باج افزار (Ransomware) نوعی بدافزار (Malware) است. این بدافزار جلوی دسترسی به کامپیوتر و اطلاعات شخصی را میگیرد و فایلهای فرد قربانی را رمزگذاری میکند. پس از آن فرد مهاجم از قربانی درخواست باج میکند. یعنی در قبال پرداخت باج، دسترسی به دیتا و اطلاعات را برمیگرداند.
باجگیر در مرحله بعد طریقه پرداخت را به قربانی اعلام میکند و کلید رمزگشایی باج افزار را به او میدهد. این مبلغ میتواند به صورت پول یا رمز ارز (مثلا بیت کوین یا MoneyPay) باشد. حتی ممکن است باجگیر اطلاعات کارت اعتباری قربانی را درخواست کند.
باج افزار از چه طریق وارد کامپیوتر میشود؟
زمانی كه شما سهواً خطاهای زير را انجام دهید، امكان دارد كامپیوتر شما درگیر باج افزار شود. متداولترین روشها، استفاده از اسپم مخرب یا malspam است که ایمیل ناخواستهای حاوی بدافزار است. این ایمیل هاممکنه شامل پیوستهایی نظیر PDF یا اسناد Word یا حاوی پیوندهایی به وب سایتهای آلوده باشد.Malspam ازمهندسیاجتماعی در پوشش یک موسسه معتبر یا یک دوست استفاده میکند.از این طریق افراد را فریب میدهد تا پیوستها را باز کنند یا روی پیوندها کلیک کنند.
یکی دیگر از روشهای متداول توزیع بدافزار، که در سال 2016 به اوج خود رسید تبلیغات مخرب آنلاین با هدف توزیع بدافزار است. و حتی هنگام وبگردیحتی سایتهای قانونی ممکن است کاربران را با تشویق کلیک کردن روی آگهیها
به سرورهای آلوده هدایت کنند.
این سرورها جزئیات مربوط به رایانههای قربانی و مکان آنها را فهرستبندی کرده و سپس بدافزاری را که برای ارائه مناسبتر است، انتخاب میکنند. در اغلب موارد آن بدافزار یک باجافزار است.
آیا باج افزار فقط بر روی سرورها قرار میگیرد؟
هکرها با یک جستجوی ساده در اینترنت میتوانند کامپیوترهای دارای ضعف امنیتی را پیدا کنند. آنها با انتخاب قربانی، اقدام به قفل کردن دادههای آنها میکنند. سرورها و کامپیوترهای دارای دیتابیس و فایل سازمانها بیشتر مورد علاقه هکرهای جستجوگر هستند.چراکه احتمال قویتری وجود دارد که یک سازمان بابت دیتای قفل شده خود پول پرداخت
کند تایک کاربر کامپیوتر خانگی!
پس ازآلوده شدن به باج افزار چه اقداماتی باید انجام داد؟
اگر مورد حمله قرار گرفتید، کارشناسان این مراحل را توصیه میکنند:
- قطع کردن ارتباط کامپیوتر با اینترنت و شبکه داخلی به منظور عدم سرایت به سایر کامپیوترها
- بررسی امنیت شبکه و کامپیوتر و برطرف کردن حفرههای نفوذ باجگیر
- فرمت کردن هارد دیسک و نصب و راهاندازی مجدد و برگرداندن آخرین بکاپ
اگر بدافزار از سرور سرچشمه بگیرد، هیچ اقدامی نمیتواند راهگشا باشد.اگرسیستم همه افرادشرکت شما خراب شده باشد تیم فناوری اطلاعات باید برای حل مشکل وارد عمل بشود.وقتی تیم فناوری اطلاعات ویروس ها را پاک میکند و پروندهها را بازیابی میکندهمه کاربران باید از سیستم خارج شوند.
متاسفانهدر بیشتر مواقع پس از آلوده شدنکاری نمیتوان کرد.یعنی با توجه به تنوع الگوریتمهای کدگذاری، اقدامات رمزگشایی بینتیجه است. در این حالت بهترین کار بازگشت به آخرین بکاپ خواهد بود.
توصیه میشود اگرسیستم شما به باجافزار آلوده شدهیچ پرداختی انجام ندهید.این کار باعث میشود مهاجم به انجام جرایم سایبری بیشتر روی شما یا دیگران ترغیب شود.حتی در بسیاری موارد پرداخت باج (که عدد کمی هم نیست) به باز شدن قفل فایلها منتهی نمیشود. یعنی ممکن است باج گیرمبلغ بیشتری درخواست کند. حتی ممکن است بخشی از فایلها را باز کند و برای بخش دیگر مجدددرخواست پول کند.در نهایت اعتماد به باجگیر و پرداخت پول توصیه نمیشود.
