رمزگذاری اطلاعات توسط باج‌افزارها|چای هوشمند

عملکرد باج افزار و روش مقابله با آنها

اشتراک گذاری در twitter
اشتراک گذاری در whatsapp
اشتراک گذاری در telegram

باج افزار چیست؟

باج افزارها گونه‌ای از بدافزارها هستند که دسترسی به سیستم را محدود میکنند و ایجادکننده آن برای برداشتن محدودیت درخواست باج میکند. برخی از انواع آنها روی فایلهای هارددیسک رمزگذاری انجام می دهند و برخی دیگر ممکن است به سادگی سیستم را قفل کنند و پیام هایی روی نمایشگر نشان دهند که از کاربر میخواهد مبالغی را واریز کنند. باج افزار رمزنگار تلاش دارد که فایلهای کاربر را گرو نگه دارد و چنین باج افزار متفاوت از انواع دیگر بدافزارهایی است که اثراتش حتی از طریق کلیدهای رمز نوشته توسط دشمن از راه دور برگشت پذیر است. کاربران فقط می توانند از طریق استفاده از مکانیزم های پرداخت به فایل هایشان دسترسی پیدا کنند و تلاش های بی فایده بیشتر برای کم کردن این دسته عملیات ،درحالیکه این نوع بدافزار بیش از یک دهه به وجود آمده است ،هماکنون استفاده رو به فزونی آن سالانه سبب میلیونها دلار خسارت به مصرف کننده میشود.

رمزنگار باج‌افزار با مبهم نمودن محتوی فایل‌های کاربر اغلب از طریق استفاده از رمزنگاری الگوریتم‌ها عمل می‌کند. قربانیان چاره اندکی نسبت به پرداخت به مهاجم برای برگشت این فرایند دارند. برخی مهاجمان حتی تاریخ انقضاهای محدودی را تحمیل می‌کنند و میزبان را مجبور به‌دقت در مکان‌های سرویس مشتری برای تشویق قربانی به پرداخت می‌کنند. سهولت اینکه باج‌افزار می‌تواند نوشته شود و محدودیت‌ها را مبهم کند کارایی طرح‌های شناسایی مبتنی بر امضا سنتی است. رفتار امضا باج‌افزار رمزنگاری آن از داده‌های قربانی است. باج‌افزار باید داده‌های اصلی را بخواند، داده‌های رمزنگاری شده را بنویسد و داده‌های اصلی را حذف کند تا تبدیل کامل شود. توجه داشته باشید که با شناسایی اعلان‌ها برای رمزنگاری کتابخانه‌ها به‌تنهایی کافی نیست همان‌طور که بسیاری از متغیرها نسخه‌های خودشان را از این الگوریتم‌ها به اجرا درمیاورند .امروزه تعداد رو به افزایشی از مؤسسات اجرایی قانونی با ازدست‌رفتن فایل‌های ارزشمندشان، اجبار به حذف مدارکشان و پرداخت باج به مهاجمین نیز قربانی باج‌افزار بوده‌اند مبارزه با باج‌افزار به دلایل بسیاری مشکل است.

همراه با چای هوشمند باشید تا در این مطلب روش‌های عملیاتی باج افزارها و انواع آن‌ها، چگونگی رمزگذاری باج‌نگاران و در نهایت استراتژی مقابله با آن‌ها را با هم بررسی نماییم.

روش‌های عملیاتی باج‌افزارها

درحالی‌که تمامی انواع باج‌افزارها به‌منظور گرفتن پول از اهداف خود طراحی می‌شوند، بااین‌حال، آنها می‌توانند از لحاظ عملیاتی به‌عنوان‌مثال، باج‌افزارهای رمزنگار مدرن، معمولاً از روش‌های رمزنگاری متقارن و نامتقارن استفاده می‌کنند. شایان‌ذکر است، روش‌های رمزنگاری اطلاعات توسط باج‌افزارها دارای مزیت‌ها و مشکلاتی هستند.

روش رمزنگاری متقارن

 یک کلید تنها به‌منظور رمزنگاری اطلاعات و بازگشایی اطلاعات استفاده می‌شود. از همین روی با دانستن کلید رمزنگاری می‌توان اطلاعات را به‌سادگی از حالت رمزنگاری خارج ساخت. باج‌افزارهایی که از رمزنگاری متقارن استفاده می‌کنند، معمولاً یک کلید بر روی ماشین آلوده شده تولید خواهند کرد و سپس آن را برای مهاجم ارسال می‌کنند یا از مهاجم قبل از رمزنگاری اطلاعات بر روی دیسک سخت، یک کلید درخواست می‌کنند. در این روش مهاجم باید اطمینان حاصل کند که کلید رمزنگاری در سیستم قربانی موجود نباشد، چون در آن صورت اطلاعات به‌سادگی می‌توانند با کلید مذکور رمزگشایی شوند. مزیت استفاده از روش رمزنگاری متقارن اطلاعات این است که سرعت آن نسبت به روش رمزنگاری نامتقارن بسیار بالاتر است

