پنجشنبه, ۸ آذر ۱۳۹۷، ۱۰:۵۳ ق.ظ
باج افزار و باجگیر
باج افزار نوعی بد افزار مخرب است که دسترسی کاربران را از طریق قفل کردن صفحه سیستم، و یا قفل کردن فایلهای کاربران محدود میکند. مگر تا زمانیکه هزینه ایی را به عنوان جریمه برای باز کردن آنها بپردازند.
باج افزار نوع جدیدی از بدافزارها می باشد که از نوعی الگوریتم برای رمز نگاری مستحکم فایلها و اطلاعات سیستم کاربر استفاده می کند و کاربر را مجبور به پرداخت باج و یا مبلغ درخواستی به صورت آنلاین میکند.
شاخص مبالغ و پرداختیهای باج افزار، به لطف کارکردهای پولی بی پشتوانه، و نرخ ارز دیجیتال بیت کوین، مشخص میشود. برخی از باج افزارهای جدید پرداخت هزینههای خود را از طریق گیفت کارتهای آیتیونز و یا آمازون ارایه میدهند.
باج افزار نوع جدیدی از بدافزارها می باشد که از نوعی الگوریتم برای رمز نگاری مستحکم فایلها و اطلاعات سیستم کاربر استفاده می کند و کاربر را مجبور به پرداخت باج و یا مبلغ درخواستی به صورت آنلاین میکند.
شاخص مبالغ و پرداختیهای باج افزار، به لطف کارکردهای پولی بی پشتوانه، و نرخ ارز دیجیتال بیت کوین، مشخص میشود. برخی از باج افزارهای جدید پرداخت هزینههای خود را از طریق گیفت کارتهای آیتیونز و یا آمازون ارایه میدهند.
لازم به ذکر است پرداخت باج ، ضمانت بازگشایی رمز و یا در اختیار گذاشتن ابزاری برای بازگرداندن فایل ها و یا دسترسی به سیستم آلوده را، به کاربر نمیدهد.
اهداف باج افزار ها:
رشد باج افزارها در طی دو سال گذشته باعث شده تا تهدیدی برای افراد و شرکتها به حساب بیاید. فعالیت یا عملکرد باج افزارها به لحاظ تاریخی، نوعی غریزهی فرصت طلبانهایی بود که هرکسی را با ایمیلهای مشکوک، اسپم ها، Exploit ها و بد افزارها آلوده میکند. اما بسیاری از مجرمان سایبری در اهداف خود انتخابهای بیشتری دارند و تکنیکهای خود را برای آلوده کردن کسب و کارها و سازمانها با یکدیگر تطابق میدهند. سازمانهای هدفمند، سودمندی منصفانه و به جا با میزان آلودگی کاربران فردی مقایسه میکنند زیرا باج افزار برای هر دستگاهی میتواند تنظیم شود.
علاوه بر این، آلودگی های باج افزارها میتواند منافع تجاری را به خطر بیاندازد. و مجرمان سایبری آنها را مجبور به پرداخت هزینه های از دست رفته کنند. اکثر سازمانها، اسناد، پایگاه داده ها و سیستم های اطلاعاتی خود را اداره میکنند و در بعضی مواقع آنها تعهدات قانونی برای مدیریت و حفاظت از داده های کاربران، را بر عهده میگیرند.
این دلایل باعث افزایش فشار برروی سازمان میشود تا بتدریج آلودگیهای باج افزار را به سرعت رفع کنند و جرایم (باج) را پرداخت کنند. طبق مطالعات صورت گرفته، مشخص شده است که اکثر سازمانها در نهایت باج را پرداخت میکنند. طبق یک پژوهش صورت گرفته در سال ۲۰۱۷ از شرکت مخابراتی استرالیا به نام Telstra، مشخص شده است که ۵۷ درصد از کسب و کارها در منطقه ی آسیا و پاکستان که با آلودگی های باج افزار ها روبرو بودند در نهایت اقدام به پرداخت باج کرده اند.
پژوهش مشابه دیگری در سال ۲۰۱۶ نشان داد که ۷۰ درصد از سازمانها مجبور به پرداخت باج شده اند. اما برخی برآوردها، محافظه کارانه تر هستند. در طی یک نظر سنجی در سال ۲۰۱۸ مشخص شده است که ۴۰ درصد از شرکتها مجبور به پرداخت باج شده اند. (که نیمی از آنها، توانستند اطلاعات را باز دریافت کنند.)
رشد باج افزارها در طی دو سال گذشته باعث شده تا تهدیدی برای افراد و شرکتها به حساب بیاید. فعالیت یا عملکرد باج افزارها به لحاظ تاریخی، نوعی غریزهی فرصت طلبانهایی بود که هرکسی را با ایمیلهای مشکوک، اسپم ها، Exploit ها و بد افزارها آلوده میکند. اما بسیاری از مجرمان سایبری در اهداف خود انتخابهای بیشتری دارند و تکنیکهای خود را برای آلوده کردن کسب و کارها و سازمانها با یکدیگر تطابق میدهند. سازمانهای هدفمند، سودمندی منصفانه و به جا با میزان آلودگی کاربران فردی مقایسه میکنند زیرا باج افزار برای هر دستگاهی میتواند تنظیم شود.
علاوه بر این، آلودگی های باج افزارها میتواند منافع تجاری را به خطر بیاندازد. و مجرمان سایبری آنها را مجبور به پرداخت هزینه های از دست رفته کنند. اکثر سازمانها، اسناد، پایگاه داده ها و سیستم های اطلاعاتی خود را اداره میکنند و در بعضی مواقع آنها تعهدات قانونی برای مدیریت و حفاظت از داده های کاربران، را بر عهده میگیرند.
این دلایل باعث افزایش فشار برروی سازمان میشود تا بتدریج آلودگیهای باج افزار را به سرعت رفع کنند و جرایم (باج) را پرداخت کنند. طبق مطالعات صورت گرفته، مشخص شده است که اکثر سازمانها در نهایت باج را پرداخت میکنند. طبق یک پژوهش صورت گرفته در سال ۲۰۱۷ از شرکت مخابراتی استرالیا به نام Telstra، مشخص شده است که ۵۷ درصد از کسب و کارها در منطقه ی آسیا و پاکستان که با آلودگی های باج افزار ها روبرو بودند در نهایت اقدام به پرداخت باج کرده اند.
پژوهش مشابه دیگری در سال ۲۰۱۶ نشان داد که ۷۰ درصد از سازمانها مجبور به پرداخت باج شده اند. اما برخی برآوردها، محافظه کارانه تر هستند. در طی یک نظر سنجی در سال ۲۰۱۸ مشخص شده است که ۴۰ درصد از شرکتها مجبور به پرداخت باج شده اند. (که نیمی از آنها، توانستند اطلاعات را باز دریافت کنند.)
در حالیکه دانستن مقدار هزینههای صورت گرفته توسط باج افزارها مشکل است اما طبق برآوردهای صنعت باج افزار، اکنون میلیاردها دلار صرف آسیب رساندن به شرکت ها شده است. برخی از هم خانوادههای باج افزارها موفق شده اند تا میلیونها یا حتی صدها میلیون دلار درآمد را برای مجرمان اینترنتی فراهم کنند. این ارقام نشان دهندهی نوع تجارت و روش سودآوری از طریق اخاذی آنلاین باج افزارها میباشد که کمک میکند تا مشخص شود که باج افزارها در ۲ سال گذشته، تهدیدی آشکار برای افراد و سازمانها و شرکت ها بوده اند.