روشهای بازیابی (Recovery) اطلاعات و دادهها
باید توجه داشته باشید که روشهای بازیابی (Recovery)دیتا موثر نیست. پس پول و وقت خود را هدر ندهید.در برخی مواردابزارهای جانبی توسط شرکتهای امنیتی معرفی میشوند.این ابزارها میتوانند فایلهای رمزگذاری شده توسط برخی باج افزارهای خاصرا رمزگشایی کنند.
یکی از راههای مقابله با آلودگی باج افزاری، دانلود محصول امنیتی با نام remediation است. آن را اجرا کنید تا اسکن و حذف خطر شروع شود.ممکن است که فایلهایتان را به دست نیاوریداما حداقل مطمئن میشویدکه دیگر به باجافزار آلوده نیستید.مثلا درمورد screenlocking با ری استور کردن کل سیستم میتوانید مشکل را حل کنید.اگر این کار جواب نداد، اجرای اسکن را از CD یا USB bootable انجام دهید.
شما میتوانید باج افزار را دور بزنیددر نتیجه باید همواره هشیار باشید.وقتی متوجه شدیدکهسیستمتان بدون دلیل کند شدهفورا آن را خاموش کرده و از اینترنت جدا کنید. اگر دوباره آن را روشن کردید و بدافزار همچنان فعال بودشما راه ارسال و دریافت از سرور کنترل را قطع کردهاید. در نتیجه بدون پرداخت باج و نیاز به کلید رمزگشا بدافزار به صورت انتظارو idle درمیآید. سپس با دانلود و نصب محصول امنیتی و اجرای اسکن کامل، از شر بدافزار خلاص میشوید.
اقدامات پیشگیرانه فنی در برابر حملات باجافزارها
بخشی از اقدامات پیشگیرانه در برابر حملات باج افزارها در حوزه پیکربندی و شرایط نگهداری سرورها تعریف میشود. این اقدامات شامل موارد زیر است:
- بالا بردن امنیت شبکه و کامپیوتر با بهره گیری از فایروال و آنتی ویروس
- استفاده از متخصص جهت پیکربندی درست سرور
- محدودسازی دسترسیها و تفکیک شبکه داخلی و اینترنت
- اجرای راهکارهای بکاپگیری متنوع
اقدامات پیشگیرانه در حوزه آموزش تیمها و همکاران
بخش دیگری از اقدامات حفاظتی در برابر باج افزارها و انواع دیگر بدافزار روشهایی است که باید به تیم خود آموزش دهید. این موارد شامل فهرست زیر میشود:
محافظتهای ایمیل:
به تیم خود یادآوری کنید که از کلیک بر روی پیوندهای جاسازی شدهدر ایمیل خودداری کنند.بهویژه اگر یاداشتها از شخصدیگری خارج از سازمان آمده باشد.
حریم خصوصی:
بر اهمیت مخفی نگه داشتن نام کاربری و رمزهای عبور تأکید کنید.
نرم افزار: تاکید کنید که اسکنرهای آنتی ویروس کل شرکت را ایمن نگه میدارند. بنابراین سیستمهای آنتی ویروس باید همیشه باید مجاز به انجام کارهای خود باشند.
پشتیبانگیری:
در صورت هک شدنبازگشت به نسخههای ذخیره شده ممکن است در وقت و دردسر بیشتر شما صرفهجویی کنند. بنابراین تیم خود را تشویق کنید تا شیوههای بایگانی را با دقت دنبال کند.اگر تیم شما تهدیدهایی را که با آنها روبرومیشویددرک کندممکن است چشمها و گوشهای بیشتری برای مراقبت داشته باشید.در این حالت اگرهمکاران شما متوجه مشکلی شدندمیتوانید قبل از گسترش بیشتر، آن را متوقف کنید.
مدیرانمحترم کسب و کار توجه داشته باشید اکثر جملات اینترنتی رخ داده از منشا خارج کشور هستند.بنابراین در صورت آسیب به کسب و کار شما امکان پیگیری حقوقی یا جبران خسارت از نهادهای انتظامی،قضایی و بیمه امکان پذیر نخواهد بود .لذا مانند اقدامات پیشگیرانه مشابه برای وقوع حوادث لزوم داشتن مشاور IT در کسب و کار خود را جدی بگیرید و کسب و کار خود را بیمه IT کنید.
مقاله مرتبط: