باج‌افزارهای مدرن و روش‌های مقابله با آنها

اخبار و توصیه های امنیتی امروزه می‌توان گفت اکثر کاربران اینترنت با مفاهیمی همچون ویروس، تروجان، کرم‌ها و... آشنایی دارند. عدم توجه به مسائل امنیتی از سمت کاربران باعث آلوده شدن سیستم‌هایشان به انواع کرم‌ها و ویروس‌ها شده و می‌تواند منجر به از دست دادن کامل اطلاعات و آسیب‌هایی از این‌ دست شود. اکثر قریب به‌اتفاق سازمان‌ها و کاربران اینترنت در معرض انواع تهدیدات داخلی و خارجی خرابکاران هستند؛ تهدیداتی چون دستکاری اطلاعات مرجع و یا سرقت اطلاعات حیاتی و سرمایه‌های اطلاعاتی. ما در این مقاله به بررسی و تحلیل بدافزاری تحت عنوان باج‌افزار پرداخته و در انتها به راهکارهایی برای مقابله با اینگونه بدافزارها می‌پردازیم.

تعریف بدافزار

بدافزار برنامه‌ای است که خودش را بر روی سیستم قربانی نصب میکند و در پس‌زمینه سیستم‌عامل اجرا می‌شود، حضورش را مخفی می‌نماید و اطلاعات حیاتی (مانند رمز عبور کارت‌های اعتباری) را می‌رباید. باج‌افزارها نوعی بدافزارند که داده‌های حساس و مهم را به‌منظور اخاذی مورد هدف قرار می‌دهند. در واقع باج افزار بسیار شبیه بدافزار می‌باشد. با این تفاوت که باج‌افزار قصد ندارد خودش را مخفی نماید، بلکه داده‌ها را رمزنگاری یا سیستم را قفل می‌کند و به قربانی پیغامی راجع به حضورش می‌دهد. حتی تعیین وقت می‌نماید که اگر در مدت مقرر مبلغ موردنظر پرداخت نگردد کلید مربوط به رمزگشایی از بین می‌رود و یا مقدار باج بیشتری با مهلت زمانی کمتری تعیین می‌گردد.

این نوع بدافزارها هم‌اکنون بزرگ‌ترین تهدید برای کاربران و سازمانها می‌باشند. همچنین به دلیل قابلیت کسب درآمد برای مجرمان سایبری به‌طور باورنکردنی در جهان در حال افزایش می‌باشند. طراحان بدافزارها به‌طور مداوم در حال بهبود راهکارهای نفوذ به سیستم‌ها می‌باشند. هم‌اکنون جدیدترین باج‌افزارهای انتشار یافته همراه با درصد قربانیان آنها در جهان طبق آمارهای ارائه‌شده توسط شرکت Kaspersky در سه‌ماهه سوم سال 2016 میلادی به شرح می‌باشند:
لازم به ذکر است تمامی این باجافزارها سیستم‌عامل‌های ویندوزی را مورد هدف قرار داده‌اند. همچنین تعداد انواع مختلف این باجافزارها نسبت به سه‌ماهه دوم سال میلادی 3.5 برابر شده است و کشورهای ژاپن، کرواسی، کره، تونس و بلغارستان بیشترین تعداد قربانیان را داشته‌اند.

تشریح عملکرد بدافزار

باج‌افزار بدافزاری است که فایل‌های سیستم قربانی را با الگوریتمی خاص رمزگذاری کرده و پسوند فایل رمزگذاری شده را به عبارت متفاوت مانند (.cerber,.lucky,.abc, ….) تبدیل می‌نماید. فایل‌های رمزگذاری شده از الگوریتم رمزنگاری نامتقارن مبتنی بر زیرساخت کلید عمومی استفاده میکنند. وقتی‌که یک کلید برای رمزگذاری استفاده می‌شود نمی‌توان آن را برای رمزگشایی استفاده نمود.
الگوریتم زیرساخت کلید عمومی از دو کلید مختلف استفاده می‌نماید:

