کد خبر 465085
تاریخ انتشار: ۱۸ شهریور ۱۳۹۴ - ۱۱:۳۴

ظهور باج افزار در منطقه خاورمیانه وعلی الخصوص ایران در حال افزایش چشم گیری است و هشدارهای مکرر پلیس فتا در سال ۹۴ نشان دهنده رشد فزاینده این نرم افزار خطرناک و این رفتار ضد اجتماعی در چند ماهه اخیر است.

 به گزارش مشرق، در ماه‌های اخیر بحث Ransomware یا باج‌افزارها در دنیای امنیت دیجیتال بسیار داغ شده است و ماهی نیست که خبری در این مورد منتشر نشود. به عنوان مثال نیویورک تایمز به نقل از Lookout خبری را منتشر کرد که در آن باج‌افزار جدیدی با هدف قرار دادن تلفن‌های هوشمند اندروید، در حال گسترش بوده است.

همچنين؛ چند ماهه گذشته را می‌توان بر اساس گزارشات پلیس فتا دوران آغاز ظهور باج افزار‌ها و استفاده از آن‌ها در عرصه وب ایرانی دانست. هرچند در سالهای قبل نیز موارد معدودی استفاده از باج افزار مشاهده شده بود؛ اما هشدارهای مکرر پلیس فتا در سال ۹۴ نشان دهنده رشد فزاینده این نرم افزار خطرناک و این رفتار ضد اجتماعی در چند ماهه اخیر است.



باج‌افزار چیست؟

باج‌افزار که ترجمه بسیار خوبی برای واژه Ransomware است، در حقیقت یک بدافزار است که با نصب بر روی دستگاه‌های رایانه‌ای (لپ‌تاپ، رایانه رومیزی، تلفن‌های هوشمند و…) امکان دسترسی به بخشی یا کل دستگاه فرد قربانی را از بین می‌برد. این بدان معناست که اگر رایانه شما دچار باج‌افزار شود، شما نمی‌توانید وارد سیستم عامل بشوید و یا در حالت پیشرفته‌تر، امکان دسترسی به اطلاعات خود را ندارید زیرا تمام هارد دیسک رایانه یا حافظه تلفن همراه‌تان رمزگذاری شده است!

در این حالت و زمانی که شما دسترسی به رایانه/ تلفن همراه خود را به دلیل قفل یا رمزگذاری شدن اطلاعات توسط باج‌افزار از دست بدهید، فرد یا افراد خرابکار از شما درخواست می‌کنند که مبلغی را از طریق تماس تلفنی و یا بیت‌کوین واریز کنید تا به این صورت آنها کلید خصوصی (Private Key) برای باز کردن رمزگذاری هارد دیسک‌تان و یا کد باز کردن قفل سیستم عامل‌تان را برای شما ارسال کنند.



سه نمونه معروف باج‌افزار

برای درک بهتر عملکرد باج‌افزارها بد نیست  سه نمونه معروف باج‌افزارها که تاکنون میلیون‌ها دلار درآمد برای خلافکاران سایبری به ارمغان آورده‌اند را بشناسيد.

۱- ریووتون (Revoton): باج‌افزار ریووتون در سال ۲۰۱۲ ابتدا در اروپا و سپس در آمریکا گسترش پیدا کرد. این باج‌افزار پیامی را به کاربران قربانی نشان می‌داد که رایانه آنها به دلیل فعالیت‌های غیرقانونی مانند دانلود غیرقانونی نرم‌افزارها و یا پرنوگرافی کودکان قفل شده است و صاحب رایانه باید مبلغی را به عنوان جریمه از طریق وب‌سایت‌های Ukash یا Paysafecard پرداخت کند.
تصویر زیر مجموعه پیام‌های ریووتون است که در آن از لوگوی نیروهای انتظامی کشورهای مختلف استفاده شده است تا پیام در مقابل چشمان فرد قربانی معتبر به نظر برسد:



۲- کریپتولاکر (CryptoLocker): کریپتولاکر را می‌توان یکی از پیشرفته‌ترین باج‌افزارها دانست که بیش از ۲۷ میلیون دلار درآمد برای فرد/ افراد پشت این باج‌افزار به ارمغان آورد هر چند که در ۲ جون ۲۰۱۴ (۱۲ خرداد ۱۳۹۳) این باج‌افزار توسط وزارت دادگستری ایالات متحده آمریکا از بین رفت.

کارکرد این باج‌افزار به این صورت بود که تمامی اطلاعات بر روی رایانه فرد قربانی را رمزگذاری می‌کرد و فرد قربانی تنها ۷۲ ساعت وقت داشت تا مبلغ مورد نظر را پرداخت کند و کلید رمزگشایی را دریافت کند؛ در صورت عدم پرداخت همچنان امکان دسترسی به اطلاعات وجود داشت اما هزینه دریافت کلید رمزگشایی به ۱۰ بیت‌کوین (۵۰۰۰ دلار آمریکا) افزایش پیدا می‌کرد. شاید بد نباشد به این نکته نیز اشاره کنم که موفقیت این باج‌افزار آنقدر زیاد بوده است که دیگر خلافکاران سایبری نیز به فکر ایجاد نسخه‌های مشابه آن افتاده‌اند..

بدافزار Cryptolocker که اطلاعات کاربران را قفل کرده و سپس براي آزاد‌سازي آن درخواست پول مي‌کند، در آمريکا و بريتانيا بيشترين قرباني را داشته‌است. به گفته شرکت Dell Secureworks، تبهکاران سايبري که مسئول اين دردسرهاي آنلاين شده‌اند پس از تمرکز برروي مشاغل خاص، اکنون کاربران خانگي اينترنت را هدف گرفته‌اند.

اين شرکت ليستي از دامنه‌هاي شبکه را که مضنون به پراکنده‌سازي کد‌هاي اين بدافزار هستند را منتشر کرده‌است، اما در عين حال هشدار داده که اين دامنه‌ها روزانه تغيير مي‌کنند.

پديده باج‌افزار از سال 1989 شناخته شد اما اين مورد اخير به دليل شيوه‌اي که فايل‌ها و اطلاعات کاربران را از دسترس خارج مي‌سازد، بسيار دردسرساز شده‌است. براساس گزارش دل، در اين بدافزار جديد به جاي استفاده از برنامه‌هاي رمزنگاري معمولي که در ديگر بد‌افزارها از آنها استفاده مي‌شود، از تکنيک رمزنگاري تاييد‌شده‌اي متعلق به CryptoAPI مايکروسافت استفاده شده‌است و همين موضوع اين بدافزار را به برنامه‌اي نفوذ‌ناپذير تبديل کرده که غلبه بر آن بسيار دشوار است.

در ماه سپتامبر سال 2013، کریپتولاکر با استفاده از یک کلید عمومی 2048 بیتی شروع به رمزنگاری فایلهای با پسوند خاصی از کاربران کرد. کریپتولاکر کاربران را به حذف کلید خصوصی این رمز نگاری در صورت پرداخت نشدن هزینه در عرض چهار روز تهدید می کرد. البته امکان به دست آوردن کلید خصوصی بعد از آن نیز با پرداخت هزینه نسبتاً زیاد وجود داشت. با توجه به کلید بسیار طولانی استفاده شده در رمز نگاری عملیات رمز گشایی بسیار طولانی می شد و همین باعث خطرناک بودن کریپتولاکر بود.

به هر حال، کریپتولاکر امروز یک تهدید بسیار بزرگ برای رایانه های سازمانی تبدیل شده است و متاسفانه توانسته با موفقیت تعداد زیادی از سیستم های سازمانی را آلوده کند. با این حال خوشبختانه به منظور جلوگیری از آلوده شدن سیستم ها و کاهش آسیب هایی که این بدافزار می توانند به سیستم وارد سازد، راه های مختلفی وجود دارد.



مهدی بهروزی قائم مقام مرکز تخصصی آپا(آگاهی رسانی، پشتیبانی و امداد رایانه‌ای) دانشگاه صنعتي اصفهان درباره کریپتولاکر  اظهار کرد: باج‌افزار شناسایی شده علاوه بر قطع دسترسی کاربران به سیستم، داده‌های آنها را رمز کرده و برای رمزگشایی از آنها تقاضای باج می‌کند.

