باج افزار چیست و چگونه با آن مقابله کنیم؟
 

 

چند روزی است که در رسانه ها خبرهای مختلفی درباره باج افزارها می خوانیم. باج افزاری که این روزها سر تیتر اغلب خبرگزاری ها قرار گرفته، «واناکرای» (WannaCry) نام دارد که طی دو – سه روز گذشته حملات گسترده ای را به سیستم های کامپیوتری متصل به اینترنت آغاز کرده و تا به امروز بالغ بر 10 هزار سازمان و 200 هزار فرد مختلف را در بیش از 150 کشور جهان هدف قرار داده است.

این باج افزار که به نام های مختلفی همچون WannaCry، Wana Decryptor، WannaCryptor و WCRY شناخته می شود، نوعی بدافزار جدید است که ابتدا فایل های سیستم های یک شخص، یک سازمان و یا یک مرکز تجاری را کدگذاری می کند و سپس از کاربران سیستم ها می خواهد برای رمزگشایی مجدد اطلاعات خود مبلغی را بپردازند. این کار در حقیقت یک نوع اخاذی و باج گیری مدرن است.
هکرها می توانند از طریق باج افزارها درآمدی بین چند صد دلار تا چند هزار دلار کسب کنند. معمولا درخواست هکرها این است که وجه مورد نظر با استفاده از پول دیجیتالی بیت کوین (Bitcoin) پرداخت شود؛ زیرا ردیابی فردی که پول از این طریق به او پرداخته می شود؛ غیر ممکن است و هر چقدر در پرداخت وجه درخواست شده تعلل شود، نفوذ باج افزار به سیستم  بیشتر می شود.

طبق گزارش منتشر شده در سال ۲۰۱۷، ۷۲ درصد از حملات بدافزارها به سیستم های بیمارستان ها و مراکز درمانی، مربوط به باج افزارها بوده است.

به نقل از سایت DIGIATO: «حمله واناکرای از عصر جمعه آغاز شد و سیستم خدمات بهداشتی ملی انگلستان را به زانو درآورد، چندین کارخانه شرکت رنو در فرانسه را تعطیل ساخت و بسیاری از مراکز دیگر را با مشکل مواجه ساخت. متخصص امنیتی 22 ساله با نام مستعار MalwareTech توانست با ثبت یک نام دامنه و ایجاد sinkhole سرعت حملات را تا حد زیادی کاهش دهد؛ اما به عقیده وی، به زودی موج بعدی حملات آغاز خواهد شد.»

گفتنی است طبق آمار وزارت ارتباطات، تاکنون بیش از 2000 مورد ابتلا به باج افزار واناکرای در ایران گزارش شده؛ بیشترین آلودگی متعلق به اپراتورهای ارتباطی، سلامت و پزشکی و دانشگاهی در استان های تهران و اصفهان بوده است.

به گفته پلیس فتا، متاسفانه برخی آنتی ویروس‌ها امکان شناسایی و حذف این باج افزار را ندارند اما نرم افزار cryptoprevent می‌تواند با اعمال و ایجاد تغییراتی در سیستم عامل‌های ویندوز، مسیر بد افزار را شناخته و آن را مسدود نماید.

به طور کلی، یکی از اقدامات موثر برای جلوگیری از انتشار و رمز شدن بیشتر اطلاعات، استفاده از anti spyware‌ها و anti Trojan‌ها است که با پیدا کردن فایل‌ها و مسیر‌های آلوده به حذف آن اقدام می‌کنند.
در واقع، نحوه عملکرد این بدافزار شبیه crypto locker و cryptowall است و این بد‌افزار خود را در مسیر temps ویندوز کپی می‌کند و سپس شروع به تکثیر می‌کند.
با توجه به این‌که راه‌های انتشار این بد‌افزار محدود است و این بد‌افزار بسیار خطرناک می‌باشد، پلیس فتا راه های زیر را برای جلوگیری از انتشار این بدافزار پیشنهاد داده است:
• هرگز لینک ها و ضمیمه های پیوست شده به ایمیل های ناشناس را باز نکنید
• هرگز از سایت های نا‌معتبر و مخرب و غیر‌اخلاقی دانلود انجام ندهید
• از برنامه های امنیتی به روز و معتبر برای ردیابی انواع ویروس و بدافزار استفاده کنید
• حتما از فایل های مهم و حساس خود نسخه پشتیبان back up تهیه فرمایید
• در صورت باز کردن پیام ناشناس و آلوده شدن، به سرعت کابل شبکه سیستم خود را به سیستم قطع کنید
• در صورت استفاده از نرم افزار‌های mail server از ویندوز یا لینوکس‌، امکان anti spam را فعال کنید یا از نرم افزار‌های مخصوص این کار استفاده کنید
• در هنگام اتصال هارد اکسترنال یا فلش USB به کامپیوتر، هرگز قبل از scan کردن توسط آنتی ویروس، فایل ها را باز نکنید
• update های سیستم عامل را نصب کرده و همیشه به روز نگه دارید
 

توصیه به کاربران تیم یار

به کاربران تیم یار توصیه می کنیم که backup های این نرم افزار را به صورت روزانه در سرورها و یا دستگاه های ذخیره سازی دیگر انتقال دهند و از پروتکل هایی مانند SFTP ،FTP برای انتقال backup ها استفاده کنند. یکی از نرم افزارهای خوب در این زمینه goodsync می باشد. همچنین، توصیه می شود کپی برداری از backup ها به صورت یک طرفه باشد که در صورت از بین رفتن اطلاعات از مبدا، در مقصد نیز از بین نرود.

نکته مهمی که کاربران باید مد نظر قرار دهند این است که از سرور تیم یار به هیچ وجه استفاده عمومی نکنند و هیچ نرم افزار دیگری روی سرور نصب ننمایند؛ همچنین بهتر است user و password سرور تیم یار با سرورها و سیستم های دیگر متفاوت باشد.