باج افزارها به گونه ای از “نرم افزارهای مخرب یا بدافزارها” گفته می‌شود که با هدف خسارت رساندن به کاربران به وجود می‌آیند. باج افزارها دسترسی کاربران به سیستم را محدود کرده و برای رفع محدودیت درخواست مبلغ (باج) می‌کنند. این بدافزار سالانه صدها میلیون دلار ضرر و زیان ایجاد کرده و تهدیدی جدی برای کسب و کارهای موفق است.

در این مقاله، به بررسی اجمالی و خطرات باج افزار، عملکرد باج افزار، توصیه کارشناسان، مخالفت با پرداخت باج و بهترین روش ها برای جلوگیری از آلودگی و بهبود آلودگی در صورت بروز خطر و تجربه موفق نرم افزار ERP تیم‌یار در مواجهه با تهدید باج افزار پرداخته می شود.

 

 

باج افزار و خطرات آن

باج افزار، با استفاده از هدف قرار دادن سیستم میزبان و رمزگذاری داده ها، از آنان درخواست باج کرده و در صورت عدم پرداخت آن موجب آسیب به داده های کاربر می‌شود. در این روند کاربر با استفاده از بیت کوین پرداخت خود را انجام می‌دهد.

به طور کلی، باج افزارها را می توان به دو نوع اساسی “باج افزار رمزنگار و قفل دار” تقسیم کرد:

۱. در  باج افزار رمزنگار، فایل‌ها و داده‌ها رمزگذاری می‌شوند و توسط کاربر قابل دسترسی نمی‌باشد.

۲. باج افزار قفل دار ( Locker )، کامپیوتر و دستگاه مورد هدف را صرفاً قفل و استفاده قربانیان را محدود می کند در این باج افزار داده های ذخیره شده در دستگاه معمولاً دست نخورده باقی می‌ماند و در صورت حذف بدافزار، داده ها با حالت اولیه بازیابی می شوند. حتی اگر بدافزار به راحتی پاک نشود، با انتقال دستگاه ذخیره سازی اطلاعات به رایانه دیگر، می توان داده ها را بازیابی کرد. این امر باعث می شود تا باج افزار قفل دار در اخاذی منفعل باشد. 

علاوه بر حمله باج افزارها به سیستم های رایانه‌ای، به تلفن های همراه نیز  نفوذ می‌کنند. باج افزار ها با تغییر شماره PIN دستگاه و سپس درخواست باج، پین جدیدی برای کاربر می‌سازند. شرکت امنیت رایانه  Symantec ، با تخمینی اعلام کرده است که باج افزارها سالانه صدها میلیون دلار از قربانیان باج دریافت می کنند. سیمانتک همچنین یادآور می شود که پرداخت باج هیچ تضمینی برای ارائه کلید رمزگشایی نیست.

عملکرد باج افزار و نحوه درگیر شدن سیستم

عملکرد باج افزارها شامل هفت مرحله می‌شود:

۱-   نفوذ: که از طریق یک ایمیل آلوده یا نصب نرم‌افزار آلوده صورت می‌گیرد.

۲-  نصب: معمولاً بدافزارها بعد از گذشت مدت زمانی(زمان خواب)، شروع به نصب و فعال‌سازی خود می‌کنند.

۳- تغییر تنظیمات سیستم: شامل تغییر تنظیمات کلی و غیر فعال کردن برنامه های امنیتی می‌شود.

۴- ارتباط با سرور: باج افزار پس از طی مراحل فوق با سرور خود ارتباط برقرار کرده و دستورات و کدهای مربوطه را دریافت می‌کند.

۵- رمزگذاری: در این مرحله باج افزار فعالیت اصلی خود را شروع می‌کند و فایل های مهم و حساس سیستم را رمزگذاری می‌کند.

۶- طلب پول (باج): در این مرحله باج افزار با ارسال یک پیغام و هشدار به کاربر مبنی بر “حمله باج افزار و آلوده شدن سیستم” ورود خود را اعلام می‌کند. همچنین مقدار باج و نحوه دریافت آن از طرف هکر اعلام می‌شود.

۷- رمزگشایی: معمولاً در این مرحله هکر ادعا می‌کند در صورت پرداخت باج اقدام به رمزگشایی فایل‌های مسدود شده می‌کند. اما در صورت احتمال رمزگشایی هم توصیه می‌شود برای جلوگیری از فراگیر شدن باج‌افزارها و تشویق هکرها این پرداخت‌ها صورت نگیرد.