روش رمزنگاری نامتقارن

روش رمزنگاری نامتقارن، از یک کلید عمومی به‌منظور رمزنگاری اطلاعات و یک کلید خصوصی به‌منظور رمزگشایی اطلاعات استفاده می‌شود. از همین روی، با دانستن کلید رمزنگاری عمومی نمی‌توان اطلاعات را از حالت رمزنگاری شده خارج ساخت، زیرا تنها کلید خصوصی بدین منظور می‌تواند استفاده شود. باج‌افزارهای مدرن می‌توانند از کلید عمومی برای رمزنگاری اطلاعات استفاده کنند و برای رمزگشایی اطلاعات کلید خصوصی را پیش خود نگهدارند. در این روش مهاجمین نیاز ندارند کلید عمومی را محافظت کنند، زیرا حتی با دانستن آن کاربر قادر به رمزگشایی اطلاعات نیست 3 بااین‌حال، استفاده از این روش به‌منظور رمزنگاری حجم عظیمی از اطلاعات دارای مشکلات زیادی است. این روش نسبت به روش رمزنگاری متقارن دارای سرعت بسیار پایین‌تری است که همین موضوع بر روی کارایی آن تأثیر به سزایی می‌گذارد و ممکن است قبل از پایان یافتن عملیات رمزنگاری اطلاعات، عملیات شناسایی شده و با شکست روبه‌رو شود. قابل‌ذکر است، اکنون باج‌افزارهای بسیار پیشرفته مدرن ترکیبی از روش‌های رمزنگاری متقارن و نامتقارن را مورداستفاده قرار می‌دهند. باج‌افزارهایی که از رمزنگاری نامتقارن استفاده می‌کند، ممکن است یک جفت کلید خصوصی/عمومی مخصوص برای هر کامپیوتر آلوده تولید کنند. این مورد به مهاجم اجازه می‌دهد فایل‌ها رمزنگاری شده بر روی کامپیوتر قربانیان را بدون نمایش کلید خصوصی که می‌تواند برای رمزگشایی فایل‌های بر روی کامپیوترهای آلوده دیگر مورداستفاده قرار گیرد، رمزگشایی کنند.

انواع باج‌افزارها 

به‌طورکلی سه نوع باج‌افزار وجود دارد که به‌صورت زیر است:

ترس افزا:

 ساده‌ترین باج‌افزار است این بدافزار کاری می‌کند که کاربر فکر کند که سیستم ویروسی شده است و با نصب ترس افزار می‌توانند ویروس را حذف کنند. وقتی که این بدافزار روی سیستم اجرا شد از طریق پیغام‌ها و یا پاپ‌آپ اعلام می‌کند که باید مبلغی پرداخت کنند و اجازه اجرای برنامه‌های دیگر را نمی‌دهد.

قفل صفحه‌نمایش:

باج‌افزار قفل صفحه‌نمایش را قفل می‌کند و به هیچ طریق اجازه استفاده از کامپیوتر را نمی‌دهد. پس از شروع ویندوز یک پنجره به‌اندازه صفحه نمایشگر باز می‌شود و معمولاً می‌گوید که از طرف اف‌بی‌آی یا وزارت دادگستری است و شما قانونی را نقض کردید و باید جریمه پرداخت کنید.

باج‌افزار چیزهای واقعاً تند و زننده:

بدترین نوع نرم‌افزار رمزگذاری است چون‌که تا زمانی که شما مبلغی را پرداخت نکنید فایل‌ها را قفل می‌کند. برای بازیابی اطلاعاتتان باید قبلاً نسخه پشتیبان تهیه کرده باشید.

گام‌های رمزگذاری اطلاعات توسط باج‌افزارها

نفوذ  

در اولین مرحله، هکر تلاش می‌کند تا به سیستم مربوطه نفوذ کند. برای انجام این کار روش‌ها و متدهای مختلفی وجود دارد، این روش‌ها عبارت‌اند از:

قراردادن باج‌افزار در پیوست یک ایمیل به‌ظاهر متعارف و نرمال که به‌محض بازکردن ضمیمه موردنظر، گام نخست هکر به‌راحتی هرچه‌تمام‌تر انجام می‌گیرد.

