باجافزار چیست و چگونه کار میکند؟
به نقل از دیجیاتو
باجافزار یا Ransomware یکجور بدافزار است که فایلهای قربانی خود را رمزگذاری میکند. هکر سپس خواستار باج از قربانی میشود و در ازای پول دریافتی، امکان دسترسی دوباره به فایلها را مهیا میسازد. در این بدافزارها، کاربر معمولا دستورالعمل مشخصی را برای پرداخت پول باید دنبال کند و مبلغ درخواستی میتواند بین صدها دلار تا هزاران دلار متغیر باشد که از طریق بیتکوین به هکر پرداخت میشود.
باجافزار چطور کار میکند؟
باجافزارها به چند طریق میتوانند از کامپیوتر قربانیان سر در آوردند. یکی از رایجترین راهها، از طریق اسپم فیشینگ است – یعنی فایلهای ضمیمهای که از طریق ایمیل به دست قربانی میرسد و با فایلهای قابل اعتماد اشتباه گرفته میشود. به محض دانلود و باز شدن، این بدافزارها میتوانند کنترل کامپیوتر قربانی را به دست بگیرند، خصوصا اگر از ابزارهای مهندسی اجتماعی بهرهمند شده باشند و کاربر را متقاعد به دادن دسترسیهای مدیریتی کنند. برخی دیگر از فرمهای تهاجمیتر باجافزار، مانند بدافزار NotPeyta، با سوء استفاده از حفرههای امنیتی به کامپیوترها رخنه میکنند و اصلا نیازی به فریب دادن کاربر ندارند.
بدافزار به محض ورود به کامپیوتر قربانی ممکن است دست به کارهای مختلفی بزند، اما رایجترین اتفاق، رمزنگاری تمام یا بخشی از فایلهای کاربر است. مهمترین چیزی که باید در این باره بدانید آن است که در پایان پروسه، فایلهای قفل شده را نمیتوان بدون کلیدی که تنها در اختیار هکر است رمزگشایی کرد. کاربر معمولا یک پیام دریافت میکند که در آن توضیح داده شده فایلهایش از دسترس خارج هستند و تنها زمانی رمزگشایی میشوند که او یک پرداخت بیتکوینی غیر قابل ردیابی به هکر داشته باشد.
در برخی از بدافزارها نیز ممکن است مهاجم خودش را جای یک آژانس قضایی جا بزند و مدعی شود که کامپیوتر قربانی به خاطر وجود محتویات هرزنگارانه یا نرمافزارهای غیر قانونی، قفل شده و حالا باید «جریمه» لازم را پرداخت. در این شرایط، قربانی به احتمال کمتری با پلیس و دیگر مراجع قانونی ارتباط برقرار میکند. اما اکثر مهاجمین زحمت چنین ترفندهایی را به خود نداده و مستقیم سر اصل مطلب میشوند.
چه کسی تبدیل به هدف باجافزارها میشود؟
هکرها به چند روش مختلف سازمانهای هدف خود را انتخاب میکنند. برخی از اوقات، موضوع راجع به فرصتشناسی است: مثلا هکرها ممکن است دانشگاهها را هدف قرار دهند چون تیم امنیتی کوچکتری دارند و در عین حال، افراد زیادی در شبکه به تبادل فایل میپردازند و بنابراین رخنه به آنها آسانتر است.
از سوی دیگر، برخی سازمانها تبدیل به اهدافی وسوسهبرانگیز برای هکرها میشوند چون به احتمال زیاد فورا به پرداخت باج تن میدهند. برای مثال آژانسهای دولتی یا تاسیسات پزشکی معمولا نیازمند دسترسی آنی به فایلهای خود هستند. شرکتهای قانونی و دیگر سازمانهایی که اطلاعاتی حساس دارند نیز ترجیح میدهند سریعا مبلغ درخواستی را بپردازند و نامشان وارد اخبار نشود.
اما اگر در هیچ یک از این دستهبندیها قرار نمیگیرید هم نباید خیالتان کاملا راحت باشد: بسیاری از باجافزارها به صورت اتوماتیک در سطح اینترنت شیوع مییابند.
چطور از ورود باجافزار به کامپیوتر جلوگیری کنیم؟
تدابیر امنیتی مختلف را میتوان برای جلوگیری از رخنه باجافزارها به کامپیوتر شخصی به کار بست. با دنبال کردن گامهایی که در پایین تشریح میکنیم، نهتنها در برابر باجافزارها به صورت خاص، بلکه در برابر اکثر بدافزارها ایمن خواهید بود. بنابراین در به کارگیری آنها حتی یک لحظه تردید نکنید:
- سیستم عامل را همواره بهروز نگه دارید تا تمام آسیبپذیریهای شناخته شده، پچ شوند.
