاربر برای باز کردن فایلهایش مجبور به پرداخت وجه به حساب طراح باج افزار می‌شود. برخی دیگر از باج افزارها رمزگذاری انجام نمی‌دهند، بلکه از روش‌های دیگری مثل اختصاص پوستهٔ سامانه عامل به خود یا تغییر رکوردهای مربوط به بوت استفاده از سامانه را مختل می‌کنند.[۵]

باج افزارها برای دریافت پول از کاربر پیام‌های مختلفی به او نمایش می‌دهند. به عنوان مثال پیام فعال‌سازی سامانه عامل ویندوز را نمایش می‌دهند که می‌گوید ویندوز به فعال‌سازی مجدد نیاز دارد، یا اینکه پیامی مبتنی بر پیدا شدن داده‌های غیرقانونی نظیر نرم‌افزارهای کرک شده یا پورنوگرافی کودکان به کاربر نمایش می‌دهند و کاربر را از پیگرد قانونی می‌ترسانند.[۶]

کاربر جهت بازیابی فایلها و حذف پیامهای باج افزار می‌بایست مبلغی را پرداخت کند. این مبلغ اغلب به روشی از کاربر گرفته می‌شود که قابل باز پس‌گیری نباشد؛ مثلاً از طریق پیام کوتاه شارژی یا سامانه یوکش. به تازگی استفاده از پول الکترونیکی بیت کوین مرسوم تر شده است.[۷]

با گسترش باج‌افزارها، روال‌ها و سازوکارهای تهیه نسخه پشتیبان از داده‌های حساس به‌عنوان یکی از راهکارهای اساسی مقابله با باج‌افزارها بیش از قبل مورد توجه بسیاری از سازمان‌ها قرار گرفت. در نتیجه آن، علیرغم موفقیت مهاجمان در رخنه به شبکه و توزیع باج‌افزار بر روی بسیاری از دستگاه‌ها، این سازمان‌ها از پرداخت مبلغ اخاذی شده خودداری می‌کردند. بدین‌ترتیب مهاجمان نیاز به اهرم فشار دیگری برای وادار ساختن قربانیان به پرداخت باج داشتند. از طرفی افزایش سرعت و پهنای باند اینترنت بسیاری از سازمان‌ها امکان سرقت حجم قابل‌توجهی از فایل‌ها را در مدتی کوتاه فراهم می‌کرد. موضوعی که سبب ظهور واژه جدید در دنیای امنیت سایبری، تحت عنوان «اخاذی دوگانه» شد. طی سال‌های اخیر، بسیاری از گردانندگان حرفه‌ای باج‌افزار در جریان حملات هدفمند خود به شرکت‌ها و سازمان‌های بزرگ علاوه بر رمزگذاری فایل‌ها، اقدام به سرقت اطلاعات نیز کرده‌اند.[۴]

در جریان اجرای باج‌افزار بر روی دستگاه، فایل معروف به Ransom Note در هر پوشه‌ای که حداقل یکی از فایل‌های آن رمز شده است کپی می‌شود. در فایل مذکور علاوه بر اطلاع‌رسانی رمز شدن فایل‌ها و روش برقراری ارتباط با مهاجمان، مهلتی نیز برای پرداخت باج تعیین شده است. در جریان حملات اخاذی دوگانه، چنانچه سازمان قربانی، باج را در مهلت تعیین شده پرداخت نکند نام آن بر روی سایت به اصطلاح «نشت داده‌ها» به‌صورت عمومی منتشر می‌شود تا اطلاع همگان از هک شدن سازمان، مسئولان آن را بیش از پیش برای پرداخت مبلغ اخاذی شده تحت فشار قرار دهد. اگر همچنان سازمان قربانی از باج دادن سر باز بزند، اطلاعات سرقت شده بر روی سایت مذکور منتشر یا به حراج گذاشته می‌شود تا به قربانیان بعدی نیز این پیام رسانده شود که اگر از درخواست این تبهکاران سرپیچی کنند عاقبتی مشابه در انتظارشان خواهد بود.[۴]

در سال ۱۴۰۰ برخی مهاجمان باج‌افزاری پا را فراتر گذاشتند؛ آنها نه تنها سازمانی که اطلاعات را از روی دستگاه‌های آن سرقت کرده‌اند تهدید به افشای اطلاعات می‌کنند که افراد یا سازمان‌هایی که از افشای اطلاعات سرقت شده متضرر می‌شوند (برای مثال شرکای تجاری یا مشتریان سازمان قربانی) را نیز تهدید و حتی در مواردی مورد اخاذی قرار می‌دهند. روشی که با عنوان اخاذی «سه‌گانه» (Triple Extortion) شناخته می‌شود.[۸]