تاثیرات و مکانیسم باج افزار:
ممکن است کاربران با ابزارهای متفاوتی با تهدید این بد افزار مواجه شوند. باج افزارها میتوانند هنگامیکه کاربران به طور ناخواسته از وب سایت مخربی دیدن میکنند و یا هنگامیکه که یک برنامهی آلوده را دانلود میکنند، ممکن است بروی سیستم آنها بارگیری شود. راههای متفاوتی برای دسترسی باج افزارها به سیستم وجود دارد که برخی از آنها توسط ضمیمهی ویروسی که در ایمیلهای اسپم یا فیشینگ (هرزنامه ها) وجود دارد، در این حالت به محض کلیک کردن بروی لینک دریافتی، سیستمهای آسیب پذیر آلوده باج افزار میشوند.
هنگامیکه بد افزار بروی سیستمهای آسیب پذیر اجرا میشود، میتواند صفحه کلید رایانه را قفل کند و به رمز نگاری فایلهای از پیش تعیین شده بپردازد. در نخستین گام، تصویری تمام صفحه روی سیستم آلوده نمایش داده میشود، که در اعلانی نامحسوس به قربانیان میفهماند که سیستم قفل شده است و تا هنگامیکه پرداخت باج را انجام ندهند قربانیان نمیتوانند به سیستم خود دسترسی داشته باشند.
ممکن است کاربران با ابزارهای متفاوتی با تهدید این بد افزار مواجه شوند. باج افزارها میتوانند هنگامیکه کاربران به طور ناخواسته از وب سایت مخربی دیدن میکنند و یا هنگامیکه که یک برنامهی آلوده را دانلود میکنند، ممکن است بروی سیستم آنها بارگیری شود. راههای متفاوتی برای دسترسی باج افزارها به سیستم وجود دارد که برخی از آنها توسط ضمیمهی ویروسی که در ایمیلهای اسپم یا فیشینگ (هرزنامه ها) وجود دارد، در این حالت به محض کلیک کردن بروی لینک دریافتی، سیستمهای آسیب پذیر آلوده باج افزار میشوند.
هنگامیکه بد افزار بروی سیستمهای آسیب پذیر اجرا میشود، میتواند صفحه کلید رایانه را قفل کند و به رمز نگاری فایلهای از پیش تعیین شده بپردازد. در نخستین گام، تصویری تمام صفحه روی سیستم آلوده نمایش داده میشود، که در اعلانی نامحسوس به قربانیان میفهماند که سیستم قفل شده است و تا هنگامیکه پرداخت باج را انجام ندهند قربانیان نمیتوانند به سیستم خود دسترسی داشته باشند.
این مکانیسم و نحوهی عملکرد، نشان دهندهی پرداخت باج توسط کاربران را نشان میدهد.
گام دوم، باج افزار به محض در برگرفتن سیستم، مانع دسترسی کاربران به فایلهای مهم و حیاتی، هم چون : اسناد و مدارک، و برنامه های گسترده (وب) میشود.
باج افزارها با ایجاد رعب و وحشت و تهدیدات مکرر، به نوعی ترس افزار هم شناخته میشوند که کاربران را مجبور به پرداخت باج میکند. این باج افزار نوعی بدافزار است که به جای ضبط سیستم آلوده و یا رمز نگاری فایلها، نتایج اسکن ویروس جعلی را نشان میدهد.( کاربر فکر میکند که سیستم دچار ویروس شده است).
تاریخچه و سیر تکاملی باج افزار:
در حالیکه باج افزارها از سال ۱۹۸۹ وجود داشته اند، اما در چند سال گذشته، شاهد افزایش مداوم هم خانوادههای باج افزارها بودهایم که مورد استفادهی مجرمان سایبری برای انجام حملات آنها بود. تنها یک نوع از هم خانوادههای باج افزار در سال ۲۰۱۲ کشف شد و در سال ۲۰۱۶ حدود ۲۰۰ نوع جدید آن کشف شد و در سال ۲۰۱۷ این رویه با ظهور ۳۴۳ نوع جدید ادامه پیدا کرد. این موضوع نمایانگر افزایش ۶۲ درصدی باج افزارها در سالهای گذشته بوده است.
در سال ۲۰۰۵ تا ۲۰۰۶ در روسیه، گونهی جدیدی از باج افزار شناسایی شد، که این باج افزار با فشرده سازی فایلها، با استفاده از کلمهی عبور ذخیره شده برروی سیستم کاربر از وی باج خواهی میکند. همچنین این باج افزار فایل متنی را تحت عنوان مبلغ باج (جریمه) به کاربر نشان میدهد که میتواند با پرداخت آن فایلها را بازیابی کند.
در نخستین سالها، باج افزارها به طور خاص فایلهایی را که دارای فرمت ها مثل:DOC-XLS-JPG-ZIP-PDF و سایر فرمتها بودند را رمز نگاری میکردند.
در سال ۲۰۱۱ ترند میکرو – Trend Micro ( یکی از شرکتهای بزرگ ارایه دهنده ی محصولات نرم افزاری امنیتی و ضد ویروسی) گزارشی را تحت عنوان پیامکهای تهدید برانگیز باج افزار، منتشر کرد. و از کاربران دارای سیستم آلوده درخواست کرد تا سیستمهای خود را در برابر این پیامکها (با نصب نرم افزار امنیتی) ایمن کنند.
با کشف TROJ-RANSOMQOWA، این تروجان به طور مکرر برای کاربران صفحهی باج افزاری را نشان میداد تا آنها با شماره گیری، شمارهای مشخص مبلغ را پرداخت کنند.
یکی دیگر از گزارشهای قابل توجه این شرکت شامل: نوعی باج افزار است که قسمت MBR ( قسمتی از حافظه ی جانبی سیستم است که وظیفه ی اجرا و راه اندازی سیستم عامل را به صورت غیر مستقیم بر عهده دارد.) را مختل و آلوده میکند و مانع بارگذاری سیستم عامل میشود.
در حالیکه باج افزارها از سال ۱۹۸۹ وجود داشته اند، اما در چند سال گذشته، شاهد افزایش مداوم هم خانوادههای باج افزارها بودهایم که مورد استفادهی مجرمان سایبری برای انجام حملات آنها بود. تنها یک نوع از هم خانوادههای باج افزار در سال ۲۰۱۲ کشف شد و در سال ۲۰۱۶ حدود ۲۰۰ نوع جدید آن کشف شد و در سال ۲۰۱۷ این رویه با ظهور ۳۴۳ نوع جدید ادامه پیدا کرد. این موضوع نمایانگر افزایش ۶۲ درصدی باج افزارها در سالهای گذشته بوده است.
در سال ۲۰۰۵ تا ۲۰۰۶ در روسیه، گونهی جدیدی از باج افزار شناسایی شد، که این باج افزار با فشرده سازی فایلها، با استفاده از کلمهی عبور ذخیره شده برروی سیستم کاربر از وی باج خواهی میکند. همچنین این باج افزار فایل متنی را تحت عنوان مبلغ باج (جریمه) به کاربر نشان میدهد که میتواند با پرداخت آن فایلها را بازیابی کند.