- تنها در صورتی به نصب نرمافزارها و دادن دسترسی ادمین به آنها بپردازید که کاملا از اعتبار و کارکردشان مطمئن باشید.
- همواره یک نرمافزار آنتیویروس روی کامپیوتر نصب داشته باشید تا بدافزارهایی مانند باجافزارها را به محض ورود شناسایی کنند.
- و مهمتر از همه اینکه همواره از فایلهایتان بکاپ بگیرید، به صورت مداوم و خودکار. این کار از وقوع حمله جلوگیری نمیکند، اما آسیبهای وارده به حداقل خواهد رسید.
آمارها و حقایق مربوط باجافزارها
باجافزار تجارتی بزرگ است. در دنیای باجافزارها پول بسیار زیادی کسب میشود و این بازار از ابتدای دهه ۲۰۱۰، به شکلی تصاعدی و چشمگیر رشد کرده. در سال ۲۰۱۷ میلادی، باجافزارها خسارتی بالغ بر ۵ میلیارد دلار به قربانیان خود وارد کردند، رقمی که هم با محاسبه باجهای پرداخت شده و هم ضرر ناشی از حملات به دست آمده. جالب است بدانید این رقم، ۱۵ برابر بیشتر از ضرر ناشی از باجافزارها در سال ۲۰۱۵ بوده است.
برخی بازارها به صورت خاص در برابر باجافزارها آسیبپذیر هستند. بسیاری از برجستهترین حملات باجافزارها در بیمارستانها و دیگر سازمانهای درمانی رخ داده است که هدفی وسوسهبرانگیز برای هکرها هستند: مهاجمین میدانند که وقتی بحث جان آدمها در میان است، این سازمانها به احتمال بیشتری حاضر به پرداخت باجهای نهچندان کلان میشوند تا فقط از مصیبت پیش آمده خلاصی یابند. تخمین زده شده که بالغ بر ۴۵ درصد از حملات باجافزارها، همین سازمانها و مراکز درمانی را هدف قرار میدهند و ۸۵ درصد از آلودگیهای بدافزاری این سازمانها نیز مرتبط به باجافزارها است.
نرمافزارهای محافظتی لزوما از شما مراقبت نمیکنند. باجافزارها مداوما از سوی توسعهدهندگانشان دستکاری و بازنویسی میشوند، بنابراین خیلی از اوقات نرمافزارهای آنتیویروس قادر به تشخیص آنها نیستند. در واقع ۷۵ درصد از کمپانیهایی که قربانی باجافزار میشوند، آخرین ورژن از این نرمافزارهای آنتیویروس را روی دستگاههای آلوده خود به اجرا در میآورند.
باجافزارها دیگر مثل قبل استفاده گسترده نمیشوند. این هم یک خبر خوب: شمار حملات باجافزارها از اواسط دهه ۲۰۱۰ به بعد کاهش یافته، هرچند که ارقام ابتدایی آنقدر زیاد بوده که هنوز هم نمیتوان از ارقام کنونی چشمپوشی کرد. در سهماهه ابتدایی سال ۲۰۱۷، باجافزارها بالغ بر ۶۰ درصد از بدافزارهای موجود را تشکیل میدادند و این رقم اکنون به ۵ درصد رسیده.
آیا باید باجها را پرداخت؟
اگر سیستم شما به بدافزار آلوده شده و تمام اطلاعات حیاتی از دست رفته باشد، آیا باید به هکرها باج داد؟
در تئوری، مراجع قضایی همواره کاربران را ترغیب به عدم پرداخت پول به هکرها کردهاند، زیرا چنین کاری باعث میشود که هکرها صرفا به ساخت باجافزارهای بیشتر ترغیب گرددن. با این همه بسیاری از سازمانهایی که گرفتار این مشکل میشوند دیگر چنین ذهنیتهایی برایشان اهمیت ندارد و شروع به تحلیل میزان ضرر میکنند، به عبارت دیگر، به مقایسه پول درخواستی و ارزش اطلاعات رمزنگاری شده میپردازند. آمارها نشان میدهند که گرچه ۶۶ درصد از کمپانیها میگویند هیچوقت حاضر به پرداخت باج نمیشوند، اما در عمل ۶۵ درصد از آنها پول درخواستی هکرها را میپردازند.