مثال‌های برجسته

ویرایش

روتون

ویرایش

در سال ۲۰۱۲ این کرم شروع به پخش شدن کرد و پس از اجرا بر روی سامانه قربانی پیامی به کاربر نشان می‌داد که از یک منبع قانونی معتبر به نظر می‌آمد. در این پیام به کاربر گفته می‌شد که سامانه او برای کارهای غیرقانونی نظیر دریافت پورنوگرافی کودکان و نرم‌افزارهای کرک شده مورد استفاده قرار گرفته است. برای اینکه حس ردیابی شدن سامانه در کاربر بیشتر شود، آدرس IP کاربر و همچنین در صورت وجود وب کم، تصویرهایی به کاربر نمایش داده می‌شد. کاربر برای استفادهٔ دوباره از سامانه باید جریمه پرداخت می‌کرد. این جریمه‌ها از سامانه‌های انتقال پولی مثل یوکش به طراح روتون منتقل می‌شد.[۹]

روتون در اوایل سال ۲۰۱۲ در اروپا انتشار پیدا کرد. این باج‌افزار با توجه به کشور قربانی لوگوی پلیس همان کشور را به کاربر نمایش می‌داد؛ مثلاً در انگلستان از لوگوی سرویس پلیس شهری آن کشور استفاده می‌شد.[۱۰] همین مسئله باعث شد تا سرویس پلیس شهری انگلستان به صورت عمومی اعلام کند که برای بررسی کارهای غیرقانونی هیچ وقت سامانه کاربر به این شکل قفل نمی‌شود.[۱۱] در اوت ۲۰۱۲، روتون در آمریکا انتشار پیدا کرد و درخواست پرداخت ۲۰۰ دلار به FBI را می‌کرد.[۹]

کریپتو لاکر

ویرایش

در سپتامبر ۲۰۱۳، کریپتو لاکر با استفاده از کلید عمومی ۲۰۴۸ بیتی شروع به رمزنگاری فایل‌های با پسوند خاصی از کاربران آلوده کرد. کریپتو لاگر کاربران را به حذف کلید خصوصی این رمزنگاری در صورت پرداخت نشدن هزینه در عرض سه روز تهدید می‌کرد. البته امکان به دست آوردن کلید خصوصی بعد از آن نیز با پرداخت هزینهٔ نسبتاً زیاد ۱۰ بیت کوین وجود داشت. با توجه به کلید بسیار طولانی استفاده شده در رمزنگاری عملیات رمز گشایی بسیار طولانی می‌شد و همین باعث خطرناک بودن کریپتولاکر بود.[۱۲][۱۳]

راه‌های انتشار باج‌افزارها

ویرایش

۱- ایمیل: ارسال فایل‌های آلوده به آدرس ایمیل کاربران، یکی از راه‌های قدیمی انتشار ویروس‌ها و باج افزارهاست. فرستنده ایمیل در متن نوشته شده کاربر را ترغیب می‌کند تا فایل ضمیمه شده یا لینک دانلود فایل آلوده را باز کند. سپس باج افزار وارد سامانه شده و پروسه رمزنگاری را شروع می‌کند.

برای جلوگیری از آلوده شدن به بدافزار از طریق ایمیل، کافیست که از بازکردن ایمیل‌های مشکوک و غیرمنتظره خودداری کرد. ایمیل‌هایی که از طرف افراد ناشناس یا خیلی معروف ارسال می‌شوند، محتوای گنگ یا مبهم دارند و شما را تشویق به باز کردن لینک یا فایل ضمیمه ایمیل می‌کنند.

۲- شبکه‌های اجتماعی: با توجه به رشد فزاینده شبکه‌های عمومی در سال‌های اخیر، این گونه مکان‌ها بستر بسیار مناسبی برای انتقال فایل‌ها از جمله انواع بدافزارها به خصوص بدافزارهای موبایلی و باجگیر شده‌اند. در گروه‌ها و کانال‌های عمومی فایل‌هایی فرستاده می‌شود که ادعا می‌کنند نرم‌افزارهای کاربردی هستند و سعی در فریب کاربر برای نصب خود دارند. با نصب این‌گونه نرم‌افزارها، یا بدافزار به‌طور مستقیم روی دستگاه فعال می‌شود یا نرم‌افزار نصب شده با سرور فرماندهی خود ارتباط برقرار کرده و بدافزار را از اینترنت دریافت و پنهانی نصب خواهد کرد.

۳– تبلیغات: در این روش سازندگان باج‌افزار از سایت‌ها و شبکه‌های تبلیغاتی برای انتشار باج افزار استفاده می‌کنند.

۴- اکسپلویت‌ها: اکسپلویت‌ها کدهایی هستند که برای سوء استفاده از حفره‌های امنیتی سامانه عامل‌ها و نرم‌افزارها با هدف استفاده و ایجاد دسترسی غیرمجاز، ایجاد حملات مختلف یا اختلال در سامانه‌های کامپیوتری نوشته می‌شوند. اکسپلویت‌ها معمولاً هنگام کشف آسیب‌پذیری‌ها یا بعد از کشف حفره‌های امنیتی نوشته می‌شوند؛ بنابراین با بروزرسانی مداوم سامانه عامل و نرم‌افزارهای سامانه تا حد زیادی می‌توان جلوی انتقال باج‌افزار از طریق حفره‌های امنیتی سامانه عامل و نرم‌افزارها را گرفت.