در نخستین سالها، باج افزارها به طور خاص فایلهایی را که دارای فرمت ها مثل:DOC-XLS-JPG-ZIP-PDF و سایر فرمتها بودند را رمز نگاری میکردند.
در سال ۲۰۱۱ ترند میکرو – Trend Micro ( یکی از شرکتهای بزرگ ارایه دهنده ی محصولات نرم افزاری امنیتی و ضد ویروسی) گزارشی را تحت عنوان پیامکهای تهدید برانگیز باج افزار، منتشر کرد. و از کاربران دارای سیستم آلوده درخواست کرد تا سیستمهای خود را در برابر این پیامکها (با نصب نرم افزار امنیتی) ایمن کنند.
با کشف TROJ-RANSOMQOWA، این تروجان به طور مکرر برای کاربران صفحهی باج افزاری را نشان میداد تا آنها با شماره گیری، شمارهای مشخص مبلغ را پرداخت کنند.
یکی دیگر از گزارشهای قابل توجه این شرکت شامل: نوعی باج افزار است که قسمت MBR ( قسمتی از حافظه ی جانبی سیستم است که وظیفه ی اجرا و راه اندازی سیستم عامل را به صورت غیر مستقیم بر عهده دارد.) را مختل و آلوده میکند و مانع بارگذاری سیستم عامل میشود.
به منظور اجرای این روند، باج افزار نسخهی اصلی (اورجینال) MBR را کپی و آن را توسط کدهای رمز نگاری مخرب، بازنویسی میکند. و سپس سیستم را مجبور به راه اندازی مجدد میکند تا تاثیرات مخرب آن ثبت شود و پس از آن پیامی حاوی (IN RUSSIAN) را به کاربر نشان میدهد و مجددا سیستم را راه اندازی میکند.
چگونگی گسترش باج افزارها
در حالیکه باج افزارها از سال ۱۹۸۹ وجود داشته اند، اما در چند سال گذشته، شاهد افزایش مداوم هم خانوادههای باج افزارها بودهایم که مورد استفادهی مجرمان سایبری برای انجام حملات آنها بود. تنها یک نوع از هم خانوادههای باج افزار در سال ۲۰۱۲ کشف شد و در سال ۲۰۱۶ حدود ۲۰۰ نوع جدید آن کشف شد و در سال ۲۰۱۷ این رویه با ظهور ۳۴۳ نوع جدید ادامه پیدا کرد. این موضوع نمایانگر افزایش ۶۲ درصدی باج افزارها در سالهای گذشته بوده است.
تعدادی از انواع مختلف و منحصر به فرد آن برای حامیان باج افزار (یعنی مجرمان سایبری) بسیار قابل توجه است. زیرا انواع مختلف باج افزار ها دارای ویژگیهایی هستند که میتواند کمتر یا بیشتر موثر باشند. برای مثال : بسیاری از انواع باج افزارها تلاش میکنند که قربانیان را تحت فشار قرار بدهند.
اما برخی از آنها مانند Jigsaw و BitKangoroo حتی با انتخاب کردن فایلها در مدت زمان کم به حذف آنها میپردازد و احساس اضطراب و نگرانی از پرداخت باج را به قربانیان تزریق میکنند. یکی از دلایل افزایش توسعهی باج افزارها علاوه بر مجبوبیت آنها در نزد مجرمان، میزان پشتیبانی دریافت شده از سوی مجرمان سایبری است.
دسترسی به باج افزارها به عنوان ارایه دهندهی خدمات مانند Cerber و Satan و منابع پژوهش باز مانند Hidden Tear-EDA باعث شده است که باج افزارها برای مجرمان مورد استفاده قرار بگیرد تا از منابع و مهارتهای خود برای توسعهی نرم افزارهای مخرب بهره مند شوند. روند سالانه این گرایش نشانگر افزایش قابل توجهی از انواع مختلف باج افزارها میباشد. اما با یک نگاه دقیق تر به مطالعات صورت گرفته در سال ۲۰۱۷ متوجه میشویم که این قسم فعالیتها با نزدیک شدن به پایان سال کاهش یافته است.
شیوع و گسترش باج افزارها در خارج از روسیه:
باج افزارهای مخرب، نخستین بار در کشور روسیه طراحی شد. اما به دلیل محبوبیت و سودمندی خالص آن برای مجرمان، به خصوص در دنیای کسب و کار، مسیر تدریجی خود را به سراسر اروپا و کشورهای دیگر آغار کرد.
در سال ۲۰۱۲ شاهد شیوع گستردهی باج افزار های مخرب در سراسر اروپا و آمریکای شمالی بودهایم.
مورد مشابه دیگر TROJ-RANSOM.BOVE میباشد که موج حملهی مجرمان را افزایش داده است، ابن باج افزار مجرمان و هکرها را قادر ساخته تا با به نمایش گذاشتن پیغامی جعلی، خود را شبیه به سازمان اجرای قانون و یا پلیس محلی نشان بدهند، تا بتوانند کل سیستم کاربر را با نشان دادن صفحهی RANSOMWARE.POLICE گرفتار و جبران خسارت کنند.
در طول این مدت تاکتیکهای متفاوتی برای شیوع و گسترش باج افزار مورد استفاده قرار میگیرد. در سال ۲۰۱۲ شاهد حملهی مجرمان به وب سایت یک فروشگاه محبوب در فرانسه بودیم که توسط TROJ RANSOM.BOVE مورد حمله قرار گرفته بود.
در حالیکه باج افزارها از سال ۱۹۸۹ وجود داشته اند، اما در چند سال گذشته، شاهد افزایش مداوم هم خانوادههای باج افزارها بودهایم که مورد استفادهی مجرمان سایبری برای انجام حملات آنها بود. تنها یک نوع از هم خانوادههای باج افزار در سال ۲۰۱۲ کشف شد و در سال ۲۰۱۶ حدود ۲۰۰ نوع جدید آن کشف شد و در سال ۲۰۱۷ این رویه با ظهور ۳۴۳ نوع جدید ادامه پیدا کرد. این موضوع نمایانگر افزایش ۶۲ درصدی باج افزارها در سالهای گذشته بوده است.
تعدادی از انواع مختلف و منحصر به فرد آن برای حامیان باج افزار (یعنی مجرمان سایبری) بسیار قابل توجه است. زیرا انواع مختلف باج افزار ها دارای ویژگیهایی هستند که میتواند کمتر یا بیشتر موثر باشند. برای مثال : بسیاری از انواع باج افزارها تلاش میکنند که قربانیان را تحت فشار قرار بدهند.
اما برخی از آنها مانند Jigsaw و BitKangoroo حتی با انتخاب کردن فایلها در مدت زمان کم به حذف آنها میپردازد و احساس اضطراب و نگرانی از پرداخت باج را به قربانیان تزریق میکنند. یکی از دلایل افزایش توسعهی باج افزارها علاوه بر مجبوبیت آنها در نزد مجرمان، میزان پشتیبانی دریافت شده از سوی مجرمان سایبری است.