  • یک کلید عمومی برای رمزگذاری داده‌ها
  • یک کلید خصوصی برای رمزگشایی داده‌ها

در نتیجه وقتی داده‌ها رمزگذاری می‌شود، قربانی می‌بایست باج را پرداخت نماید تا داده‌ها بازیابی شوند. البته پرداخت باج هم نمی‌تواند تضمینی برای برگرداندن داده‌ها باشد. نحوه پرداخت باج به‌صورت بین‌کوین و غیرقابل ردیابی می‌باشد. همچنین رمزگشایی نمودن فایل‌ها پس از پرداخت باج نیز نمی‌تواند تضمینی برای دوباره آلوده نشدن سیستم توسط باج‌افزار در آینده باشد.
از آنجایی که فایل‌های رمزنگاری‌شده فقط با کلید خصوصی مرتبط رمزگشایی می‌گردند، امکان بازیابی داده‌ها بدون این کلید وجود ندارد و همچنین پیدا کردن کلید خصوصی در الگوریتم‌های با زیرساخت کلید عمومی از طریق حمله حدس رمز بسیار زمان‌بر و در بسیاری موارد غیرممکن می‌باشد.

آناتومی باج‌افزار

در تصویر زیر 6 مرحله حمله باج افزار به نمایش گذاشته‌شده است:

باج افزارها

با توجه به تصویر بالا مهاجم در ابتدا با ارسال لینک یا فایل حاوی باج‌افزار از طریق ایمیل و یا هدایت قربانی به وب‌سایت مخرب، باج‌افزار را در سیستم قربانی نصب و اجرا می‌نماید. سپس باج‌افزار با سرورهای کنترل و فرماندهی خود ارتباط برقرار می‌کند. نحوه ارتباط با این سرورها در باج‌افزارها معمولاً به‌صورت زیر می‌باشد:

  • اولین مرحله بعد از نصب باج افزار ارتباط با سرورهای کنترل و فرماندهی برای گرفتن کلید عمومی، به‌منظور رمزگذاری داده‌ها می‌باشد. در این مرحله اغلب آنتی‌ویروس‌ها بدافزارها را شناسایی و از اجرای آن‌ها جلوگیری می‌نمایند.
  • برخی از آنتی‌ویروس‌ها، سیستم‌های تشخیص یا جلوگیری از نفوذ و فایروال‌ها لیستی از این سرورها را دارند و حضور یک بدافزار را هنگام تلاش برای برقراری ارتباط با سرورهای مخرب تشخیص می‌دهند و از ارتباط آن جلوگیری می‌کنند. البته این راهکار به‌اندازه کافی کارآمد نیست، زیرا تهیه لیستی جامع از آدرس‌های مقصد مشکوک امکان‌پذیر نیست و علاوه بر این آدرس IP سرورهای کنترل و فرماندهی ثابت نیستند. زیرا هکرها به‌جای آدرسهای دامین ثابت از تکنیک الگوریتم تولید دامنه استفاده می‌نمایند.
  • همچنین در برخی موارد مهاجم بدون دریافت کلید عمومی از سرورهای خود، بر اساس الگوریتمی مشخص یک کلید می‌سازد و با استفاده از آن، داده‌های سیستم قربانی را به صورت آفلاین رمزگذاری می‌کند.

روش‌های انتشار بدافزار

راه‌های زیادی برای مهاجم وجود دارد که بتواند این بدافزار را روی سیستم قربانی نصب نماید؛ اما اغلب روش انتشار به این صورت است که از طریق ارسال یک لینک مخرب و یا فایل ضمیمه‌شده مخرب در قالب یک ایمیل با وجهه معتبر می‌باشد تا کاربر راغب شود بر روی لینک مخرب کلیک نماید. همچنین در صورت آلوده شدن یک سیستم، باج‌افزارها سعی می‌کنند به فایل‌های به اشتراک‌گذاری شده در شبکه و دیگر سیستم‌های موجود در شبکه نفوذ پیدا کنند.

راهکارهای محافظت در برابر باج‌افزارها

در این قسمت روش‌های مختلف مقابله با باج‌افزارها شرح داده است:

پشتیبان‌گیری از داده‌ها

یکی از مهم‌ترین فعالیت‌ها برای مقابله با باج‌افزارها پشتیبان‌گیری منظم از داده‌های مهم می‌باشد. همچنین این پشتیبان‌گیری می‌بایست شامل درایورهای خارجی و هاردهای USB، حافظه‌های ابری آنلاین مانند Dropbox و ... شود؛ زیرا باج‌افزارهای جدید هرگونه درایو متصل به سیستم را شناسایی نموده و رمزگذاری می‌کنند. لذا توصیه می‌شود از داده‌های مهم در حافظه‌های خارجی مجزا از سیستم پشتیبان گرفته شود.

