طراحی سایت سئو سایت | 09124633609

باج افزار چیست؟ چگونه کار میکند؟ راه های مقابله با باج افزار چیست؟

باج افزار چیست؟ چگونه کار میکند؟ راه های مقابله با باج افزار چیست؟

باج افزار نوعی از بدافزارها است که به مجرمان امکان می دهد با در دست گرفتن کنترل کامپیوتر قربانی از راه دو آن را قفل کنند و یا داده های ذخیره شده قربانی روی کامپیوتر و یا نسخه های پشتیبان آن را  رمزگذاری نمایند به شکلی که کاربر نتواند از سیستم خود استفاده کند. سپس یک پنجره پاپ آپ روی کامپیوتر شخص نمایان می کنند  و به او می گویند این قفل تا زمانی که هزینه ای برای باز کردن آن نپردازید باز نخواهد شد.

باج افزارها از راه های مختلف مانند کرمها منتشر میشوند و پس از نصب و اجرا روی کامپیوتر قربانی شروع به اجرای اعمالی مانند رمزگذاری هارددیسک میکنند باج افزارهای پیشرفته تر با استفاده از کلید عمومی فایلها را رمزگذاری میکنند و طراح باج افزار کلید خصوصی لازم برای بیرون آوردن فایلها از حالت رمز شده را در اختیار خود نگه می دارد و درنتیجه قربانی برای به دست آوردن این کلید خصوصی و رمزگشایی فایل های حیاتی خود ناچار به پرداخت وجه به طراح باج افزار می شود که معمولا هم باج گیر ها مبلغ مورد نظر خود را از طریق دریافت بیت کوین طلب می کنند. برخی دیگر از باج افزارها رمزگذاری انجام نمیدهند، بلکه از روشهای دیگری مانند در اختیار گرفتن پوسته سیستم عامل یا تغییر رکوردهای مربوط به بوت سیستم، استفاده از کامپوتر را مختل میکنند. بیشترین آمار نفوذ باج افزارها از طریق ایمیل های مشکوکی گزارش شده اند که دارای ضمیمه های آلوده بوده اند؛

وقتی به یک باج افزار آلوده می شوید بسته به نوع باج افزار و فناوری هایی که استفاده می کند شانس برگشت اطلاعات شما کم یا زیاد خواهد بود، لذا پیشنهاد می شود با شناخت بهتر رفتار و انواع باج افزارها اقدامات مناسب جهت جلوگیری از آلوده شدن به آنها را بگیرید. باج افزارها از نظر عملکرد و رفتار محدود به چند دسته اصلی هستند و باج افزارهای جدید معمولا نسخه های تغییر یافته باج افزارهای اصلی هستند، در این مقاله سعی می کنیم معروف ترین باج افزارهایی که بیشترین صدمه را به امنیت فضای سایبری زده اند بررسی کرده و راه های جلوگیری از دچار شدن به آنها را نیز با شما در میان بگذاریم.

برخی از انواع باج افزار :

SAMSAM

باج افزار SamSam  حملات خود را علیه سازمان‌های مختلف ازجمله سازمان‌های دولتی، بهداشتی و بخش‌های کنترل صنعتی ادامه می‌دهد. برخلاف روش‌ مرسوم مورداستفاده در سایر باج‌افزارها که از انتشار اسپم استفاده می‌کنند، SamSam  از آسیب‌پذیری‌های بحرانی موجود در شبکه سازمان هدف بهره‌برداری می‌کند.

پژوهشگران در سیمانتک متوجه شده‌اند که مهاجمان باج‌افزار SamSam تعداد ۶۷ سازمان مختلف را در سال ۲۰۱۸ مورد هدف قرار داده‌اند. در این میان بخش‌های بهداشتی و درمانی بیشترین آسیب را از این باج‌افزار دیده‌اند.

در سال ۲۰۱۸، در میان ۶۷ سازمان آلوده ۵۶ سازمان در ایالات‌متحده قرار دارند و ۱۱ مورد دیگر سازمان‌هایی در پرتغال، فرانسه، استرالیا، ایرلند و اسرائیل را شامل می‌شوند. مهاجمان SamSam زمان زیادی را صرف اسکن کردن شبکه شرکت‌ها می‌کنند تا بستر شبکه سازمان را مورد هدف قرار می‌دهند.

گروه SamSam از تکنیک‌های ساده مانند استفاده از ویژگی‌های سیستم‌عامل یا ابزارهای قانونی مدیریت شبکه برای به خطر انداختن شبکه‌های قربانیان استفاده می‌کند. مهاجمان از تکنیک‌های مبهم‌سازی و ضد تجزیه‌وتحلیل برای شناسایی نشدن استفاده می‌کنند.

برای جلوگیری از آسیب‌پذیری در مقابل باج‌افزارها توجه به موارد زیر ضروری است:

Mongo Lock

حمله‌ای به نام Mongo Lock، با هدف پایگاه‌های داده‌ای محافظت نشده و قابل دسترسی از راه دور انجام می‌شود که پایگاه‌های داده‌ای را پاک می‌کند و در ازای بازگرداندن محتویات آنها درخواست باج می‌کند. این نوع حملات Mongo Lock، حملات جدیدی نیستند و مدت زمانی طولانی است که پایگاه‌های داده‌ای MongoDB مورد حمله مهاجمان قرار می‌گیرند. مهاجمان این هایجک‌ها را از طریق جستجو در اینترنت و یا با استفاده از سرویسهایی مانند Shodan.io برای جستجوی سرورهای محافظت نشده MongoDB انجام می‌دهند. پس از اتصال به این سرورها، مهاجمان می‌توانند پایگاه‌های داده‌ای را استخراج کنند و بعد آنها را پاک کنند و سپس یک یادداشت باج‌خواهی برای توضیح نحوه برگرداندن پایگاه‌های داده‌ای و دریافت پول باج ایجاد کنند.

