باج افزار چیست و چگونه می‌توان با آن مقابله کرد؟

باج افزار (Ransomware) نوعی بدافزار (Malware) است. این بدافزار جلوی دسترسی به کامپیوتر و اطلاعات شخصی را می‌گیرد و فایل‌های فرد قربانی را رمزگذاری می‌کند. پس از آن فرد مهاجم از قربانی درخواست باج می‌کند. یعنی در قبال پرداخت باج، دسترسی به دیتا و اطلاعات را برمی‌گرداند.

باج‌گیر در مرحله بعد طریقه پرداخت را به قربانی اعلام می‌کند و کلید رمزگشایی باج افزار را به او می‌دهد. این مبلغ می‌تواند به صورت پول یا رمز ارز (مثلا بیت کوین یا MoneyPay) باشد. حتی ممکن است باج‌گیر اطلاعات کارت اعتباری قربانی را درخواست کند.

باج افزار از چه طریق وارد کامپیوتر می‌شود؟

زمانی كه شما سهواً خطاهای زير را انجام دهید، امكان دارد كامپیوتر شما درگیر باج افزار شود. متداول‌ترین روش‌ها‌‌‌، استفاده از اسپم مخرب یا malspam است که ایمیل ناخواسته‌‌‌‌ای حاوی بدافزار است. این ایمیل هاممکنه شامل پیوست‌هایی نظیر PDF یا اسناد Word یا حاوی پیوندهایی به وب سایت‌های آلوده باشد.Malspam ازمهندسی‌اجتماعی در پوشش یک موسسه معتبر یا یک دوست استفاده می‌کند.از این طریق افراد را فریب می‌دهد تا پیوست‌ها را باز کنند یا روی پیوندها کلیک کنند.

یکی دیگر از روش‌‌های متداول توزیع بدافزار، که در سال 2016 به اوج خود رسید تبلیغات مخرب آنلاین با هدف توزیع بدافزار است. و حتی هنگام وبگردی‌‌‌‌حتی سایت‌‌های قانونی ممکن است کاربران را با تشویق کلیک کردن روی آگهی‌ها
به سرورهای آلوده هدایت کنند.

این سرورها جزئیات مربوط به رایانه‌‌های قربانی و مکان آنها را فهرست‌بندی کرده و سپس بدافزاری را که برای ارائه مناسب‌تر است‌‌‌، انتخاب می‌کنند. در اغلب موارد آن بدافزار یک ‌‌‌باج‌افزار است.

آیا باج افزار فقط بر روی سرورها قرار می‌گیرد؟

هکرها با یک جستجوی ساده در اینترنت می‌توانند کامپیوترهای دارای ضعف امنیتی را پیدا کنند. آنها با انتخاب قربانی، اقدام به قفل کردن داده‌های آنها می‌کنند. سرورها و کامپیوترهای دارای دیتابیس و فایل سازمان‌ها بیشتر مورد علاقه هکرهای جستجوگر هستند.چراکه احتمال قوی‌تری وجود دارد که یک سازمان بابت دیتای قفل شده خود پول پرداخت
کند تا‌یک کاربر کامپیوتر خانگی!

پس ازآلوده شدن به باج افزار چه اقداماتی باید انجام داد؟

اگر مورد حمله قرار گرفتید، کارشناسان این مراحل را توصیه می‌کنند:

• قطع کردن ارتباط کامپیوتر با اینترنت و شبکه داخلی به منظور عدم سرایت به سایر کامپیوترها
• بررسی امنیت شبکه و کامپیوتر و برطرف کردن حفره‌های نفوذ باج‌گیر
• فرمت کردن هارد دیسک و نصب و راه‌اندازی مجدد و برگرداندن آخرین بکاپ

اگر بدافزار از سرور سرچشمه بگیرد، هیچ اقدامی نمی‌تواند راهگشا باشد.اگرسیستم همه افرادشرکت شما خراب شده باشد تیم فناوری اطلاعات باید برای حل مشکل وارد عمل بشود.وقتی تیم فناوری اطلاعات ویروس ها را پاک می‌کند‌ و پرونده‌ها را بازیابی می‌کندهمه کاربران باید از سیستم خارج شوند.

متاسفانه‌در بیشتر مواقع پس از آلوده شدن‌کاری نمی‌توان کرد.یعنی با توجه به تنوع الگوریتم‌های کدگذاری، اقدامات رمزگشایی بی‌نتیجه است. در این حالت بهترین کار بازگشت به آخرین بکاپ خواهد بود.

توصیه می‌شود اگرسیستم شما به باج‌افزار آلوده شدهیچ پرداختی انجام ندهید.این کار باعث می‌شود مهاجم به انجام جرایم سایبری بیشتر روی شما یا دیگران ترغیب شود.حتی در بسیاری موارد پرداخت باج (که عدد کمی هم نیست) به باز شدن قفل فایل‌ها منتهی نمی‌شود. یعنی ممکن است باج گیرمبلغ بیشتری درخواست کند. حتی ممکن است بخشی از فایل‌ها را باز کند و برای بخش دیگر مجدددرخواست پول کند.در نهایت اعتماد به باج‌گیر و پرداخت پول توصیه نمی‌شود.