 

 

پرداخت یا عدم پرداخت باج

در هنگام آلوده شدن مشاغل به باج افزار و درخواست باج، افراد و مشاغل با این تصمیم روبرو هستند که برای بازیابی اطلاعات، باج پرداخت کنند. بدین ترتیب، این تصمیم به یک سوال مهم خلاصه می شود که آیا ارزش داده ها بیشتر از باج است؟ و در این صورت، میزان اطمینان از اینکه مجرم در صورت پرداخت باج، داده ها را رمزگشایی کند، چقدر است و این نگرانی وجود دارد که پرداخت باج، باعث ترغیب مجرمان برای ادامه روند باج‌گیری می‌شود. همچنین برخی از باج افزارها با رمزگشایی چند پرونده (داده)، قبل از پرداخت باج، سعی در ایجاد اعتماد دارند. به عنوان مثال، Trojan.Cryptolocker.G این امکان را دارد تا پنج پرونده را به طور تصادفی و رایگان رمزگشایی کند.

پرداخت باج برای پس گرفتن داده‎های مورد نیاز، می تواند منطق اقتصادی داشته باشد ولی کارشناسان نیز چهار دلیل جهت عدم پرداخت باج بیان می کنند:

  1.  اگر شما اقدام به پرداخت باج نمایید، مجرمان پی به میزان اهمیت داده‌های شما می برند و یک هدف بزرگتر می شوید و احتمال حملات بعدی بیشتر خواهد شد.
  2. شما نمی توانید به مجرمان اعتماد کنید تا داده ها را رمزگشایی کنند.
  3. در صورت پرداخت، باج بعدی شما بیشتر خواهد بود و شاید مجرمان قبل از رمزگشایی داده ها، باج دوم را درخواست نموده و برای بار دوم آلوده شوید. در هر صورت، شما هزینه بیشتری پرداخت خواهید کرد.
  4. پرداخت شما باعث تشویق مجرمان برای ادامه این روند، خواهد شد.

 

 

راه های پیشگیری و مقابله با کمترین هزینه 

کارشناسان چهار مرحله را جهت پیشگیری و مقابله با ورود باج افزارها به سیستم های افراد و مشاغل پیشنهاد می‌کنند:

مرحله ۱ تهیه نسخه پشتیبان : در صورت تهیه نسخه پشتیبان از داده ها، برای پس گرفتن داده ها نیازی به پرداخت باج نیست. در عوض، می توان آن را از نسخه پشتیبان تهیه کرد.  البته، نسخه پشتیبان باید به صورت مستمر فعال باشد. برخی از باج افزارها سعی در رمزگذاری سیستم های پشتیبان متصل به محل دارند. بنابراین از پشتیبان گیری ابری یا سیستمی استفاده می شود که فقط هنگام تهیه نسخه پشتیبان متصل است. همچنین نگه داشتن چندین نسخه پشتیبان نیز حائز اهمیت است.

مرحله ۲- خودداری از باز کردن پیوندها و پیوست های ایمیل : حملات فیشینگ، رایج ترین راه برای انتشار باج افزار است؛ بنابراین اجتناب از باز کردن پیوندها و پیوست ها در نامه های ناخواسته، تا حد زیادی باعث جلوگیری از باج افزار می‌شود. شرکت‌ها باید کارمندان را آموزش دهند تا از دریافت و یا باز کردن ایمیل مشکوک خودداری کنند و بخش IT شرکت باید روند مسدود کردن تبلیغات را درمد نظر بگیرد.

مرحله ۳ Patch و Block : سیستم عامل، مرورگرها و نرم افزارهای امنیتی باید بروز نگه داشته شوند. به همین ترتیب، افزونه های شخص ثالث، مانند جاوا و فلش، در صورت مجاز بودن،می‌توانند متصل شوند. همچنین، سیستم های تجاری می توانند برای کاهش احتمال آلودگی به باج افزار از لیست سفید و محدود کردن حقوق کاربر استفاده نمایند. مطمئناً، این مراحل به کاهش سایرآلودگی های مخرب نیز کمک می کند.

مرحله ۴- قطع و جدا کردن ارتباط : در اولین نشانه آلودگی، دستگاه آلوده باید بلافاصله خاموش شود (یا از پریز برق جدا شود) تا آسیب‌ها به حداقل برسند. اگر به شبکه متصل باشید ، مدیران باید بلافاصله شبکه را خاموش کنند تا انتشار باج افزار را به حداقل برسانند.

    موارد فوق، هم در خصوص افراد و هم در سازمان ها صدق می کند. برای سازمان ها، کارشناسان روش های زیر را توصیه می کنند:

 درک درست خطرات : همانطور که در این مقاله مشخص شد، باج افزار یک خطر واقعی هم برای داده ها و هم برای توانایی سازمان برای ادامه فعالیت های خود است و این خطر به سرعت در حال رشد است. سازمان‌ها باید درمورد هزینه های پیشگیری و آموزش تصمیمات درستی بگیرند، تا میزان  تهدیدی را که باج افزار برای سازمان ایجاد می کند  را درک کنند.

