باج افزار چگونه کار میکند؟

حملات باج‌ افزار بر روی هکری متمرکز است که فایلهای قربانی را رمزگذاری میکند تا از دریافت باج برای رمزگشایی چنین فایلهایی استفاده کند.

نحوه رمزگذاری فایلها بر اساس نوع باج‌ افزار متفاوت است، اما آنها معمولاً وارد سیستم میشوند و در میان فایلهایی از انواع خاص جستجو میکنند.

باج افزار داده های قربانی هدف را رمزگذاری میکند. سپس مهاجم سعی میکند قربانی را وادار به پرداخت باج برای کلید رمزگشایی فایلهای خود کند.

اولین ransomware به سال 1989 برمیگردد، روی فلاپی دیسک توزیع شد و 189 دلار باج خواست.

در سال 2019، شهر بالتیمور مورد حمله باج افزار قرار گرفت که هزینه بازیابی آن 18 میلیون دلار برآورد شد.

اما باج افزار دقیقا چگونه کار میکند؟

در حالیکه جزئیات پیاده سازی از یک نوع باج افزار به باج افزار دیگر متفاوت است، همه سه مرحله هسته یکسانی دارند. به شبکه هدف نفوذ میکنند، تا حد امکان داده‌ها را رمزگذاری میکنند، باج گیری میکنند.

مرحله 1. مسیرهای عفونت و توزیع – Infection and Distribution Vectors

ransomware، مانند هر بدافزار، میتواند به روشهای مختلف به سیستمهای سازمان دسترسی پیدا کند. با اینحال، اپراتورهای باج افزار تمایل دارند چند ناقل عفونت خاص را ترجیح دهند.

یکی از اینها ایمیلهای فیشینگ است. یک ایمیل مخرب ممکن است حاوی یک لینک به وبسایتی باشد که میزبان دانلود یا پیوستی مخرب است که دارای قابلیت نفوذ داخلی میباشد.

اگر گیرنده ایمیل به فیش بیفتد، باج‌ افزار در رایانه او دانلود و اجرا میشود.

یکی دیگر از مسیرهای عفونت، باج افزار محبوب از خدماتی مانند پروتکل دسکتاپ از راه دور (RDP) بهره میبرد.

با RDP، مهاجمی که اعتبار ورود کارمندان را به سرقت برده یا حدس زده است، میتواند از آنها برای احراز هویت و دسترسی از راه دور به رایانه‌ ای در شبکه سازمانی استفاده کند.

با این دسترسی، مهاجم میتواند مستقیماً بدافزار را دانلود کرده و آنرا بر روی دستگاه تحت کنترل خود اجرا کند.

دیگران ممکن است سعی کنند مستقیماً سیستمها را آلوده کنند، مانند نحوه سوء استفاده WannaCry از آسیب پذیری EternalBlue. اکثر انواع باج افزار دارای چندین ناقل عفونت هستند.

مرحله 2. رمزگذاری داده ها – Data Encryption

پس از اینکه باج افزار به یک سیستم دسترسی پیدا کرد، میتواند رمزگذاری فایلهای خود را آغاز کند.

از آنجاییکه قابلیت رمزگذاری در یک سیستم عامل تعبیه شده است، این به سادگی شامل دسترسی به فایلها، رمزگذاری آنها با یک کلید کنترل‌ شده توسط مهاجم و جایگزینی نسخه‌‌های اصلی با نسخه‌‌های رمزگذاری‌ شده است.

اکثر انواع باج افزار در انتخاب فایلهای خود برای رمزگذاری برای اطمینان از ثبات سیستم محتاط هستند.

برخی از انواع نیز اقداماتی را برای حذف نسخه‌‌های بکاپ و shadow copies از فایلها انجام میدهند تا بازیابی بدون کلید رمزگشایی دشوارتر شود.

مرحله 3. تقاضای باج – Ransom Demand

هنگامیکه رمزگذاری فایل کامل شد، باج افزار برای درخواست باج آماده میشود.