شیوه‌های جلوگیری از حمله

ویرایش

مشهور بودن حمله از طریق ایمیل باعث می‌شود که یکی از اصلی‌ترین راه جلوگیری از آلوده شدن، آموزش به کارکنان سازمان‌ها و شرکت‌ها باشد، به گونه ای که ایمیل‌های ناشناس را باز نکنند و به ایمیل جعلی که توسط پشتیبانی شرکت‌های معتبر ارسال شدند، اما در آدرس ان‌ها حتی کلمه‌ای از آن شرکت نباشد اعتنا نکنند. یکی دیگر از موثرترین راه‌های جلوگیری از آلوده شدن، اجازه ندهند که کارکنان ماکروها را اجرا کنند، است، ماکروسافت آفیس ۲۰۱۳ و ۲۰۱۶ دارای ویژگی غیرفعال کردن ماکروها هستند. نصب و به روز نگه داشتن آنتی‌ویروس‌های معتبر نیز قدم مهمی برای جلوگیری است و مهم‌تر از همه گرفتن پشتیبانی از فایل‌های مهم را نباید فراموش کنند.

رتبه ایران در حملات باج‌افزاری

ویرایش

بیت دیفندر در انتهای ماه ژوئیه ۲۰۲۳ جدیدترین گزارش Threat Debrief را در خصوص تهدیدهای سایبری منتشر کرد. این گزارش ضمن بررسی برخی تکنیک‌های مورد استفاده مهاجمان سایبری، خلاصه‌ای از آمار بدافزارهایی همچون باج‌افزارها نیز ارائه داد. بر این اساس در تاریخ ۱ تا ۳۱ مه، همچنان دو باج‌افزار GandCrab و WannaCry به ترتیب با ۱۹ و ۴۶ درصد، بیشترین میزان انتشار را در مقایسه با سایر خانواده‌های باج‌افزارها داشته‌اند.
ایران با اختصاص ۷ درصد از حملات باج افزاری به خود جزو ۱۰ کشور برتر در هدف‌های حملات باج افزاری بوده است.

جستارهای وابسته

ویرایش

پانویس

ویرایش
  1. «باج افزار چیست ؟». ضد باج گیر. بایگانی‌شده از اصلی در ۱۹ سپتامبر ۲۰۲۱. دریافت‌شده در ۲۰۲۱-۰۹-۱۹.
  2. "New Internet scam: Ransomware..." FBI. Aug. 9, 2012. {{cite web}}: Check date values in: |date= (help)
  3. "Citadel malware continues to deliver Reveton ransomware..." Internet Crime Complaint Center (IC3). Nov. 30, 2012. {{cite web}}: Check date values in: |date= (help)
  4. ۴٫۰ ۴٫۱ ۴٫۲ «نگاهی به باج‌افزارها» (PDF). رامونا پردازش نگار. ۲۰۲۲-۰۳-۰۱. دریافت‌شده در ۲۰۲۲-۰۳-۰۷.
  5. «نسخه آرشیو شده». بایگانی‌شده از اصلی در ۱۴ آوریل ۲۰۱۲. دریافت‌شده در ۸ اکتبر ۲۰۱۴.
  6. «نسخه آرشیو شده». بایگانی‌شده از اصلی در ۳ ژوئیه ۲۰۱۴. دریافت‌شده در ۸ اکتبر ۲۰۱۴.
  7. [۱]
  8. «باج‌افزارها در سال 1400». رامونا پردازش نگار. ۲۰۲۲-۰۳-۱۵. دریافت‌شده در ۲۰۲۲-۰۳-۱۵.
  9. ۹٫۰ ۹٫۱ Reveton Malware Freezes PCs, Demands Payment بایگانی‌شده در ۱۴ مه ۲۰۱۳ توسط Wayback Machine,InformationWeek. Retrieved 16 August 2012.
  10. Police alert after ransom Trojan locks up 1,100 PCs بایگانی‌شده در ۲ ژوئیه ۲۰۱۴ توسط Wayback Machine, TechWorld. Retrieved 16 August 2012.
  11. Police warn of extortion messages sent in their name, Retrieved 9 March 2012.
  12. Disk encrypting Cryptolocker malware demands $300 to decrypt your files بایگانی‌شده در ۴ نوامبر ۲۰۱۶ توسط Wayback Machine, Geek.com. Retrieved 12 September 2013.
  13. CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service بایگانی‌شده در ۵ نوامبر ۲۰۱۳ توسط Wayback Machine, NetworkWorld. Retrieved 5 November 2013.