 ایجاد سیاست های کافی؛ دستگاه‌هایی که متعلق به سازمان نیستند اغلب از خارج سازمان به شبکه متصل می شوند. این موارد شامل تلفن های همراه و تبلت های متعلق به کارمندان می شود. سیاست های کاری باج افزار، روش های حفاظت و پیشگیری باید شامل کل شبکه از جمله بخش IT باشد.

 ایجاد بهترین روش‌ها برای کاربران؛ این موارد شامل مدیریت رمز عبور مناسب، آموزش مداوم آگاهی از امنیت، کانال های برگشتی برای کارمندان اصلی که با امور مالی یا حساس مواجه هستند،می‌شود. بنابراین در همین راستا می توان درخواست های انتقال وجوه را دوباره بررسی کرد، آزمایش دوره ای کارکنان برای اطمینان از کارآیی آموزش برگزار کرد، سیاست مناسب رسانه های اجتماعی را ایجاد کرد و از بروز نگه داشتن دستگاه‌های کارمندان مطمئن شد. 

با توجه به رواج سیستم های ویندوز به عنوان اهداف باج افزار ، این راهنما برای محیط ویندوز طراحی شده است. (این موارد به صورت جامع طراحی شده است و همه کنترل ها برای همه محیط ها قابل استفاده نیستند.)

۱ –  فایروال: در حالی که دیوار آتش از قبل برای اکثر سازمانها در دسترس می‌باشد، لذا باید بررسی شود که فایروال شما برای فیلتر کردن خروجی و همچنین فیلتر کردن ورودی، پیکربندی شده باشد. فیلتر ورودی به سیستم، کنترل می‌کند چه ارتباطاتی در شبکه سازمان مجاز است، در حالی که فیلتر خروجی ارتباطاتی را  از شبکه سازمان خارج می‌شود را کنترل می‌کند. سیستم هایی که نیازی به دسترسی به منابع و سیستم های اطلاعاتی خارجی ندارند، باید از برقراری ارتباط با نهادهای خارجی جلوگیری کنند. یک سیستم بدون دسترسی به نهادهای خارجی به مراتب کمتر از یک سیستم متصل به اینترنت، به یک نقطه ورود برای بدافزار تبدیل می شود.

۲-پراکسی سرور / فیلتر وب:  قطع کامل سیستم های اینترنت یک دفاع بزرگ محسوب می‌شود، اما واقعیت این است که مسدود کردن کامل اینترنت در همه سیستم ها عملی نیست و مانعی برای فعالیت های تجاری می‌شود. سیستم های متصل به اینترنت باید طوری تنظیم شوند که از طریق یک سرور پراکسی که فیلتر کردن محتوای وب را فیلتر می کند، با قوانین فایروال تضمین کنند که دسترسی به وب پراکسی تنها وسیله خروج برای اتصالات http و https است. درحالی که ایده آل ترین روش دسترسی به وب با انتخاب سایت در لیست سفید است. سازمان ها باید از ابزار فیلتر کردن خود برای جلوگیری از دسترسی به سایت های مخرب شناخته شده مانند: سایت های هرزنامه( فیشینگ) ، سایت های جلوگیری از پراکسی ، پورنوگرافی و سایر دسته بندی‌های سایت هایی که برای تجارت عادی ضروری نیست، استفاده کنند.

۳ –  فیلتر SPAM : فیلترهای SPAM   ایمیل را فیلتر می کنند، قبل از اینکه به سرورِ نامه سازمانی شما وارد شوند. اگر از ایمیل میزبانی شده استفاده می کنید، اطمینان حاصل کنید که فیلتر SPAM موجود توسط ارائه دهنده میزبان شما روشن است.

۴  Antivirus) AV) : آنتی ویروس باید در تمام مراحل انتهایی اجرا شود و برای دسترسی به اسکن فایلها و سایر منابع، پیکربندی شود. آنتی ویروس باید بروز باشد و هشدارها  پیکربندی شوند تا در مورد هر گونه آلودگی احتمالی به کارکنان IT اطلاع داده شود. لازم به ذکر است که AV تا حد زیادی مبتنی بر داده است و به همین ترتیب، فقط می تواند تهدیدهای شناخته شده را به طور موثر تشخیص دهد و ممکن است هیچ گونه محافظتی در برابر ویروس جدید یا نوع بدافزار جدید ایجاد نکند.