دانلود و نصب نرم‌افزار از سایت‌های غیرمعتبر و ناشناس

از طریق حفره‌ها و آسیب پذیره‌ای امنیتی که در نرم‌افزارها وجود دارد و به دلیل عدم به‌روزرسانی و نصب پوشش امنیتی مربوطه شرایط را برای نفوذ فراهم می‌کند.

نصب  

بعد از ورود باج‌افزار به سیستم قربانی، بدافزار مربوطه اقدام به نصب خود بر روی سیستم می‌کند، البته در مواردی بدافزار مدتی بعد از نفوذ در سیستم، صبر کرده و سپس اقدام به فعالیت خود می‌کند.

 دست‌کاری تنظیمات سیستم 

حذف نسخه‌های Shadow copy و یا system restore جهت عدم امکان بازگشت به وضعیت قبلی سیستم، ازجمله فعالیت‌هایی است که بدافزار برای ادامه فعالیت خود به آن احتیاج دارد. حتی در مواردی، بدافزار اقدام به غیرفعال نمودن تنظیمات امنیتی انجام‌گرفته توسط آنتی‌ویروس هم می‌شود.

 ارتباط با مرکز کنترل  

بدافزار بعد از طی مراحل نفوذ، نصب و تغییر تنظیمات امنیتی سیستم، اقدام به برقراری تماس در فرصت مناسب با سیستم فرماندهی و مرکز کنترل خود که در یک سیستم دیگری (developer)در فضای اینترنت قرار دارد می‌کند و از این طریق شماره منحصربه‌فردی برای دستگاه مربوطه اختصاص داده می‌شود.

 رمزگذاری 

در این مرحله، باج‌افزار فعالیت اصلی خود را آغاز و با شناسایی فایل‌های موردنظر در سیستم قربانی که به طور معمول شامل کلیه فایل‌های متنی، تصویری، ویدئویی می‌شود، اقدام به رمزگذاری آنها می‌کند. در این مرحله بدافزار با شناسایی رسانه‌های ذخیره‌ساز متصل به سیستم از قبیل فلش و هارد اکسترنال، به فایل‌های داخل آنها هم رحم نکرده و عملیات رمزگذاری را بر روی آنها انجام می‌دهد.

 طلب پول  

مرحله نهایی بدافزار، اعلام هشدار و یا پیغامی به کاربر مربوطه بوده. این پیغام به طور معمول شامل موارد زیر می‌باشد:

توضیح کلی و مختصر بر اینکه سیستم مربوطه مورد هجوم بدافزاری قرار گرفته و فایل‌های آن رمز شده است 
اعلام مبلغ موردنظر از جانب قربانی برای خروج فایل‌ها از رمزگذاری
اعلام مهلت زمان برای پرداخت
هشدار حذف اطلاعات در صورت عدم پرداخت
نحوه ارتباط با هکر 

رمزگشایی

در این مرحله، توسعه‌دهنده و مرکز فرماندهی بدافزار ادعا می‌کند که در صورت پرداخت باج، اقدام به رمزگشایی فایل‌های رمز شده می‌کند. شاید در برخی موارد حتی بعد از پرداخت مبلغ مربوطه اقدامی برای رمزگشایی صورت نگیرد که حتی اگر هم احتمال رمزگشایی صددرصد هم وجود داشته باشد، توصیه می‌گردد به دلیل جلوگیری با این باج‌افزارها و تشویق آنها به فعالیت خود، این کار انجام نگردد .

 استراتژی‌های مقابله با باج‌افزارها

به‌منظور محافظت سیستم خود در مقابل تهدیدات باج‌افزارها بهتر است از طرح‌های پیشگیرانه استفاده کرد، زیرا بعد از آلودگی سیستم‌ها به باج‌افزارهای پیشرفته شانس زیادی وجود ندارد که به اطلاعات رمزنگاری شده دسترسی مجدد پیدا کرد. بااین‌حال، مشابه مقابله با تهدیدات دیگر مانند توزیع بدافزارها از طریق سایت‌های فیشینگ، به خدمت گرفتن یک برنامه آموزش امنیت جامع به کاربران دستگاه‌های کامپیوتری می‌تواند به شکل قابل‌توجه ای میزان خطرات متوجه کاربران را کاهش دهد. شایان‌ذکر است، به‌منظور بازیابی فایل‌های رمزنگاری شده توسط باج‌افزارها تنها چندین راه‌حل وجود دارد. یکی از راه‌های مقابله با حملات سایبری و بدافزارها بعد از استفاده از یک آنتی‌ویروس قدرتمند، پشتیبان‌گیری دوره‌ای و منظم اطلاعات می‌باشد تا در صورت بروز موارد خاص بتوان فایل‌های سالم را بازیابی نمود؛ زیرا باج‌افزارها معمولاً یک کپی از فایل‌ها گرفته و آنها را رمزنگاری کرده و سپس فایل اصلی را حذف می‌کنند، لذا این شانس وجود دارد که بتوانید با استفاده از پشتیبان گیرها به فایل‌های اصلی دست پیدا کرد اما نکات متعدد و فراوانی پیرامون باج‌افزارها وجود دارد، این بدافزارها با توسعه و ارتقاء خود اقدام به شیوع بسیار گسترده در سطح جهان کرده‌اند و اگر سابق به هدف رمزگذاری سیستم‌های شخصی وارد عمل می‌شدند، در حال حاضر سعی در نفوذ و باج‌خواهی از سیستم‌های شرکت‌ها و سازمان‌ها می‌کنند. شاید تنها راه مقابله با این بدافزارها که ویروس یابها در شناسایی و جلوگیری از آنها خیلی موفق عمل نمی‌کنند، مواردی باشد که در زیر به آن اشاره می‌شود. این بدافزارها دارای الگوریتم‌های پیچیده‌ای هستند و در حال حاضر برای آنها راهکار اصلی وجود ندارد و فقط در مواردی جسته‌گریخته ابزاری تهیه شده ولی در حد مطمئنی نبوده. شاید بهترین راه، همان روش‌های پیشگیری که در زیر به تعدادی از آنها اشاره می‌شود باشد:

