باج افزار چیست؟ چگونه کار میکند؟ راه های مقابله با باج افزار چیست؟
باج افزار چیست؟ چگونه کار میکند؟ راه های مقابله با باج افزار چیست؟
باج افزار نوعی از بدافزارها است که به مجرمان امکان می دهد با در دست گرفتن کنترل کامپیوتر قربانی از راه دو آن را قفل کنند و یا داده های ذخیره شده قربانی روی کامپیوتر و یا نسخه های پشتیبان آن را رمزگذاری نمایند به شکلی که کاربر نتواند از سیستم خود استفاده کند. سپس یک پنجره پاپ آپ روی کامپیوتر شخص نمایان می کنند و به او می گویند این قفل تا زمانی که هزینه ای برای باز کردن آن نپردازید باز نخواهد شد.
باج افزارها از راه های مختلف مانند کرمها منتشر میشوند و پس از نصب و اجرا روی کامپیوتر قربانی شروع به اجرای اعمالی مانند رمزگذاری هارددیسک میکنند باج افزارهای پیشرفته تر با استفاده از کلید عمومی فایلها را رمزگذاری میکنند و طراح باج افزار کلید خصوصی لازم برای بیرون آوردن فایلها از حالت رمز شده را در اختیار خود نگه می دارد و درنتیجه قربانی برای به دست آوردن این کلید خصوصی و رمزگشایی فایل های حیاتی خود ناچار به پرداخت وجه به طراح باج افزار می شود که معمولا هم باج گیر ها مبلغ مورد نظر خود را از طریق دریافت بیت کوین طلب می کنند. برخی دیگر از باج افزارها رمزگذاری انجام نمیدهند، بلکه از روشهای دیگری مانند در اختیار گرفتن پوسته سیستم عامل یا تغییر رکوردهای مربوط به بوت سیستم، استفاده از کامپوتر را مختل میکنند. بیشترین آمار نفوذ باج افزارها از طریق ایمیل های مشکوکی گزارش شده اند که دارای ضمیمه های آلوده بوده اند؛
وقتی به یک باج افزار آلوده می شوید بسته به نوع باج افزار و فناوری هایی که استفاده می کند شانس برگشت اطلاعات شما کم یا زیاد خواهد بود، لذا پیشنهاد می شود با شناخت بهتر رفتار و انواع باج افزارها اقدامات مناسب جهت جلوگیری از آلوده شدن به آنها را بگیرید. باج افزارها از نظر عملکرد و رفتار محدود به چند دسته اصلی هستند و باج افزارهای جدید معمولا نسخه های تغییر یافته باج افزارهای اصلی هستند، در این مقاله سعی می کنیم معروف ترین باج افزارهایی که بیشترین صدمه را به امنیت فضای سایبری زده اند بررسی کرده و راه های جلوگیری از دچار شدن به آنها را نیز با شما در میان بگذاریم.
برخی از انواع باج افزار :
SAMSAM
باج افزار SamSam حملات خود را علیه سازمانهای مختلف ازجمله سازمانهای دولتی، بهداشتی و بخشهای کنترل صنعتی ادامه میدهد. برخلاف روش مرسوم مورداستفاده در سایر باجافزارها که از انتشار اسپم استفاده میکنند، SamSam از آسیبپذیریهای بحرانی موجود در شبکه سازمان هدف بهرهبرداری میکند.
پژوهشگران در سیمانتک متوجه شدهاند که مهاجمان باجافزار SamSam تعداد ۶۷ سازمان مختلف را در سال ۲۰۱۸ مورد هدف قرار دادهاند. در این میان بخشهای بهداشتی و درمانی بیشترین آسیب را از این باجافزار دیدهاند.
در سال ۲۰۱۸، در میان ۶۷ سازمان آلوده ۵۶ سازمان در ایالاتمتحده قرار دارند و ۱۱ مورد دیگر سازمانهایی در پرتغال، فرانسه، استرالیا، ایرلند و اسرائیل را شامل میشوند. مهاجمان SamSam زمان زیادی را صرف اسکن کردن شبکه شرکتها میکنند تا بستر شبکه سازمان را مورد هدف قرار میدهند.
گروه SamSam از تکنیکهای ساده مانند استفاده از ویژگیهای سیستمعامل یا ابزارهای قانونی مدیریت شبکه برای به خطر انداختن شبکههای قربانیان استفاده میکند. مهاجمان از تکنیکهای مبهمسازی و ضد تجزیهوتحلیل برای شناسایی نشدن استفاده میکنند.
برای جلوگیری از آسیبپذیری در مقابل باجافزارها توجه به موارد زیر ضروری است:
- گرفتن نسخه پشتیبان بهصورت منظم بهترین روش برای دفاع در مقابل باج افزار است
- همچنینپیمایش ایمیلها برای لینکها، محتوا و پیوستهای مخرب میتواند خطر آلوده شدن را کاهش دهد.
- بروز نگه داشتن سیستم عامل و نرم افزار های کاربردی
Mongo Lock
حملهای به نام Mongo Lock، با هدف پایگاههای دادهای محافظت نشده و قابل دسترسی از راه دور انجام میشود که پایگاههای دادهای را پاک میکند و در ازای بازگرداندن محتویات آنها درخواست باج میکند. این نوع حملات Mongo Lock، حملات جدیدی نیستند و مدت زمانی طولانی است که پایگاههای دادهای MongoDB مورد حمله مهاجمان قرار میگیرند. مهاجمان این هایجکها را از طریق جستجو در اینترنت و یا با استفاده از سرویسهایی مانند Shodan.io برای جستجوی سرورهای محافظت نشده MongoDB انجام میدهند. پس از اتصال به این سرورها، مهاجمان میتوانند پایگاههای دادهای را استخراج کنند و بعد آنها را پاک کنند و سپس یک یادداشت باجخواهی برای توضیح نحوه برگرداندن پایگاههای دادهای و دریافت پول باج ایجاد کنند.
اگرچه که در یادداشت باجخواهی ادعا میشود که مهاجمان قبل از حذف پایگاه دادهای اطلاعات آن را استخراج کردهاند، اما هیچ تضمینی وجود ندارد که آنها اطلاعات را استخراج کرده باشند و به قربانی برگردانند. برای اینکه فرایند دسترسی به پایگاه داده MongoDB، خودکار و اتوماتیک شود، مهاجمان از یک اسکریپت استفاده میکنند تا فرایند استخراج کردن و حذف کردن و سپس ایجاد یادداشت باجخواهی اتوماتیک انجام شود. این اسکریپتها گاهی با نقص مواجه میشوند و دادهها هنوز هم برای قربانیان در دسترس هستند، حتی اگر یادداشت باجخواهی هم برای کاربران ایجاد شود. این حملات Mongo Lock بیشتر به دلیل دسترسی از راه دور پایگاه داده MongoDB و عدم امنسازی آن رخ میدهد و این حملات بهراحتی با پیروی از مراحل نسبتا ساده در تأمین امنیت پایگاههای دادهای خنثی میشود. MongoDB دارای یک مقاله خوب در مورد چگونگی امنسازی پایگاه دادهای است و حتی یک چک لیست امنیتی را برای مدیران برای دنبالکردن فراهم کرده است. دو قدم خیلی مهم که از این نوع حملات جلوگیری میکند، احراز هویت و همچنین غیرفعال کردن دسترسی به پایگاه دادهای از راه دور است.
Dharama
یک نوع از باجافزار Dharma منتشر شد که افزونه .brrr را به فایلهای رمزگذاری شده اضافه میکند. این نوع جدید اولین بار توسط Jakub Kroustek کشف شد که نمونه آن را در اختیار VirusTotal قرار داد. در زیر مشخص شده که چگونه این باجافزار کامپیوتر را آلوده میکند و زمانی که اطلاعات شما رمزگذاری میشوند چگونه میتوانید از اطلاعاتتان محافظت کنید، درحالیکه متاسفانه هیچ راهی برای رمزگشایی فایلهای آلوده شده با باجافزار Dharma Brrr وجود ندارد.
خانواده باجافزار Dharma از جمله نوع brrr آن، توسط مهاجمان به صورت دستی روی رایانهها از طریق پروتکلهای سرویس از راه دور یا RDP نصب میشود. مهاجمان فضای اینترنت را برای رایانههایی که پروتکل RDP را اجرا میکنند و معمولا بر روی پورت ۳۳۸۹ TCP هستند، جستجو میکنند، و تلاش میکنند تا رمز عبور آنها را بشکنند و واردشان شوند. همچنین سایتهایی زیرزمینی هستند که اطلاعات مربوط به رایانههای قابل دسترس از طریق پروتکلهای سرویس از راه دور را میفروشند و مهاجمان میتوانند این اطلاعات را خریداری کنند. هنگامی که مهاجمان به کامپیوتر هدف دسترسی پیدا میکنند، باجافزار را نصب کرده و کامپیوتر را رمزگذاری میکنند. اگر مهاجمان قادر به رمزگذاری رایانههای دیگر در شبکه باشند، تلاش خواهند کرد که این کار را نیز انجام دهند.
راه حل برای مقابله با این نوع حمله؛ استفاده از فایروال سیستم عامل و محدود سازی افرادی که میتوانند به این سیستم متصل شوند. استفاده از رمز های عبور مستحکم و همچنین بروز نگه داشتن سیستم عامل
WannaCry
باجافزار: WannaCry که یک حمله سایبری جهانی بود به نامهای WannaCrypt یا WanaCrypt0r 2.0 نیز شناخته میشود، ابزاری برای اجرای حملات باجافزاری است. در ماه می سال ۲۰۱۷ میلادی، حمله سایبری عظیمی با استفاده از این باجافزار آغاز شد که بیش از ۲۳۰ هزار رایانه را در ١۵٠ کشور جهان را آلوده ساخت و به ۲۸ زبان از قربانیان باج طلب میکند. حمله مذکور آن گونه که یوروپول توصیف کردهاست، بیسابقه بودهاست.