مهدی بهروزی افزود: با توجه به اینکه این بدافزار به طور خاص مستندات و فایل‌های صوتی و تصویری را هدف قرار می‌دهد پیش‌بینی می‌شود برای سازمان‌ها و بخش‌های اداری طراحی شده باشد.

وی اظهار کرد: سیستم عامل‌های ویندوز ایکس پی، ویستا، ۲۰۰۰، سون، سرور ۲۰۰۳ و سرور ۲۰۰۸ در معرض آلودگی به این بدافزار هستند.

وی با بیان اینکه این باج افزار با نام Trojan.Ransomcrypt.F یا Cryptolocker شناسایی شده و درحال گسترش است افزود: این بدافزار فایل های کاربران از جمله عکس ها، مستندات Office و فایل های صوتی و تصویری را رمزگذاری می‌کند.

این کارشناس اضافه کرد: سپس با فعال کردن یک شمارنده معکوس زمانی برای رمزگشایی از طریق پایگاه‌های پرداخت مانند بیتکوین (Bitcoin) و مانی پک (MoneyPak) تقاضای باج ۳۰۰ دلاری می کند.

بهروزی تصریح کرد: در برخی مواردی با پرداخت مبلغ باج درخواست شده باز هم فایل‌های محدود شده به حالت اولیه بر نمی گردد و قابل دسترسی نیست.

وی گفت: طبق گزارش آزمایشگاه های تحلیل بدافزار، سطح گستردگی این باج افزار بیشتر در آمریکای شمالی، چین، روسیه، استرالیا و بخشی از اروپا است اما مواردی از آلودگی سیستم‌های رایانه‌ای ایران نیز دیده شده است.

وی مسیر اصلی بهره‌برداری از این حمله را رایانامه هایی (email) دانست که دارای یک پیوست Trojan.Zbot بوده و پس از دریافت بدافزار Trojan.Ransomlock.F آن را با یک نام تصادفی در Documents and Setting نصب می‌کند.

بهروزی تاکید کرد: اگر رایانه به این بدافزار آلوده شود داده‌هایی که روی رایانه رمز گذاری شده اند دیگر قابل بازیابی نیستند.

وی برای پیشگیری از آلوده شدن به این بدافزار توصیه هایی را مطرح کرد از جمله اینکه رایانامه هایی که به آن اطمینان ندارید را باز نکنید و فایل هایی را از آن دریافت نکنید.

قائم مقام مرکز آپا دانشگاه صنعتی اصفهان همچنین بر به روز نگه داشتن رایانه تاکید کرد و افزود: لازم است همه وصله های ارائه شده توسط شرکت های تولید کننده نصب شود.

وی همچنین توصیه کرد که از همه داده های مهم، نسخه پشتیبان تهیه و در محل امن ذخیره و از نصب افزونه ها و نرم افزار های کاربری نامطمئن خودداری شود.

تصویر زیر نمونه‌ای از پیام‌های اخطار باج‌افزار کریپتولاکر است که در آن از رمزگذاری اطلاعات رایانه خبر می‌دهد:



۳- ScarePackage و ScareMeNot: این باج‌افزارها را می‌توان جز اولین باج‌افزارهایی دانست که تلفن‌های همراه را هدف قرار داده‌اند و در این مورد هدف تلفن‌های هوشمند اندروید هستند! این باج‌افزارها مانند موارد بالا دستگاه اندروید قربانی را قفل می‌کنند و علت آن را هم پورنوگرافی کودکان، پونوگرافی حیوان‌خواهی، سو استفاده از کودکان و ارسال اسپم با حجم بسیار زیاد اعلام می‌کنند. براساس تحقیقی که Lookout  انجام داده است، این باج‌افزارها از طریق وب‌سایت‌‌های مختلف و با نشان دادن یک اپلیکیشن جعلی اندروید (مانند فلش پلیر یا آنتی‌ویروس) و درخواست نصب آنها بر روی تلفن هوشمند قربانی، دستگاه وی را قفل می‌کنند.



باج افزار به روزرسانی ویندوز 10

در یکی از جدید ترین انواع باج افزار که در یک ماهه اخیر و پس از آغاز عرضه ویندوز ده شایع شده باج افزار با بهانه به روز رسانی ویندوز نفوذ می کند. کارشناسان امنیتی هشدار دادند که مراقب پیام‌هایی مبتنی بر به‌روزرسانی رایانه و نصب ویندوز ۱۰ باشید تا به‌جای آخرین نسخه سیستم‌عامل رایانه‌ای مایکروسافت، یک بدافزار مخرب را در اختیار نگیرید.

زمانی که یک کاربر ایمیل مذکور را باز می‌کند، اقدام به باز کردن فایل زیپ شده می‌کند و پس از خارج کردن آن از حالت زیپ، یک پیام برای او منتشر می‌شود که در او نوشته شده: «رایانه‌ی او آلوده شده است و فایل‌های او توسط CTB-Locker رمزگذاری شده‌اند.»

سپس به کاربر گفته می‌شود ظرف ۹۶ ساعت آینده مقدار مشخصی پول پرداخت کند تا فایل‌هایش از حالت رمزگذاری شده خارج شوند و در غیر این صورت تمام فایل‌ها پاک می‌شوند.



گوشی های هوشمند آلوده به بدافزار وارد بازار می شوند!

تحقیقات جدید نشان می دهد برخی گوشی های اندروید موجود در بازار حاوی بدافزار و نرم افزارهای مخرب اند.
نرم افزارهای مخرب و جاسوس ابزارهایی که گوشی های هوشمند مبتنی بر سیستم عامل اندروید را هدف قرار قرار می دهند این روز ها بسیار رایج شده اند. حالا تحقیقات اخیر نشان می دهد برخی از این گوشی ها در زمان خرید توسط مشتری نیز در درون خود حاوی نرم افزارهای جاسوسی و بدافزار هستند.

بنا بر گزارش اخیر شرکت امنیتی آلمانی GDATA نمونه هایی کشف شده از گوشی هایی که حاوی بدافزار هستند در مقایسه با سه ماهه اول سال 2015 میلادی 25 درصد رشد داشته است.



یافته های موجود در این گزارش نشان می دهد در برخی گوشی های هوشمند سازندگان موبایل نظیر Huawei و Xiaomi، ابزارهای دستکاری شده ای قرار دارد که برای مقاصد جاسوسی و نمایش دادن تبلیغات به مشتریان مورد استفاده قرار می گیرند.

کریستین لوگ، سنخگوی شرکت امنیتی GDATA در این باره عنوان داشت: "به نظر می رسد این بدافزارها توسط یک شخص واسط (میانجی) نصب می شوند اما از اینکه مبدا آن دقیقا کجا است اطلاعاتی در دسترس نیست. ما ردپای این بدافزار را از کشور چین به بعد از دست داده ایم".

وی افزود: کاربران گوشی های هوشمند با نصب نرم افزار ضد ویروس می توانند این نوع بدافزار را شناسایی کنند.

گفتی است این تحقیق همچنین نشان می دهد که درهر 14 ثانیه یک نمونه بدافزاری توسط تحلیلگران شناسایی می گردد. که این امر نشان دهنده افزار تهدیدات و بدافزارهای گوشی های همراه است.



بحران باج‌گيري

گزارش‌هاي دريافت شده از قربانيان که حاضر به پرداخت باج شده‌اند نشان مي‌دهد هکرها پس ار دريافت پول قربانيان را براي غيرفعال کردن و پاک‌کردن بد‌افزار و رمزگشايي از اطلاعات راهنمايي مي‌کنند. به گفته اين قربانيان، پرداخت مي‌تواند از چند دقيقه تا چند هفته وقت‌گير باشد.

با اين‌همه شرکت امنيتي ديگري به نام ترندمايکرو هشدار داده‌است که تسليم درخواست اين بد‌افزار شدن تنها منجر به گسترش بيشتر آن و ديگر بدافزارها شده و در عين حال هيچ تضميني وجود ندارد که پس از پرداخت باج،‌ اطلاعات به کاربر برگردانده شود.



پلیس چه توصیه‌ای می‌کند؟

پلیس در این گونه موارد توصیه می‌کند که شهروندان بجای همکاری و برآوردن خواست مجرم به دفا‌تر پلیس فتا مراجعه نمایند تا مجرم ره گیری شده و ضمن برخورد انتظامی و قضایی با وی اطلاعات کاربر نیز بازیابی گردد. در هر صورت باید دانست که هیچ‌گاه ابتلا به یک باج افزار به معنای ناچار شدن از پرداخت باج نیست و همیشه با مراجعه به پلیس می‌توان ضمن حل بدون هزینه مشکل مجرمین را نیز به سزای اعمالشان رساند.

