باج افزار چیست و چگونه می‌توان با آن مقابله کرد؟

باج افزار (Ransomware) نوعی بدافزار (Malware) است. این بدافزار جلوی دسترسی به کامپیوتر و اطلاعات شخصی را می‌گیرد و فایل‌های فرد قربانی را رمزگذاری می‌کند. پس از آن فرد مهاجم از قربانی درخواست باج می‌کند. یعنی در قبال پرداخت باج، دسترسی به دیتا و اطلاعات را برمی‌گرداند.

باج‌گیر در مرحله بعد طریقه پرداخت را به قربانی اعلام می‌کند و کلید رمزگشایی باج افزار را به او می‌دهد. این مبلغ می‌تواند به صورت پول یا رمز ارز (مثلا بیت کوین یا MoneyPay) باشد. حتی ممکن است باج‌گیر اطلاعات کارت اعتباری قربانی را درخواست کند.

باج افزار از چه طریق وارد کامپیوتر می‌شود؟

زمانی كه شما سهواً خطاهای زير را انجام دهید، امكان دارد كامپیوتر شما درگیر باج افزار شود. متداول‌ترین روش‌ها‌‌‌، استفاده از اسپم مخرب یا malspam است که ایمیل ناخواسته‌‌‌‌ای حاوی بدافزار است. این ایمیل ممکن است شامل پیوست‌هایی نظیر PDF یا اسناد Word یا حاوی پیوندهایی به وب سایت‌های آلوده باشد. Malspam از مهندسی اجتماعی در پوشش یک موسسه معتبر یا یک دوست استفاده می‌کند. از این طریق افراد را فریب می‌دهد تا پیوست‌ها را باز کنند یا روی پیوندها کلیک کنند.

یکی دیگر از روش‌‌های متداول توزیع بدافزار، که در سال 2016 به اوج خود رسید تبلیغات مخرب آنلاین با هدف توزیع بدافزار است. هنگام وبگردی‌‌‌، حتی سایت‌‌های قانونی ممکن است کاربران را با تشویق کلیک کردن روی آگهی‌ها به سرورهای آلوده هدایت کنند.

این سرورها جزئیات مربوط به رایانه‌‌های قربانی و مکان آنها را فهرست‌بندی کرده و سپس بدافزاری را که برای ارائه مناسب‌تر است‌‌‌، انتخاب می‌کنند. در اغلب موارد، آن بدافزار یک ‌‌‌باج‌افزار است.

آیا باج افزار فقط بر روی سرورها قرار می‌گیرد؟

هکرها با یک جستجوی ساده در اینترنت می‌توانند کامپیوترهای دارای ضعف امنیتی را پیدا کنند. آنها با انتخاب قربانی، اقدام به قفل کردن داده‌های آنها می‌کنند. سرورها و کامپیوترهای دارای دیتابیس و فایل سازمان‌ها بیشتر مورد علاقه هکرهای جستجوگر هستند. چرا که احتمال قوی‌تری وجود دارد که یک سازمان بابت دیتای قفل شده خود پول پرداخت کند تا یک کاربر کامپیوتر خانگی!

پس ازآلوده شدن به باج افزار چه اقداماتی باید انجام داد؟

اگر مورد حمله قرار گرفتید، کارشناسان این مراحل را توصیه می‌کنند:

• قطع کردن ارتباط کامپیوتر با اینترنت و شبکه داخلی به منظور عدم سرایت به سایر کامپیوترها
• بررسی امنیت شبکه و کامپیوتر و برطرف کردن حفره‌های نفوذ باج‌گیر
• فرمت کردن هارد دیسک و نصب و راه‌اندازی مجدد و برگرداندن آخرین بکاپ

اگر بدافزار از سرور سرچشمه بگیرد، هیچ اقدامی نمی‌تواند راهگشا باشد. اگر سیستم همه افراد شرکت شما خراب شده، تیم فناوری اطلاعات باید برای حل مشکل وارد عمل شود. وقتی تیم فناوری اطلاعات ویروس ها را پاک می‌کند و پرونده‌ها را بازیابی می‌کند، همه کاربران باید از سیستم خارج شوند.

متاسفانه در بیشتر مواقع پس از آلوده شدن کاری نمی‌توان کرد. یعنی با توجه به تنوع الگوریتم‌های کدگذاری، اقدامات رمزگشایی بی‌نتیجه است. در این حالت بهترین کار بازگشت به آخرین بکاپ خواهد بود.

توصیه می‌شود اگر سیستم شما به باج‌افزار آلوده شد، هیچ پرداختی انجام ندهید. این کار باعث می‌شود مهاجم به انجام جرایم سایبری بیشتر روی شما یا دیگران ترغیب شود. حتی در بسیاری موارد پرداخت باج (که عدد کمی هم نیست) به باز شدن قفل فایل‌ها منتهی نمی‌شود. یعنی ممکن است باج گیر، مبلغ بیشتری درخواست کند. حتی ممکن است بخشی از فایل‌ها را باز کند و برای بخش دیگر مجدد درخواست پول کند. در نهایت اعتماد به باج‌گیر و پرداخت پول توصیه نمی‌شود.