نشان دادن پسوند فایل‌ها

یکی از روش‌های مخفی‌سازی و گمراه نمودن کاربران استفاده از پسوند یک فایل متنی، عکس یا ویدیو به‌جای فایل اجرایی بدافزار می‌باشد. برای مثال فایلی با پسوند.PDF.EXE میتواند یک فایل اجرایی باشد که نام آن پسوند فایل‌های PDF برای گمراه نمودن کاربر و باز نمودن آن می‌باشد. در نتیجه با فعال نمودن مشاهده پسوند کامل فایل‌ها در ویندوز می‌توان فایل‌های مشکوک را شناسایی نمود.

غیر فعال نمودن اجرای ماکروهای فایل‌های مجموعه Office

فایل‌های مجموعه Office دارای قابلیت اجرای اسکریپت‌های برنامه‌نویسی ویندوز هستند. می‌توان با غیرفعال نمودن اجرای خودکار ماکروها در فایل‌های Office از فعالیت اسکریپت‌های مشکوک جلوگیری نمود.

استفاده از لیست سفید برنامه‌ها

ایجاد لیست سفید برنامه‌های نصب‌شده یا Software Whitelisting جهت جلوگیری از اجرای فایل‌ها یا برنامه‌های مشکوک در یک سیستم می‌باشد. برنامه‌های امنیتی مانند آنتی‌ویروس‌ها یا برخی ویژگی‌های سیستم‌عامل ویندوز مانند AppLocker می‌توانند این قابلیت را برای مقابله با اجرای باج‌افزارها ارائه نمایند.

به‌روزرسانی و وصله نمودن برنامه‌ها

طراحان بدافزارها به خصوص دسته باج‌افزارها در بسیاری از مواقع از آسیب‌پذیری‌های برنامه‌های قدیمی و به‌روز نشده سیستم‌های قربانیان برای گرفتن دسترسی و اجرای کدهای مخرب خود استفاده می‌نمایند. میتوان از راهکارهای مدیریت آسیب‌پذیری در سازمان برای مقابله با این تهدیدات استفاده نمود.

استفاده از یک مجموعه امنیتی مناسب

همیشه استفاده از برنامه‌های آنتی‌ویروس و ضدبدافزارها در سیستم‌های کاربران توصیه شده است؛ اما استفاده از مجموعه‌های امنیتی قوی به همراه به‌روزرسانی منظم می‌تواند جهت شناسایی و مقابله با این نوع از بدافزارها مؤثر باشد.

آگاهی‌رسانی به کاربران

آگاهی‌رسانی به کاربران در خصوص تهدید باج‌افزار از قبیل باز نکردن ایمیل‌های ناشناس و پیوست‌های مشکوک، کلیک نکردن روی آدرس‌های ارسال‌شده در ایمیل‌ها و ... می‌تواند از آلوده شدن به این نوع از بدافزارها جلوگیری کند.

اقدامات واکنشی بعد از آلوده شدن به باج‌افزارها

بعد از تشخیص آلوده شدن یک سیستم در سازمان در اولین مرحله می‌بایست سیستم را ایزوله نمود و باج‌افزار و اثرات آن را از سیستم آلوده از بین ببریم. بعد از اطمینان از نابودی باج‌افزار از روش‌های مختلفی برای بازیابی داده‌های رمز شده استفاده می‌شود. این مراحل به شرح زیر می‌باشد:

  • قطع نمودن اتصالات شبکه‌ای و اینترنتی
  • از بین بردن باج‌افزار با نصب آنتی‌ویروس‌ها و ضدبدافزارهای به روز شده
  • استفاده از System Restore ویندوز یا داده‌های پشتیبان
  • استفاده از ابزارهای رمزگشایی (در صورت وجود)

در انتها اکیداً توصیه می‌شود پولی به برنامه‌های باج‌افزار پرداخت نکنید؛ زیرا تضمینی برای دریافت کلید رمزنگاری داده‌ها توسط مجرمان وجود ندارد. همچنین پرداخت مبلغ باج موجب تشویق به انجام جرایم سایبری می‌شود.