دسترسی به باج افزارها به عنوان ارایه دهندهی خدمات مانند Cerber و Satan و منابع پژوهش باز مانند Hidden Tear-EDA باعث شده است که باج افزارها برای مجرمان مورد استفاده قرار بگیرد تا از منابع و مهارتهای خود برای توسعهی نرم افزارهای مخرب بهره مند شوند. روند سالانه این گرایش نشانگر افزایش قابل توجهی از انواع مختلف باج افزارها میباشد. اما با یک نگاه دقیق تر به مطالعات صورت گرفته در سال ۲۰۱۷ متوجه میشویم که این قسم فعالیتها با نزدیک شدن به پایان سال کاهش یافته است.
شیوع و گسترش باج افزارها در خارج از روسیه:
باج افزارهای مخرب، نخستین بار در کشور روسیه طراحی شد. اما به دلیل محبوبیت و سودمندی خالص آن برای مجرمان، به خصوص در دنیای کسب و کار، مسیر تدریجی خود را به سراسر اروپا و کشورهای دیگر آغار کرد.
در سال ۲۰۱۲ شاهد شیوع گستردهی باج افزار های مخرب در سراسر اروپا و آمریکای شمالی بودهایم.
مورد مشابه دیگر TROJ-RANSOM.BOVE میباشد که موج حملهی مجرمان را افزایش داده است، ابن باج افزار مجرمان و هکرها را قادر ساخته تا با به نمایش گذاشتن پیغامی جعلی، خود را شبیه به سازمان اجرای قانون و یا پلیس محلی نشان بدهند، تا بتوانند کل سیستم کاربر را با نشان دادن صفحهی RANSOMWARE.POLICE گرفتار و جبران خسارت کنند.
در طول این مدت تاکتیکهای متفاوتی برای شیوع و گسترش باج افزار مورد استفاده قرار میگیرد. در سال ۲۰۱۲ شاهد حملهی مجرمان به وب سایت یک فروشگاه محبوب در فرانسه بودیم که توسط TROJ RANSOM.BOVE مورد حمله قرار گرفته بود.
نتایج قطرهایی این نوع تاکتیکها، تاثیرات گستردهایی در فرانسه و ژاپن داشته است تا جاییکه، باعث شده تا بسیاری از بانکها، فروشگاهها و یا مراکز خرید در برابر این نوع تاکتیکها مانند پیام جعلی آژانس پلیس فرانسه تحت عنوان ژاندارمری ملی ، جبران خسارت کنند.
افزایش باج افزارهای پلیسی و روتون:
REVETON – روتون:
این نوع از باج افزارها قابل توجه به نظر میرسد که از جانب یک منبع معتبر قانونی میباشد و کاربران به انجام فعالیتهای غیر قانونی و یا مخرب آنلاین محکوم میکند. که در اینصورت روتون برای کاربران ایالات متحده آمریکا، لوگوی پلیس FBI را نمایش میدهد.
برای اینکه باج افزار در نزد کاربران عملکرد مناسبی داشته باشد، روتون از موقعیت جغرافیایی افراد سو استفاده میکند و سپس باتوجه به آن لوگوی پلیسی مربوط به آن منطقه را نشان میدهد، به عنوان مثال کاربران مبتلا در ایالات متحده آمریکا، پیام یا هشداری از جانب باج افزار در غالب FBI دریافت میکنند، در حالیکه کسانی که در فرانسه هستند این پیام باج افزاری را در غالب لوگوی ژاندارمری ملی دریافت میکنند.
تنوع عملکرد روتون و روش پرداختهای متفاوت با حملات اولیهی آن مقایسه میشود. هنگامیکه سیستم کاربر به یکی از انواع روتونها آلوده شود، کاربران از طریق اتصالات پولی MONEYPACK, UKASH, PAYSAFECARD باج را پرداخت میکنند. این تنوع پرداختی موجب میشود که مجرمان باج افزار، یا ناشناس باقی بمانند. زیرا معمولا UKASH و PAYSAFECARD غیر قابل ردیابی هستند.
REVETON – روتون:
این نوع از باج افزارها قابل توجه به نظر میرسد که از جانب یک منبع معتبر قانونی میباشد و کاربران به انجام فعالیتهای غیر قانونی و یا مخرب آنلاین محکوم میکند. که در اینصورت روتون برای کاربران ایالات متحده آمریکا، لوگوی پلیس FBI را نمایش میدهد.
برای اینکه باج افزار در نزد کاربران عملکرد مناسبی داشته باشد، روتون از موقعیت جغرافیایی افراد سو استفاده میکند و سپس باتوجه به آن لوگوی پلیسی مربوط به آن منطقه را نشان میدهد، به عنوان مثال کاربران مبتلا در ایالات متحده آمریکا، پیام یا هشداری از جانب باج افزار در غالب FBI دریافت میکنند، در حالیکه کسانی که در فرانسه هستند این پیام باج افزاری را در غالب لوگوی ژاندارمری ملی دریافت میکنند.
تنوع عملکرد روتون و روش پرداختهای متفاوت با حملات اولیهی آن مقایسه میشود. هنگامیکه سیستم کاربر به یکی از انواع روتونها آلوده شود، کاربران از طریق اتصالات پولی MONEYPACK, UKASH, PAYSAFECARD باج را پرداخت میکنند. این تنوع پرداختی موجب میشود که مجرمان باج افزار، یا ناشناس باقی بمانند. زیرا معمولا UKASH و PAYSAFECARD غیر قابل ردیابی هستند.
در سال ۲۰۱۲ انواع متنوع روتون در نسخه های جدید و تاکتیکهای هوشمندانه رو نمایی شد و در طول دوره ی آن شرکت ترند میکرو گزارش فصل دوم سال ۲۰۱۲ خود را منتشر کرد که در آن به نوعی از باج افزار که به ضبط صوتی زبان مادری قربانیان و ارایه ی گواهی دیجیتال جعلی اشاره شده بود.
سیر تکاملی و نحوه عملکرد
در اواخر سال ۲۰۱۳ نوع دیگری از باج افزار رونمایی شد که به رمزنگاری درایوهای سیستم قربانی دسترسی پیدا میکرد و آنها را قفل میکرد. با رمزنگاری فایلها کاربران مجبور به پرداخت باج میشدند، اما با پرداخت باج هم این ضمانت وجود ندارد که فایلها باز پس گرفته شوند. با توجه به نحوه ی عملکرد این باج افزار، اینبار همانند نسخه های قبلی CRYPTO-RANSOMWARE از کابران دارای سیستم مبتلا درخواست پرداخت باج را در قبال دریافت کد رمز گشایی فایلها را دارند.
قابل توجه است که CRYPTO LOCKER از الگوریتم RSA.2048 برای رمز نگاری استفاده میکنند. طبق پژوهش های صورت گرفته مشخص شده است که اکثر باج افزارها از الگوریتم AES+RSA استفاده میکنند.
RSA نوعی کلید نامتقارن است بدان معنا که از ۲ کلید استفاده میکند: یک کلید برای رمزنگاری فایلها و دادهها و دیگری برای رمز گشایی آنها استفاده میشود. (یک کلید کلید عمومی و دیگری که توسط کاربر حفظ میشود کلید خصوصی نام دارد.)
AES هم از همان دو کلید نامتقارن برای رمز نگاری و رمز گشایی فایل و داده ها استفاده میکند. در این میان، طبق پژوهش های صورت گرفتهCRYPTO LOCKER از الگوریتم AES استفاده میکند.
AES برای رمز نگاری و رمزگشایی بد افزارها نگاشته شده است، با این حال این کلید با کلید عمومی RSAکه در بدافزار جاسازی شده است رمز نگاری میشود بدان معنا که ، شخصی که کلید خصوصی را دارد، میتواند عملیات رمز گشایی را انجام دهد.
تحقیقات اخیر حاکی از آنست که هرزنامه ها هم در کنار CRYPTO LOCKER قرار میگیرند. پیامهای اسپم یا هرزنامهها شامل ضمیمههای مخربی است که متعلق به TROJ-UPATRE که عضوی از خانوادهی باج افزارها است به حساب می آید، که با عملکردی ساده ، فایلها در حجمی کوچک که نوعی ZBOT است بارگیری میکند و سپس باج افزار CRYPTO-LOCKER را به کار می اندازد.
در اواخر سال ۲۰۱۳ نوع دیگری از CRYPTO-LOCKER گسترش پیدا کرد. که به نامهای CRYPTO-CRILOCK, WORM-CRILOCK.A شناخته شد. همانطور که از نامش پیداست این نوع ویروس میتواند همچون کرم در سیستم تکثیر شود. که این مورد در بدافزارهای مشابه دیده نمیشود. بدان معنا که این بد افزار میتواند به آسانی در مقایسه با سایر باج افزارها، همچون کرم تمام سیستم را در بگیرد. نوع جدید آن برای آلوده کردن سیستم به دانلود بد افزاری همچون CRILOCK متکی نیستند.
اما با استفاده از روش P2P ( فایل هایی که به اشتراک گذاشته میشوند در یک رایانه بزرگ مرکزی به نام سرور ذخیره میشود و هنگامیکه آدرس را در مرورگر تایپ میکنید فایلهای مربوطه جهت نمایش به رایانه ی شما منتقل میشوند.) فایل در یک سرور ذخیره نمیشود. این فایل میتواند از رایانه ی دیگری که دارای نسخه ی پشتیبان از فایل است برای شما ارسال شود.
نوع دیگر باج افزار به سرعت در غالب یک تصویر برای رمزنگاری فایلها قرار میگیرد. باج افزار CRYPTO-RANSOMWARE به عنوان CRYPTO-DEFENCE و یا CRYPTO –BIT هم معرفی میشود.
در اواخر سال ۲۰۱۳ نوع دیگری از باج افزار رونمایی شد که به رمزنگاری درایوهای سیستم قربانی دسترسی پیدا میکرد و آنها را قفل میکرد. با رمزنگاری فایلها کاربران مجبور به پرداخت باج میشدند، اما با پرداخت باج هم این ضمانت وجود ندارد که فایلها باز پس گرفته شوند. با توجه به نحوه ی عملکرد این باج افزار، اینبار همانند نسخه های قبلی CRYPTO-RANSOMWARE از کابران دارای سیستم مبتلا درخواست پرداخت باج را در قبال دریافت کد رمز گشایی فایلها را دارند.
قابل توجه است که CRYPTO LOCKER از الگوریتم RSA.2048 برای رمز نگاری استفاده میکنند. طبق پژوهش های صورت گرفته مشخص شده است که اکثر باج افزارها از الگوریتم AES+RSA استفاده میکنند.
RSA نوعی کلید نامتقارن است بدان معنا که از ۲ کلید استفاده میکند: یک کلید برای رمزنگاری فایلها و دادهها و دیگری برای رمز گشایی آنها استفاده میشود. (یک کلید کلید عمومی و دیگری که توسط کاربر حفظ میشود کلید خصوصی نام دارد.)
AES هم از همان دو کلید نامتقارن برای رمز نگاری و رمز گشایی فایل و داده ها استفاده میکند. در این میان، طبق پژوهش های صورت گرفتهCRYPTO LOCKER از الگوریتم AES استفاده میکند.
AES برای رمز نگاری و رمزگشایی بد افزارها نگاشته شده است، با این حال این کلید با کلید عمومی RSAکه در بدافزار جاسازی شده است رمز نگاری میشود بدان معنا که ، شخصی که کلید خصوصی را دارد، میتواند عملیات رمز گشایی را انجام دهد.
تحقیقات اخیر حاکی از آنست که هرزنامه ها هم در کنار CRYPTO LOCKER قرار میگیرند. پیامهای اسپم یا هرزنامهها شامل ضمیمههای مخربی است که متعلق به TROJ-UPATRE که عضوی از خانوادهی باج افزارها است به حساب می آید، که با عملکردی ساده ، فایلها در حجمی کوچک که نوعی ZBOT است بارگیری میکند و سپس باج افزار CRYPTO-LOCKER را به کار می اندازد.
در اواخر سال ۲۰۱۳ نوع دیگری از CRYPTO-LOCKER گسترش پیدا کرد. که به نامهای CRYPTO-CRILOCK, WORM-CRILOCK.A شناخته شد. همانطور که از نامش پیداست این نوع ویروس میتواند همچون کرم در سیستم تکثیر شود. که این مورد در بدافزارهای مشابه دیده نمیشود. بدان معنا که این بد افزار میتواند به آسانی در مقایسه با سایر باج افزارها، همچون کرم تمام سیستم را در بگیرد. نوع جدید آن برای آلوده کردن سیستم به دانلود بد افزاری همچون CRILOCK متکی نیستند.
اما با استفاده از روش P2P ( فایل هایی که به اشتراک گذاشته میشوند در یک رایانه بزرگ مرکزی به نام سرور ذخیره میشود و هنگامیکه آدرس را در مرورگر تایپ میکنید فایلهای مربوطه جهت نمایش به رایانه ی شما منتقل میشوند.) فایل در یک سرور ذخیره نمیشود. این فایل میتواند از رایانه ی دیگری که دارای نسخه ی پشتیبان از فایل است برای شما ارسال شود.
نوع دیگر باج افزار به سرعت در غالب یک تصویر برای رمزنگاری فایلها قرار میگیرد. باج افزار CRYPTO-RANSOMWARE به عنوان CRYPTO-DEFENCE و یا CRYPTO –BIT هم معرفی میشود.
تهاجم سرقتی سیستم دارایی های دیجیتال:
در این حالت باج افزار به سرعت شروع به ترکیب عناصر با یکدیگر میکند. در سال ۲۰۱۴ شرکت ترند میکرو دو نمونه از باج افزارهای جدید را معرفی کرد: BITCRYPT, TROJ-CRYBIT.A, TROJ-CRYBIT.B
BITCRYPT برای هر فایل رمزنگاری شده ، پیغام متنی حاوی پرداخت باج را به زبان انگلیسی نشان میدهد. و BITCRYPT2 از یادداشت های چند جانبه در ۱۰ زبان استفاده میکند.
CRIBIT از الگوریتم RSA2048 و AES و RSA1024 برای رمز نگاری فایلها استفاده میکنند. استفاده از الگوریتم AES برای رمزنگاری فایلها میباشد و پرداخت باجها بر اساس شاخص بیت کوین BITCOIN انجام میشود.
نوع دیگری از بد افزار به نام FAREIT وجود دارد که اطلاعات سیستم را به سرقت میبرد. TSPY-FAREIT.B که با بارگیری TROJ-CRIBIT.B صورت میگیرد.
باج افزار FAREIT میتواند به سرقت اطلاعات دارایی های دیجیتال و کیف پول اینترنتی شما بپردازد.که شامل WALLET.DAT.BITCOIN و WALLET.MULTIBITاست.
در این حالت باج افزار به سرعت شروع به ترکیب عناصر با یکدیگر میکند. در سال ۲۰۱۴ شرکت ترند میکرو دو نمونه از باج افزارهای جدید را معرفی کرد: BITCRYPT, TROJ-CRYBIT.A, TROJ-CRYBIT.B
BITCRYPT برای هر فایل رمزنگاری شده ، پیغام متنی حاوی پرداخت باج را به زبان انگلیسی نشان میدهد. و BITCRYPT2 از یادداشت های چند جانبه در ۱۰ زبان استفاده میکند.
CRIBIT از الگوریتم RSA2048 و AES و RSA1024 برای رمز نگاری فایلها استفاده میکنند. استفاده از الگوریتم AES برای رمزنگاری فایلها میباشد و پرداخت باجها بر اساس شاخص بیت کوین BITCOIN انجام میشود.
نوع دیگری از بد افزار به نام FAREIT وجود دارد که اطلاعات سیستم را به سرقت میبرد. TSPY-FAREIT.B که با بارگیری TROJ-CRIBIT.B صورت میگیرد.
باج افزار FAREIT میتواند به سرقت اطلاعات دارایی های دیجیتال و کیف پول اینترنتی شما بپردازد.که شامل WALLET.DAT.BITCOIN و WALLET.MULTIBITاست.
این فایلها حاوی اطلاعات مهمی از سوابق تراکنشها وتنظیمات حساب کاربری میباشد.
به کار بردن بستهی نفوذی ANGLER یا ماهیگیر:
این بستهی نفوذی صفحات حاوی این آلودگی، کلیدها و اطلاعات لازم برای اجرای این سو استفاده از سوی کار گذاران را در هر باری که صفحهها اجرا میشوند باز خوانی میکند. در سال ۲۰۱۵ بسته نفوذی ANGLER یکی از محبوب ترین بسته های نفوذی بود که برای گسترش باج افزارها استفاده میشد. و برای استفاده در مجموعهی بد افزارهای مخرب، و مهاجم، در بین رسانههای محبوبی هم چون: وب سایت های خبری و سایت های محلی بسیار قابل توجه بود.
با به روز رسانی بستهی نفوذی ANGLER این باج افزار برای آسیب رساندن به Adobe Flash ، اقدام به بارگیری محموله های مخرب میکند. لازم به ذکر است که تیم هکر PAWN.storm leak از این بسته برای حمله ی سایبری خود استفاده میکردند. این برنامه به دلیل انسجام آسانی که دارد یکی از منتخب ترین برنامهها برای گسترش باج افزارها است.
این بستهی نفوذی صفحات حاوی این آلودگی، کلیدها و اطلاعات لازم برای اجرای این سو استفاده از سوی کار گذاران را در هر باری که صفحهها اجرا میشوند باز خوانی میکند. در سال ۲۰۱۵ بسته نفوذی ANGLER یکی از محبوب ترین بسته های نفوذی بود که برای گسترش باج افزارها استفاده میشد. و برای استفاده در مجموعهی بد افزارهای مخرب، و مهاجم، در بین رسانههای محبوبی هم چون: وب سایت های خبری و سایت های محلی بسیار قابل توجه بود.
با به روز رسانی بستهی نفوذی ANGLER این باج افزار برای آسیب رساندن به Adobe Flash ، اقدام به بارگیری محموله های مخرب میکند. لازم به ذکر است که تیم هکر PAWN.storm leak از این بسته برای حمله ی سایبری خود استفاده میکردند. این برنامه به دلیل انسجام آسانی که دارد یکی از منتخب ترین برنامهها برای گسترش باج افزارها است.
حمله باج افزاری با استفاده از پاورشل:
نوع جدیدی از باج افزار Poshcoder است که قابلیت این را دارد که Windows Power Shell (یک بستر برنامه نویسی برای اجرای خودکار فرامین و وظایف مدیریتی سیستم و برنامهها را بر عهده دارد.) را برای رمزنگاری فایلها در اختیار بگیرد.
Windows Power Shell در ورژنهای جدید و ویندوزهای ۷ به بالا دیده میشود. که مجرمان سایبری اغلب از آن برای تهدیدهای نامحسوس بروی سیستم و یا شبکه ، سو استفاده میکنند.
Posh Coder از الگوریتم AES و RSA4096 کلید عمومی برای رمز نگاری فایلها استفاده میکند و بعد از آنکه تمامی فایلهای سیستم رمز نگاری شد به کاربر تصویری از قفل سیستم را نشان میدهد.
آلوده شدن فایلهای حیاتی توسط باج افزار:
در حالیکه باج افزارهای نامحسوس ممکن است توسط مهاجمان سایبری مشهود و عمومی شود اما این بدان معنا نیست که دیگر باج افزارهای مخرب از نظرها ناپدید شوند. باج افزارهای پلیسی که لوگوی پلیس آن منطقه را کپی میکردند، همچنان شاهد قفل شدن سیستمهای آلوده رایانهها هستند.
تغییر یک فایل برای مجرمان سایبری میتواند سودمند باشد. زیرا میتواند میزان اجرای کدهای مخربی که بستگی به میزان افزایش استفاده از فایل های آلوده را دارد نیز به همراه داشته باشد. این باج افزار معمولا برای آلوده کردن سیستم ویندوز های یک فایل قانونی برای مجرمان سایبری میتواند سودمند باشد. زیرا میتواند میزان اجرای کدهای مخربی که بستگی به میزان افزایش استفاده از فایل های آلوده را دارد نیز به همراه داشته باشد. باج افزار معمولا فایل user32.dll را که یک فایل حیاتی می باشد را نیز آلوده میکند.
آلوده کردن فایلهای حیاتی و مهم میتواند به عنوان یک روش تخریبی در نظر گرفته شود. زیرا میتواند با استفاده از ابزار نظارت اجرایی، مانع شناسایی شود و در لیست سفید ( لیستی از موجودیت ها که مجوز معینی برای اجرا دارند و توسط سیستم پذیرفته شده اند) قرار بگیرند. علاوه بر این پاکسازی فایل های حیاتی در ویندوز مانند user32.dll باعث میشود تا مراقبتهای ویژه ایی که در یک سیستم فراهم شده است در هم شکسته شود، که این موضوع میتواند مانع رویت شدن ابزار پاکسازی شود و روال اجرایی بارگیری باج افزار اتمام یابد.
بعد از این روال صفحه نمایش رایانه ی آلوده را قفل میکند و تصویری ازپیام پلیسی برای هزینه ایی که باید بابت باج، کاربر بپردازد را نمایش میدهد. درعرض چندین سال، باج افزار های تهدید برانگیز از رشد چشمگیری برخوردار بوده اند.