تهیه نسخه پشتیبان به‌صورت منظم و مدون در بازه‌های زمانی از اطلاعات کاری و حساس
نصب ضدویروس و حتماً به‌روزرسانی آن در بازه‌های زمانی کوتاه
نصب ضد اسپای در کنار آنتی‌ویروس و البته به‌روزرسانی
راه‌اندازی فایروال و پیکربندی مناسب
رفتار صحیح در محیط اینترنت و عدم مراجعه به سایت‌های نامطمئن
عدم کلیک بر روی لینک‌های نامعتبر
عدم بازکردن پیوست‌های ایمیل‌های ناشناس
نصب مرورگر مناسب و البته به‌روزرسانی مناسب
نصب نرم‌افزارهای مطمئن و از سایت‌های معتبر و در ضمن به‌روزرسانی آنها
عدم نصب رسانه‌های ذخیره‌ساز قابل‌حمل و نامطمئن

نتیجه‌گیری

بررسی بر روی انواع مختلفی از باج‌افزارها، نشان می‌دهند پیاده‌سازی یک مکانیزم دفاعی در مقابل حملات باج‌افزارهای نابودگر امکان‌پذیر است. این پژوهش‌ها نشان می‌دهند رده‌های مختلف از باج‌افزارها با سطوح پیچیدگی متفاوت دارای مشخصه‌های مشابهی از منظر سیستم فایل هستند. این پژوهش‌ها نشان می‌دهند یک سیستم هنگامی که آلوده به باج‌افزار شود، می‌توان متوجه تغییرات بسیاری در فعالیت فایل سیستم آن ماشین شد، زیرا فرایند مخرب باج‌افزار تعداد زیادی درخواست دسترسی به فایل سیستم ایجاد می‌کند. پیش‌بینی آینده باج‌افزارها کار ساده‌ای نیست. ما فقط می‌توانیم به الگوی پیشرفت و تکامل آنها درگذشته نگاه کنیم و حدس بزنیم که در آینده احتمال دارد چه اتفاقی در حین تکامل باج‌افزارها رخ دهد. اکنون متخصصین امنیت و تحلیل بدافزار معتقد هستند باج‌افزارها به سطح بالایی از بلوغ خود رسیده‌اند و انتظار دارند مجرمان سایبری به‌زودی در استفاده از آنها به‌منظور انجام عملیات خود، تغییر رویکرد بدهند؛ زیرا در تحلیل روندهای تهدیدات سایبری مشاهده شده است که در هر دو یا سه سال، مجرمان سایبری به‌منظور انجام اهداف خود تغییر رویکرد داده‌اند و از نوع جدیدی از بدافزارها به‌منظور انجام مقاصد خود استفاده کرده‌اند. از همین روی انتظار می‌رود، بعد از رسیدن باج‌افزارها به پیک رشد و استفاده خود، مجرمان سایبری تغییر رویکرد دهند و از نوع جدیدی از بدافزارها، باقابلیت‌های پیچیده‌تر استفاده کنند. اگر بتوان به شکل مؤثری فعالیت سیستم فایل را دیده‌بانی کرد، شناسایی حملات برخی باج‌افزارهای مخرب ممکن خواهد بود. شناسایی و متوقف کردن حملات تعداد زیادی از باج‌افزارها و همچنین مستقر کردن مکانیزم دفاعی در مقابل چنین حملاتی، به میزانی که گزارش شده است، دشوار نیست.