روش‌های بازیابی (Recovery) اطلاعات و داده‌ها

باید توجه داشته باشید که روش‌های بازیابی (Recovery)دیتا موثر نیست. پس پول و وقت خود را هدر ندهید. در برخی موارد، ابزارهای جانبی توسط شرکت‌های امنیتی معرفی می‌شوند. این ابزارها می‌توانند فایل‌های رمزگذاری شده توسط برخی باج افزارهای خاص را رمزگشایی کنند.

یکی از راه‌های مقابله با آلودگی باج افزاری، دانلود محصول امنیتی با نام remediation است. آن را اجرا کنید تا اسکن و حذف خطر شروع شود. ممکن است که فایل‌هایتان را به دست نیاورید اما حداقل مطمئن می‌شوید که دیگر به باج‌افزار آلوده نیستید. مثلا در مورد screenlocking با ری استور کردن کل سیستم می‌توانید مشکل را حل کنید. اگر این کار جواب نداد، اجرای اسکن را از CD یا USB bootable انجام دهید.

شما می­توانید باج ­افزار را دور بزنید، در نتیجه باید همواره هشیار باشید. وقتی متوجه شدید که سیستم­تان بدون دلیل کند شده، فورا آن را خاموش کرده و از اینترنت جدا کنید. اگر دوباره آن را روشن کردید و بدافزار همچنان فعال بود، شما راه ارسال و دریافت از سرور کنترل را قطع کرده‌اید. در نتیجه بدون پرداخت باج و نیاز به کلید رمزگشا، بدافزار به صورت انتظار و idle درمی‌آید. سپس با دانلود و نصب محصول امنیتی و اجرای اسکن کامل، از شر بدافزار خلاص می‌شوید.

اقدامات پیشگیرانه فنی در برابر حملات باج‌افزارها

بخشی از اقدامات پیشگیرانه در برابر حملات باج افزارها در حوزه پیکربندی و شرایط نگهداری سرورها تعریف می‌شود. این اقدامات شامل موارد زیر است:

• بالا بردن امنیت شبکه و کامپیوتر با بهره گیری از فایروال و آنتی ویروس
• استفاده از متخصص جهت پیکربندی درست سرور
• محدودسازی دسترسی‌ها و تفکیک شبکه داخلی و اینترنت
• اجرای راهکارهای بکاپ‌گیری متنوع

اقدامات پیشگیرانه در حوزه آموزش تیم‌ها و همکاران

بخش دیگری از اقدامات حفاظتی در برابر باج افزارها و انواع دیگر بدافزار روش‌هایی است که باید به تیم خود آموزش دهید. این موارد شامل فهرست زیر می‌شود:

محافظت‌های ایمیل:

به تیم خود یادآوری کنید که از کلیک بر روی پیوندهای جاسازی شده در ایمیل خودداری کنند. به ویژه اگر یاداشت‌ها از شخص دیگری خارج از سازمان آمده باشد.

حریم خصوصی:

بر اهمیت مخفی نگه داشتن نام کاربری و رمزهای عبور تأکید کنید.

نرم افزار: تاکید کنید که اسکنرهای آنتی ویروس کل شرکت را ایمن نگه می‌دارند. بنابراین سیستم‌های آنتی ویروس باید همیشه باید مجاز به انجام کارهای خود باشند.

پشتیبان‌گیری:

در صورت هک شدن، بازگشت به نسخه‌های ذخیره شده ممکن است در وقت و دردسر بیشتر شما صرفه‌جویی کنند. بنابراین تیم خود را تشویق کنید تا شیوه‌های بایگانی را با دقت دنبال کند. اگر تیم شما تهدیدهایی را که با آنها روبرو می‌شوید درک کند، ممکن است چشم‌ها و گوش‌های بیشتری برای مراقبت داشته باشید. در این حالت اگر همکاران شما متوجه مشکلی شدند، می‌توانید قبل از گسترش بیشتر، آن را متوقف کنید.

مدیران محترم کسب و کار توجه داشته باشید، اکثر جملات اینترنتی رخ داده از منشا خارج کشور هستند. بنابراین در صورت آسیب به
کسب و کار شما، امکان پیگیری حقوقی یا جبران خسارت از نهادهای انتظامی، قضایی و بیمه امکان پذیر نخواهد بود. لذا مانند اقدامات پیشگیرانه مشابه برای وقوع حوادث، لزوم داشتن مشاور IT در کسب و کار خود را جدی بگیرید و کسب و کار خود را بیمه IT کنید.

مقاله مرتبط:

در فرآیند های کاری از قطع شدن برق در امان بمانید!