۵-   پشتیبان گیری: بازیابی پس از حمله باج افزار، نیاز به تهیه برنامه های پشتیبان گیری و بازیابی مناسب دارد. برنامه پشتیبان‌گیری و بازیابی سازمان باید برای هر دارایی یک نقطه بازیابی و مدت زمان بازیابی کاملاً مشخص داشته باشد، که به آنها کمک می کند فن آوری ها و روش های پشتیبان گیری مناسب برای محیط خاص خود را تعیین کنند. برای توصیف برنامه های پشتیبان گیری، چگونگی پشتیبان گیری یا بازیابی داده ها، مسئولیت پشتیبان گیری و بازیابی و غیره، باید سیاست‌ها و رویه‌های کاملاً مستند و همچنین آموزش کارمندان در نظر گرفته شود.

۶ دسترسی از راه دور: باج افزار SamSam معمولاً  از راه دور به سازمانها و از طریق امنیت ضعیفی که سرویسهای RDP با آن روبرو هستند، متصل می شود. توصیه می شود که سازمان ها دسترسی از راه دور  را فقط برای حساب های ضروری محدود کنند و یک سیاست قفل حساب و احراز هویت دو فاکتوری برای جلوگیری از ورود در نظر بگیرند.

گذر موفق تیم‌یار از باج افزار با تکیه بر تخصص و زیرساخت‌های کامل خود

نرم افزار یکپارچه تحت وب تیم‌یار، با دارا بودن زیرساخت‌های تخصصی و ایمن، در یک تجربه موفق، توانسته کل داده‌ها و اطلاعات خود را در برابر حمله یک باج افزار، بدون کوچکترین آسیب و خللی در روند کار، حفظ کند.

این باج افزار از طریق یک ایمیل آلوده وارد سیستم شده و به سرعت داده‌ها را در معرض خطر قرار داد و  ERP تیم‌یار به دلیل پشتیبان‌گیری مستمر از فایل‌های مهم و حساس درمکان‌های مختلف و در بازه‌های منظم و استفاده از آنتی ویروس قوی و دارای لایسنس و همچنین مدیریت متمرکز بر داده‌ها توانست با قدرت در برابر باج افزار مقابله کند.

نتیجه گیری

باج افزار، به یکی از قوی‌ترین و سریع‌ترین معضلات دنیای دیجیتال تبدیل شده است. حملات مکرر و اخبار جعلی که توسط آن‌ها تولید می شود، باعث ایجاد شبهه در عملکرد موفق بنگاه‌های پشتیبان‌گیری و آنتی ویروس ها، در محافظت از منابع دیجیتالی خود می‌شوند. واضح است که محافظت در برابر باج افزار بسیار سخت است و همیشه یک راه ایمن برای مقابله با آن‌ها وجود ندارد، لذا توصیه می‌شود راه‎‌های پیشگیری از آلوده شدن را به‎طور مستمر انجام داده و کلیه داده ها در سیستم‌، به صورت مداوم پشتیبان‌گیری شوند و اطلاعات و داده‌های خود را در فضای ابری همچون بستر cloud  تیم یار ذخیره سازی و پشتیبان گیری کنند تا بتوانند با آسودگی بیشتر به تلاش و فعالیت خود بپردازند.

 

مولف و نویسنده: مرکز آموزش تیم‌یار

منابع

  1. Abrams, L. (2016, December 8). New scheme: Spread popcorn time Ransomware, get chance of free Decryption key. Bleeping Computer.
  2. Barker, I. (2016, June 23). Crypto-ransomware attacks increase five fold. Retrieved from http://www.betanews.com/2016/06/23/crypto-ransomware-five-fold-increase.
  3. Best Practices for Dealing with Phishing and Ransomware. (2016). Osterman Research, Inc
  4. Bradley, S. (2015, April 23). How to defend yourself from ransomware. Retrieved from Windows Secrets, http://windowssecrets.com/top-story/how-to-defend-yourself-from-ransomware.
  5. Rashid, F. Y. (2016, March 14). 4 reasons not to pay up in a ransomware attack. Retrieved March 19, 2016, from  http://www.infoworld.com/article/3043197/security/4-reasons-not-to-pay-up-in-aransomware-attack.html.
  6. Rosenberg, J. M. (2015, April 8). A Q&A about the malicious software known as ransomware. Retrieved April 8, 2015.
  7. Savage, K., Coogan, P., & Lau, H. (2015). The Evolution of Ransomware.
  8. Zetter, K. (2015, September 17). Hacker lexicon: A guide to Ransomware, the scary hack that’s on the rise. Retrieved from Security, https://www.wired.com/2015/09/hacker-lexicon-guideransomware-scary-hack-thats-rise.