روش‌های بازیابی (Recovery) اطلاعات و داده‌ها

باید توجه داشته باشید که روش‌های بازیابی (Recovery)دیتا موثر نیست. پس پول و وقت خود را هدر ندهید.در برخی مواردابزارهای جانبی توسط شرکت‌های امنیتی معرفی می‌شوند.این ابزارها می‌توانند فایل‌های رمزگذاری شده توسط برخی باج افزارهای خاص‌را رمزگشایی کنند.

یکی از راه‌های مقابله با آلودگی باج افزاری، دانلود محصول امنیتی با نام remediation است. آن را اجرا کنید تا اسکن و حذف خطر شروع شود.ممکن است که فایل‌هایتان را به دست نیاوریداما حداقل مطمئن می‌شویدکه دیگر به باج‌افزار آلوده نیستید.مثلا درمورد screenlocking با ری استور کردن کل سیستم می‌توانید مشکل را حل کنید.اگر این کار جواب نداد، اجرای اسکن را از CD یا USB bootable انجام دهید.

شما می­توانید باج ­افزار را دور بزنیددر نتیجه باید همواره هشیار باشید.وقتی متوجه شدیدکه‌سیستم­تان بدون دلیل کند شده‌فورا آن را خاموش کرده و از اینترنت جدا کنید. اگر دوباره آن را روشن کردید و بدافزار همچنان فعال بودشما راه ارسال و دریافت از سرور کنترل را قطع کرده‌اید. در نتیجه بدون پرداخت باج و نیاز به کلید رمزگشا‌ بدافزار به صورت انتظارو idle درمی‌آید. سپس با دانلود و نصب محصول امنیتی و اجرای اسکن کامل، از شر بدافزار خلاص می‌شوید.

اقدامات پیشگیرانه فنی در برابر حملات باج‌افزارها

بخشی از اقدامات پیشگیرانه در برابر حملات باج افزارها در حوزه پیکربندی و شرایط نگهداری سرورها تعریف می‌شود. این اقدامات شامل موارد زیر است:

• بالا بردن امنیت شبکه و کامپیوتر با بهره گیری از فایروال و آنتی ویروس
• استفاده از متخصص جهت پیکربندی درست سرور
• محدودسازی دسترسی‌ها و تفکیک شبکه داخلی و اینترنت
• اجرای راهکارهای بکاپ‌گیری متنوع

اقدامات پیشگیرانه در حوزه آموزش تیم‌ها و همکاران

بخش دیگری از اقدامات حفاظتی در برابر باج افزارها و انواع دیگر بدافزار روش‌هایی است که باید به تیم خود آموزش دهید. این موارد شامل فهرست زیر می‌شود:

محافظت‌های ایمیل:

به تیم خود یادآوری کنید که از کلیک بر روی پیوندهای جاسازی شده‌در ایمیل خودداری کنند.به‌ویژه اگر یاداشت‌ها از شخص‌دیگری خارج از سازمان آمده باشد.

حریم خصوصی:

بر اهمیت مخفی نگه داشتن نام کاربری و رمزهای عبور تأکید کنید.

نرم افزار: تاکید کنید که اسکنرهای آنتی ویروس کل شرکت را ایمن نگه می‌دارند. بنابراین سیستم‌های آنتی ویروس باید همیشه باید مجاز به انجام کارهای خود باشند.

پشتیبان‌گیری:

در صورت هک شدن‌بازگشت به نسخه‌های ذخیره شده ممکن است در وقت و دردسر بیشتر شما صرفه‌جویی کنند. بنابراین تیم خود را تشویق کنید تا شیوه‌های بایگانی را با دقت دنبال کند.اگر تیم شما تهدیدهایی را که با آنها روبرومی‌شویددرک کندممکن است چشم‌ها و گوش‌های بیشتری برای مراقبت داشته باشید.در این حالت اگرهمکاران شما متوجه مشکلی شدندمی‌توانید قبل از گسترش بیشتر، آن را متوقف کنید.

مدیران‌محترم کسب و کار توجه داشته باشید اکثر جملات اینترنتی رخ داده از منشا خارج کشور هستند.بنابراین در صورت آسیب به کسب و کار شما امکان پیگیری حقوقی یا جبران خسارت از نهادهای انتظامی‌،قضایی و بیمه امکان پذیر نخواهد بود .لذا مانند اقدامات پیشگیرانه مشابه برای وقوع حوادث لزوم داشتن مشاور IT در کسب و کار خود را جدی بگیرید و کسب و کار خود را بیمه IT کنید.

مقاله مرتبط:

در فرآیند های کاری از قطع شدن برق در امان بمانید!