در تاریخ ۱۲ می ۲۰۱۷، باجافزار WannaCry آلودهسازی رایانههای سراسر جهان را آغاز کرد. این باجافزار پس از دستیابی به رایانهها، درایو دیسک سخت این رایانهها را رمزگذاری میکند و سپس برای سوء استفاده از آسیبپذیری SMB برای انتشار به صورت تصادفی در رایانههای متصل به اینترنت و همچنین بین رایانههای روی شبکه محلی تلاش میکند.
پیشگیری
- سادهترین راه جهت پیشگیری از آلوده شدن رایانه، نصب وصله امنیتیMS17-010 برای همه نسخههای ویندوز است.
- سیستمعامل وضدویروس و رایانه خود را بهروز نگه دارید.
- درصورت امکان از ویندوزهای ایکسپی، سرور ۲۰۰۰ و سرور ۳۰۰۰ استفاده نکنید.
- پورتهای ۴۴۵/۱۳۹ و ۳۳۸۹ را روی دیوار آتش مسدود کنید.
- بهطور منظم از فایلهای خود، نسخه پشتیبان تهیه کنید.
پس از آلودگی
- به محض آلوده شدن، کامپیوتر خود را از شبکه خارج کنید تا از تکثیر این کِرم جلوگیری شود.
- هرگز پول باجخواهی شده را پرداخت نکنید زیرا احتمال بازگشت اطلاعات قفل شده حتی پس از طریق پرداخت باج تقریباً غیرممکن است.
- با توجه به شدت آلودگی، احتمالاً بهترین روش پاکسازی، نصب دوباره ویندوز است.
- تاکنون راه قطعی برای بازیافت اطلاعات رمزگذاری شده توسط باجافزار پیدا نشدهاست. اما چون احتمال کد آزادسازی پروندههای قفل شده در آینده وجود دارد، پیش از شروع عملیات پاکسازی، از اطلاعات خود نسخه پشتیبان تهیه کنید.
نتیجه نهایی:
با توجه به نوع حملات و فنونی که بد افزار ها برای نفوذ یا انتقال خود به سیستم های قربانی دارند میتوان از دستورالعمل زیر برای جلوگیری از این نوع حملات استفاده کرد:
- کنترل دسترسی های در لایه شبکه و لایه سرویس ها ؛ کنترل دسترسی در لایه شبکه با فایروال ها قابل مدیریت میباشد و میتوان در فایروال ها تعریف کنید از چه IP و پورتی به چه IP و پورتی ارتباط ایجاد گردد و نیز با ایجاد شبکه های محلی مجازی نیز دسترسی ها در لایه ها پایین تر را نیز میتوان کنترل کرد. کنترل دسترسی در لایه سرویس ها با فایروال های در لایه سرویس و نیز UTM ها قابل مدیریت میباشد.
- مدیریت آسیب پذیری ها و مدیریت وصله؛ با ابزار های مدیریت آسیب پذیری ها میتوان از آخرین آسیب پذیری های موجود در سیستم عامل ها و نرم افزار های کاربردی آگاه شد و با ابزار های مدیریت وصله ، آسیب پذیری های موجود در شبکه را میتوان وصله کرد.
- استفاده از راه حل های مدیریت Account ها؛ این راه حل میتواند Account های موجود را مدیریت کند و در بازه های زمانی خاص کاربر را مجبور به تغییر پسورد با پیچیدگی و طول کارکتر مناسب کند.
- استفاده از راه حل های برای چک کردن بد افزار های در ایمیل کاربران ؛ این راه حل به ما این قابلیت را میدهد که قبل از مشاهده فایل های پیوست در ایمیل ها آنها را از نظر بد افزار بودن چک میشوند و در صورت مشاهده هر گونه مورد مشکوک دسترسی کاربر را از آن قطع میکند.
- استفاده از راه حل های BackUp : این راه حل میتواند ریسک موجود در برابر اینگونه حملات را کاهش دهد و در صورت گرفتار شدن به اینگونه حملات و کد شدن اطلاعات؛ این راه حل میتواند کلیه اطلاعات از Backup قبل را بدون مشکل و هزینه برگرداند.
- مهمترین و اصلی ترین مورد برای جلوگیری این نوع حملات آموزش میباشد؛ آموزش اصول امنیت برای کاربران سازمان به صورت پیوسته و در بازه های مختلف تا با اصول امنیت آشنا شوند و این باعث خواهد شد که کارمندان با شیوه های آلوده شدن سیستم هایشان به بد افزار آشنا شوند واصول امنیتی را رعایت کنند تا به این مشکلات دچار نشوند.
منبع : https://www.tejarateamn.com/whatisransomware/