نحوه عملکرد فنی باج افزار‌ها چگونه است؟

باج افزار‌ها با روشهای مختلفی مانند کرم‌ها و ویروس‌ها منتشر می‌شوند و پس از نصب و اجرا شروع به اعمالی برای مسدود ساری دسترسی کاربر اصلی مانند رمزگذاری هارددیسک می‌کنند. باج افزارهای پیشرفته‌تر معمولا با بهره گیری از کلیدهای عمومی فایل‌ها را رمزگذاری می‌کنند. در این حالت کلید خصوصی لازم برای خارج کردن فایل‌ها از حالت رمز شده فقط در دست طراح باج افزار است. باج افزار از فرد قربانی می‌خواهد که به حساب طراح خود پول واریز کند. البته لازم به ذکر است بعضی باج افزار‌ها رمزگذاری نمی‌کنند، بلکه از راه‌های دیگری مثل اختصاص پوستهٔ سیستم عامل به خود و یا تغییر رکوردهای مربوط به بوت، استفاده از سیستم را دچار مشکل می‌سازند.



روش‌های مقابله با باج‌افزارها

به احتمال زیاد با خواندن مطالب بالا این سوال برای شما پیش آمده است که چگونه می‌توان با باج‌افزارها مقابله کرد؟

در پاسخ به این سوال باید بگویم که شما با رعایت یک سری نکات می‌توانید تا حد بسیار زیادی از آلوده شدن رایانه/ تلفن هوشمندتان به باج‌افزارها جلوگیری کنید هر چند که تضمین ۱۰۰٪ در دنیای امنیت دیجیتال بی‌معنی است!

۱- از دانلود و نصب فایل و نرم‌افزار از وب‌سایت‌های ناشناس و مشکوک شدیدا خودداری کنید.

۲- همواره یک نسخه پشتیبان آفلاین از اطلاعات حیاتی خود بر روی سی‌دی، دی‌وی‌دی، هارد اکسترنال و… داشته باشید زیرا باج‌افزارها می‌توانند اطلاعات بر روی کلود مانند دراپ باکس یا گوگل درایو را هم رمزگذاری کنند.

۳- از دانلود کردن اپلیکیشن‌ها از فروشگاه‌ها و وب‌سایت‌های ناشناس و غیرمشهور خودداری کنید. پیشنهاد من آن است که اپلیکیشن‌های اندروید خود را از طریق گوگل پلی یا کافه بازار دانلود و نصب کنید.

۴- در هنگام نصب اپلیکیشن‌های مختلف بر روی دستگاه اندروید خود به سطح دسترسی ادمین دقت کنید و اگر اپلیکیشین ناشناسی خواستار دسترسی ادمین شد از نصب آن شدیدا خودداری کنید. اپ‌بین تا حدودی در این زمینه ممکن است به کار شما بیاید.
*۵- همواره نرم‌افزارهای سیستم عامل خود را به روز نگهدارید و به هیچ عنوان به روز کردن
ویندوز، آنتی‌ویروس و… را پشت گوش نیاندازید.



در صورت ابتلا چه کنیم؟

چنانکه در بالا نیز ذکر شد توصیه‌های رسمی کار‌شناسان پلیس فتا مراجعه مستقیم به این مجموعه از طریق تلفن یا سایت پلیس فتا به آدرسCyberpolice.ir است و به صورت جدی توصیه می‌شود که از همکاری با این گونه افراد پرهیز گردد.

گفتنی است این احتمال به صورت جدی وجود دارد که در صورت همکاری با فرد خاطی و مجرم وی قربانی را طعمه خوبی برای مزاحمت‌های بعدی خود ببیند و ماجرا به یک پرداخت ساده ختم نگردد چنانکه چنین اتفاقاتی در مورد باج افزارهای فاقد گستره عمومی مشاهده شده و قابل تکرار می‌باشد.
منبع: باشگاه خبرنگاران