نوع جدیدی از باج افزار Poshcoder است که قابلیت این را دارد که Windows Power Shell (یک بستر برنامه نویسی برای اجرای خودکار فرامین و وظایف مدیریتی سیستم و برنامهها را بر عهده دارد.) را برای رمزنگاری فایلها در اختیار بگیرد.
Windows Power Shell در ورژنهای جدید و ویندوزهای ۷ به بالا دیده میشود. که مجرمان سایبری اغلب از آن برای تهدیدهای نامحسوس بروی سیستم و یا شبکه ، سو استفاده میکنند.
Posh Coder از الگوریتم AES و RSA4096 کلید عمومی برای رمز نگاری فایلها استفاده میکند و بعد از آنکه تمامی فایلهای سیستم رمز نگاری شد به کاربر تصویری از قفل سیستم را نشان میدهد.
آلوده شدن فایلهای حیاتی توسط باج افزار:
در حالیکه باج افزارهای نامحسوس ممکن است توسط مهاجمان سایبری مشهود و عمومی شود اما این بدان معنا نیست که دیگر باج افزارهای مخرب از نظرها ناپدید شوند. باج افزارهای پلیسی که لوگوی پلیس آن منطقه را کپی میکردند، همچنان شاهد قفل شدن سیستمهای آلوده رایانهها هستند.
تغییر یک فایل برای مجرمان سایبری میتواند سودمند باشد. زیرا میتواند میزان اجرای کدهای مخربی که بستگی به میزان افزایش استفاده از فایل های آلوده را دارد نیز به همراه داشته باشد. این باج افزار معمولا برای آلوده کردن سیستم ویندوز های یک فایل قانونی برای مجرمان سایبری میتواند سودمند باشد. زیرا میتواند میزان اجرای کدهای مخربی که بستگی به میزان افزایش استفاده از فایل های آلوده را دارد نیز به همراه داشته باشد. باج افزار معمولا فایل user32.dll را که یک فایل حیاتی می باشد را نیز آلوده میکند.
آلوده کردن فایلهای حیاتی و مهم میتواند به عنوان یک روش تخریبی در نظر گرفته شود. زیرا میتواند با استفاده از ابزار نظارت اجرایی، مانع شناسایی شود و در لیست سفید ( لیستی از موجودیت ها که مجوز معینی برای اجرا دارند و توسط سیستم پذیرفته شده اند) قرار بگیرند. علاوه بر این پاکسازی فایل های حیاتی در ویندوز مانند user32.dll باعث میشود تا مراقبتهای ویژه ایی که در یک سیستم فراهم شده است در هم شکسته شود، که این موضوع میتواند مانع رویت شدن ابزار پاکسازی شود و روال اجرایی بارگیری باج افزار اتمام یابد.
بعد از این روال صفحه نمایش رایانه ی آلوده را قفل میکند و تصویری ازپیام پلیسی برای هزینه ایی که باید بابت باج، کاربر بپردازد را نمایش میدهد. درعرض چندین سال، باج افزار های تهدید برانگیز از رشد چشمگیری برخوردار بوده اند.
کاربران روسی برای حملات سایبری خود از باج افزارهای تهدید برانگیز استفاده میکردند و همین موضوع باعث شد تا این باج افزارها در چندین کشور اروپایی و آمریکای شمالی گسترش یابد. با یک نمونه تجاری مناسب و طرح پرداختی (باج) که نامحسوس بودن را برای مجرمان فراهم میکند انتظار میرود که در سالهای آینده توسعهی باج افزارها به شدت بالا رود. بنابراین بسیار مهم است که کاربران نحوهی عملکرد باج افزار و طریقه ی ایمن ماندن از آن را بدانند.
رمزنگاری فایلها:
پیش از این گفته شد که باج افزارهای مخرب فایلهایی را که دارای پسوندهای DOC,XLS,JPG,ZIP,PDF هستند را برای رمزنگاری مورد هدف قرار میدهند. مجرمان سایبری بسیاری از فایلهای حیاتی دیگر مانند: پایگاه دادهها، فایلهای CAD، فایلهای مربوط به وبسایت، فایلهای SQL، فایلهای مربوط به مالیات، و فایلهای حافظهی مجازی، مورد هدف قرار میدهند.
گسترش باج افزارهای مدرن:
پس از انتقال باج افزارهای مخرب در کشورهای مختلف، بدافزارهای اخاذی دیگری به تکامل رسیدند.که شامل ویژگیهای جدیدی همچون: تایمر شمارش معکوس، افزایش مقدار باز پرداختی در طول زمان، و گسترش آلودگی شبکه و سرور بودند. طبق آخرین تحولات مشخص شده است که عملکرد تهدید برانگیز با ویژگی های جدیدی همراه شده است مانند: ارایه سیستمهای پرداختی جدید آسانی که در صورت عدم پرداخت باج پاکسازی فایلها صورت میگیرد.
باج افزار لاکی – LOCKY
این باج افزار در فوریه سال ۲۰۱۶ کشف شد. LOCKY در گسترش باج افزار نقش بسزایی دارد. برای اولین بار در فایب وردWORD دیده میشود که میتواند به محض اجرا ویروس باجگیر را از اینترنت بارگیری کند. و سپس به صورت نقطه ایی شروع به هک کردن آدوب فلش و یا هارد ویندوز کند. LOCKY به عنوان یکی از باج افزار های فعال و به روز رسانی شده به حساب می آید که فایل های کپی شده (Shadow Copies) و بک آپ (نسخه ی پشتیبان موجود بر روی سیستم به صورت لوکال) را حذف میکند، به همین دلیل بک آپ گرفتن آنها بی فایده است. LOCKY همچنین به دلیل حملات مکرر خود به زیر ساخت های یک بدافزار بدنام به حساب میآید.
این باج افزار در فوریه سال ۲۰۱۶ کشف شد. LOCKY در گسترش باج افزار نقش بسزایی دارد. برای اولین بار در فایب وردWORD دیده میشود که میتواند به محض اجرا ویروس باجگیر را از اینترنت بارگیری کند. و سپس به صورت نقطه ایی شروع به هک کردن آدوب فلش و یا هارد ویندوز کند. LOCKY به عنوان یکی از باج افزار های فعال و به روز رسانی شده به حساب می آید که فایل های کپی شده (Shadow Copies) و بک آپ (نسخه ی پشتیبان موجود بر روی سیستم به صورت لوکال) را حذف میکند، به همین دلیل بک آپ گرفتن آنها بی فایده است. LOCKY همچنین به دلیل حملات مکرر خود به زیر ساخت های یک بدافزار بدنام به حساب میآید.
باج افزار پتیا – PETYA
این نوع باج افزار به جای رمزنگاری فایلها، امکان دسترسی کامل به سیستم را با استفاده از حمله به زیرساختهای دیسک و درایو، غیر ممکن میسازد و اولین بار در مارچ ۲۰۱۶ کشف شد. این باج افزار رکورد MBR را آلوده میکند و از طریق سرویس های ذخیره سازی مانند Dropbox دوباره نویسی میکند.