اگرچه که در یادداشت باج‌خواهی ادعا می‌شود که مهاجمان قبل از حذف پایگاه داده‌ای اطلاعات آن را استخراج کرده‌اند، اما هیچ تضمینی وجود ندارد که آنها اطلاعات را استخراج کرده‌ باشند و به قربانی برگردانند. برای اینکه فرایند دسترسی به پایگاه داده MongoDB، خودکار و اتوماتیک شود، مهاجمان از یک اسکریپت استفاده می‌کنند تا فرایند استخراج‌ کردن و حذف کردن و سپس ایجاد یادداشت باج‌خواهی اتوماتیک انجام شود. این اسکریپت‌ها گاهی با نقص مواجه می‌شوند و داده‌ها هنوز هم برای قربانیان در دسترس هستند، حتی اگر یادداشت باج‌خواهی هم برای کاربران ایجاد شود. این حملات Mongo Lock بیشتر به دلیل دسترسی از راه دور پایگاه داده MongoDB و عدم امن‌سازی آن رخ می‌دهد و این حملات به‌راحتی با پیروی از مراحل نسبتا ساده در تأمین امنیت پایگاه‌های داده‌ای خنثی می‌شود. MongoDB دارای یک مقاله خوب در مورد چگونگی امن‌سازی پایگاه داده‌ای است و حتی یک چک لیست امنیتی را برای مدیران برای دنبال‌کردن فراهم کرده ‌است. دو قدم خیلی مهم که از این نوع حملات جلوگیری می‌کند، احراز هویت و همچنین غیرفعال کردن دسترسی به پایگاه داده‌ای از راه دور است.

Dharama

یک نوع از باج‌افزار Dharma منتشر شد که افزونه .brrr را به فایل‌های رمزگذاری شده اضافه می‌کند. این نوع جدید اولین بار توسط Jakub Kroustek کشف شد که نمونه آن را در اختیار VirusTotal قرار داد. در زیر مشخص شده که چگونه این باج‌افزار کامپیوتر را آلوده می‌کند و زمانی که اطلاعات شما رمزگذاری می‌شوند چگونه می‌توانید از اطلاعاتتان محافظت کنید، درحالیکه متاسفانه هیچ راهی برای رمزگشایی فایل‌های آلوده شده با باج‌افزار Dharma Brrr وجود ندارد.

خانواده باج‌افزار Dharma  از جمله نوع brrr آن، توسط مهاجمان به صورت دستی روی رایانه‌ها از طریق پروتکل‌های سرویس از راه دور یا RDP نصب می‌شود. مهاجمان فضای اینترنت را برای رایانه‌هایی که پروتکل RDP را اجرا می‌کنند و معمولا بر روی پورت ۳۳۸۹ TCP هستند، جستجو می‌کنند، و تلاش می‌کنند تا رمز عبور آن‌ها را بشکنند و واردشان شوند. همچنین سایت‌هایی زیرزمینی هستند که اطلاعات مربوط به رایانه‌های قابل دسترس از طریق پروتکل‌های سرویس از راه دور را می‌فروشند و مهاجمان می‌توانند این اطلاعات را خریداری کنند. هنگامی که مهاجمان به کامپیوتر هدف دسترسی پیدا می‌کنند، باج‌افزار را نصب کرده و کامپیوتر را رمزگذاری می‌کنند. اگر مهاجمان قادر به رمزگذاری رایانه‌های دیگر در شبکه باشند، تلاش خواهند کرد که این کار را نیز انجام دهند.

راه حل برای مقابله با این نوع حمله؛ استفاده از فایروال سیستم عامل و محدود سازی افرادی که میتوانند به این سیستم متصل شوند. استفاده از رمز های عبور مستحکم و همچنین بروز نگه داشتن سیستم عامل

WannaCry

باج‌افزار: WannaCry که یک حمله سایبری جهانی بود به نام‌های  WannaCrypt  یا WanaCrypt0r 2.0 نیز شناخته می‌شود، ابزاری برای اجرای حملات باج‌افزاری است. در ماه می سال ۲۰۱۷ میلادی، حمله سایبری عظیمی با استفاده از این باج‌افزار آغاز شد که بیش از ۲۳۰ هزار رایانه را در ١۵٠ کشور جهان را آلوده ساخت و به ۲۸ زبان از قربانیان باج طلب می‌کند. حمله مذکور آن گونه که یوروپول توصیف کرده‌است، بی‌سابقه بوده‌است.

در تاریخ ۱۲ می ۲۰۱۷، باج‌افزار WannaCry آلوده‌سازی رایانه‌های سراسر جهان را آغاز کرد. این باج‌افزار پس از دستیابی به رایانه‌ها، درایو دیسک سخت این رایانه‌ها را رمزگذاری می‌کند و سپس برای سوء استفاده از آسیب‌پذیری SMB برای انتشار به صورت تصادفی در رایانه‌های متصل به اینترنت و  همچنین بین رایانه‌های روی شبکه محلی تلاش می‌کند.

پیشگیری

پس از آلودگی

نتیجه نهایی:

با توجه به نوع حملات و فنونی که بد افزار ها برای نفوذ یا انتقال خود به سیستم های قربانی دارند میتوان از دستورالعمل زیر برای جلوگیری از این نوع حملات استفاده کرد:

 

منبع : https://www.tejarateamn.com/whatisransomware/

خروج از نسخه موبایل