مهاجمین معمولا پول درخواستی را نسبتا پایین نگه میدارند: چیزی بین ۷۰۰ الی ۱۳۰۰ دلار. به این ترتیب، کمپانیها در مدتزمانی کوتاه به پرداخت پول تن میدهند. برخی باجافزارهای پیشرفتهتر هم قادر به تشخیص نقطه جغرافیایی کامپیوتر آلوده هستند و رقم را طوری تعیین میکنند که با وضعیت اقتصادی کشور سازگار باشد. به این ترتیب، شرکتهای حاضر در کشورهای غنی، پول بیشتری نسبت به شرکتهای حاضر در کشورهای فقیر میپردازند.
گاهی هکرها میگویند که اگر در پرداخت باج سرعت عمل نشان دهید، از نوعی تخفیف برخوردار خواهید شد و به این ترتیب، قربانی را ترغیب میکنند که پول را پیش از تفکر بیشتر راجع به شرایط بپردازد. به صورت کلی رقم تعیین شده بهگونهای است که هم ارزش زحمات هکرها را داشته باشد و هم آنقدر کم باشد که قربانی به پرداخت آن تن بدهد. جالب اینکه برخی کمپانیها هم در بودجه امنیت خود، پولی را برای باجگیریهای احتمالی کنار میگذارند. مثلا برخی شرکتهای بریتانیایی، مقداری بیتکوین را به صورت رزرو نگه داشتهاند تا فقط در زمان آلودگی سیستمها به باجافزار از آنها استفاده کنند.
چند چیز را باید در خاطر نگه داشت: مهمترین چیز اینست که در این شرایط، شما دارید با مجرمان سر و کله میزنید. این مجرمان ترفندهای گوناگون را به کار میگیرند. گاهی از اوقات دادههای شما اصلا رمزنگاری نشده، بنابراین پیش از پرداخت پول باید مطمئن شوید که با پدیدهای دیگر به نام «وحشتافزار» روبهرو نشده باشید. از سوی دیگر، پرداخت پول به صورت تضمین شده به آزاد شدن اطلاعات منجر نمیشود. گاهی مجرمان پولتان را گرفته و فرار میکنند و شاید اصلا مکانیزم رمزگشایی را درون بدافزار خود تعبیه نکرده باشند. اما در این صورت هکرها بدنام میشوند و دیگر قادر به درآمدزایی نیستند. به همین خاطر است که در ۶۵ الی ۷۰ درصد مواقع، اطلاعاتتان واقعا بعد از پرداخت پول آزاد میشوند.
چند مثال از باجافزارها
اگرچه باجافزارها از دهه ۱۹۹۰ میلادی وجود داشتهاند، اما طی ۱۰ سال اخیر بیشترین میزان موفقیت را تجربه کردهاند. عمدتا به خاطر ظهور متدهای پرداخت غیر قابل ردگیری مانند بیتکوین. برخی از بدترین باجافزارهای تاریخ، به شرح زیر هستند:
- CryptoLocker یک باجافزار مدرن بود که در سال ۲۰۱۳ منتشر شد و در پیک خود، بالغ بر ۵۰۰ هزار دستگاه را آلوده کرد.
- TeslaCrypt در زمان وحشتافکنی خود، به صورت خاص از طریق فایلهای مرتبط با بازیهای ویدیویی منتشر شد.
- SimpleLocker نخستین باجافزاری بود که به صورت گسترده، موبایلهای هوشمند را هدف قرار داد.
- WannaCry به صورت اتوماتیک و با استفاده از EternalBlue از یک کامپیوتر به کامپیوتر دیگر راه مییافت. EternalBlue اسکپلویتی بود که توسط آژانس امنیت ملی آمریکا توسعه یافت و بعد توسط هکرها به سرقت رفت.
- NotPetya نیز از EternalBlue استفاده کرد و یکی از محبوبترین باجافزارهای هکرهای وابسته به روسیه بود که علیه کشور اکراین فعالیت میکردند.
- Locky در سال ۲۰۱۶ شیوع یافت و به صورت خاص سیستمهای بانکی را هدف قرار میداد. یک ورژن دیگر از آن به نام Osiris نیز از طریق کمپینهای فیشینگ شیوع یافت.
- LeatherLocker برای نخستین بار طی سال ۲۰۱۷ و در دو اپلیکیشن اندرویدی به نامهای Booster & Cleaner و Wallpaper Blur HD یافت شدند. به جای رمزنگاری فایلها، این بدافزار صفحه هوم را قفل میکرد تا دسترسی به دادهها محدود شود.