انواع مختلف باج‌ افزار این را به روشهای متعددی اجرا میکنند، اما تغییر پس‌ زمینه نمایش به یادداشت باج یا فایلهای متنی در هر فهرست رمزگذاری‌ شده حاوی یادداشت باج، غیرعادی نیست.

بطور معمول، این یادداشتها در ازای دسترسی به فایلهای قربانی، مقدار مشخصی ارز دیجیتال را طلب میکنند.

اگر باج پرداخت شود، اپراتور ransomware یا یک کپی از کلید خصوصی که برای محافظت از کلید رمزگذاری متقارن استفاده میشود یا یک کپی از خود کلید رمزگذاری متقارن ارائه میدهد.

این اطلاعات را میتوان در یک برنامه رمزگشا (که توسط مجرم سایبری نیز ارائه میشود) وارد کرد که میتواند از آن برای معکوس کردن رمزگذاری و بازگرداندن دسترسی به فایلهای کاربر استفاده کند.

در حالیکه این سه مرحله اصلی در همه انواع ransomware وجود دارد، باج‌ افزارهای مختلف میتوانند شامل پیاده‌ سازی های متفاوت یا مراحل اضافی باشند.

برای مثال، انواع باج‌ افزار مانند Maze، اسکن فایلها، اطلاعات رجیستری و سرقت داده‌ها را قبل از رمزگذاری داده‌ها انجام میدهند و باج‌ افزار WannaCry سایر دستگاههای آسیب‌ پذیر را برای آلوده کردن و رمزگذاری اسکن میکند.

چه کسانی هدف باج افزار هستند؟

اهداف ransomware میتواند از یک فرد واحد، یک کسب و کار کوچک تا متوسط (SMB) یا یک سازمان در سطح سازمانی گرفته تا کل شهر متفاوت باشد.

موسسات عمومی بویژه در برابر باج افزار آسیب پذیر هستند زیرا فاقد امنیت سایبری برای دفاع کافی در برابر باج افزار هستند.

همین امر در مورد SMB ها نیز صادق است.

علاوه بر امنیت سایبری ناپایدار، موسسات عمومی داده‌های غیرقابل جایگزینی دارند که درصورت در دسترس نبودن میتوانند آنها را فلج کنند. این باعث میشود که آنها باج بیشتر بپردازند.

باج افزار چگونه گسترش می یابد؟

باج افزار بگونه ای طراحی شده است که به سرعت در یک شبکه پخش شود، و ممکن است زمانی برای جلوگیری از انجام رمزگذاری در هر رایانه ای نداشته باشید.

همچنین ممکن است تقریباً به همان اندازه طول بکشد تا اطلاعات شما درز کند.

میانگین حمله باج افزار فقط سه ثانیه طول میکشد تا شبکه شما را رمزگذاری کند و پرونده های تجاری شما را قفل کند.

باج افزار میتواند از طریق هر نوع دستگاهی که بصورت فیزیکی به رایانه یا تلفن هوشمند شما متصل میشود، پخش شود.

در واقع، چندین نوع از باج‌افزارها بطور ویژه برای گسترش با استفاده از درایو USB شناخته شده‌اند.

طبق گفته مایکروسافت، تقریباً 97 درصد از همه عفونتهای باج‌افزاری کمتر از 4 ساعت طول میکشد تا با موفقیت به هدف خود نفوذ کنند.

سریعترین میتواند سیستمها را در کمتر از 45 دقیقه کنترل کند.

در حالت ایده آل، شما میخواهید تا حد امکان داده‌های “از دست رفته” را بازیابی کنید. اینکار با استفاده از اطلاعات بکاپ گیری شده انجام میشود، اما مراقب باشید.

باج‌افزار میتواند تا شش ماه باقی بماند، بنابراین بدافزار ممکن است در نسخه‌های بکاپ بایگانی شما گنجانده شده باشد.

قبل از بازیابی، یک بسته ضد بدافزار را روی همه سیستمها اجرا کنید.