این نوع باج افزار به جای رمزنگاری فایلها، امکان دسترسی کامل به سیستم را با استفاده از حمله به زیرساختهای دیسک و درایو، غیر ممکن میسازد و اولین بار در مارچ ۲۰۱۶ کشف شد. این باج افزار رکورد MBR را آلوده میکند و از طریق سرویس های ذخیره سازی مانند Dropbox دوباره نویسی میکند.
باج افزار سربر – CERBER
هنگامیکه این باج افزار در اوایل ماه مارچ ۲۰۱۶ کشف شد دارای ویژگی هایی همچون: بازخوانی (صدا) در پیام اخاذی بود. CERBER دارای تنظیم پیکر بندی فایل است و این موضوع باعث میشود که توزیع کنندگان آن را قانع سازد تا اجزای آن را تغییر دهند. یکی دیگر از ویژگیهای این بدافزار این است که در مارکتهای زیرزمینی دارک وب به فروش میرسد. سربر معمولا به دلیل استفاده ایی که در حملات نامحسوس میلیون ها کاربر مایکروسافت۳۶۵ دارد، شناخته شده است.
هنگامیکه این باج افزار در اوایل ماه مارچ ۲۰۱۶ کشف شد دارای ویژگی هایی همچون: بازخوانی (صدا) در پیام اخاذی بود. CERBER دارای تنظیم پیکر بندی فایل است و این موضوع باعث میشود که توزیع کنندگان آن را قانع سازد تا اجزای آن را تغییر دهند. یکی دیگر از ویژگیهای این بدافزار این است که در مارکتهای زیرزمینی دارک وب به فروش میرسد. سربر معمولا به دلیل استفاده ایی که در حملات نامحسوس میلیون ها کاربر مایکروسافت۳۶۵ دارد، شناخته شده است.
باج افزار سم سم – SAMSAM
این باج افزار نیز در سال ۲۰۱۶ در ماه مارچ رونمایی شد. SAMSAM پس از حمله به سرورهایی که آخرین وصلههای آسیب پذیریهای منتشر شده را دریافت نکرده بودند نصب میشود و به جای نشان دادن آدرس های مخرب و ایمیل های اسپم برای آسیب رساندن به سیستم های دیگر استفاده میشود.
این باج افزار نیز در سال ۲۰۱۶ در ماه مارچ رونمایی شد. SAMSAM پس از حمله به سرورهایی که آخرین وصلههای آسیب پذیریهای منتشر شده را دریافت نکرده بودند نصب میشود و به جای نشان دادن آدرس های مخرب و ایمیل های اسپم برای آسیب رساندن به سیستم های دیگر استفاده میشود.
باج افزار JIGSAW
اولین نوع JIGSAW در آپریل ۲۰۱۶ نمایان شد که چندین تاکتیک موثر و تهدید برانگیز را با روشی نوین (ابداعی) ترکیب میکند. یک تصویر برگرفته از فیلم ترسناک اره (SAW) به همراه یک پیام هشدار دهنده ی ترسناک توسط این بدافزار فرستاده میشود.این باج افزار از تایمر شمارش معکوس استفاد میکند و اگر پرداخت در ظرف مدت معلوم انجام نشود JIGSAW پرونده ها را یکی پی از دیگیری پاک میکند. نوعی دیگر JIGSAW دارای یک ویژگی پشتیبانی چت است که اجازه میدهد قربانیان، با مهاجمان اینترنتی تماس برقرار کنند.
بزرگترین حملات تا به امروز:
اگرچه برنامهی باج افزارها مجموعا جدید نیستند اما آنها هنوز هم توسط کاربران استفاده میشوند. برای مثال نوع دیگر باج افزارها واناکرای است که به صورت اورجینال توسط آدرسهای مخرب Dropbox در هرز نامهها جاسازی شده است. واناکرای با استفاده از آسیب پذیری سرویس SMB حمله میکند. تا به امروز یکی از بزرگترین حملههای باج افزار به شمار میرود.
پس از تقریباً یکسال، ما شاهد افزایش ۷۵۲% ای باج افزارها و موارد مشابه دیگر آن بوده ایم.
اولین نوع JIGSAW در آپریل ۲۰۱۶ نمایان شد که چندین تاکتیک موثر و تهدید برانگیز را با روشی نوین (ابداعی) ترکیب میکند. یک تصویر برگرفته از فیلم ترسناک اره (SAW) به همراه یک پیام هشدار دهنده ی ترسناک توسط این بدافزار فرستاده میشود.این باج افزار از تایمر شمارش معکوس استفاد میکند و اگر پرداخت در ظرف مدت معلوم انجام نشود JIGSAW پرونده ها را یکی پی از دیگیری پاک میکند. نوعی دیگر JIGSAW دارای یک ویژگی پشتیبانی چت است که اجازه میدهد قربانیان، با مهاجمان اینترنتی تماس برقرار کنند.
بزرگترین حملات تا به امروز:
اگرچه برنامهی باج افزارها مجموعا جدید نیستند اما آنها هنوز هم توسط کاربران استفاده میشوند. برای مثال نوع دیگر باج افزارها واناکرای است که به صورت اورجینال توسط آدرسهای مخرب Dropbox در هرز نامهها جاسازی شده است. واناکرای با استفاده از آسیب پذیری سرویس SMB حمله میکند. تا به امروز یکی از بزرگترین حملههای باج افزار به شمار میرود.
پس از تقریباً یکسال، ما شاهد افزایش ۷۵۲% ای باج افزارها و موارد مشابه دیگر آن بوده ایم.
نقشه تقسیم حملات باج افزاری انجام شده از ژانویه ۲۰۱۶ تا مارس ۲۰۱۷
واناکرای بزرگترین حمله باج افزاری جهان:
در ماه مه سال ۲۰۱۷ Wannacry یکی از محبوب ترین باج افزارها در میان مجرمان سایبری بود که در حال حاضر به عنوان بزرگترین، باج افزار در تاریخ شناخته شده است. در حالیکه موج اولیهی این آلودگی به سرعت کشف شد، اما به طور باور نکرنی توسط یک Kill switch متوقف شد.
به لحاظ تاریخی، تهدیدهای باج افزارها، از طریق اسپم، استفاده از Exploit ها و یا بد افزارها گسترش پیدا کرده است. این امکانات فرصت را برای گسترش باج افزارها فراهم میکند. اما Wannacry مانند یک کرم رایانهایی از طریق پورتهای آسیب پذیر SMB پخش میشد و دستگاه را آلوده میکرد و سپس به طور خودکار در میان شبکهها گسترش پیدا میکرد تا باعث آلودگی بیشتری شود و به سرعت گسترش پیدا کند.
این تفاسیر میتواند بیانگر این باشد که چرا در ماه مه گذشته، اکثر سازمانها به این ویروس آلوده شده اند؟
ریشه کن کردن این کرم ها Worms بسیار کار مشکلی است و تعدادی از دستگاههای حاوی این ویروس در نتیجه ی اقدامات مکرر، تلاش کرده اند که آلودگی را در شبکه های اطراف گسترش دهند و مشکلات IT را برای سازمانها بوجود بیاورند.
این همان دلیلی است که نشان میدهد چرا تهدیدات Downadup/Confiker Worm که تقریبا در ۱۰ سال پیش، با آن روبرو شده ایم، هم چنان تلاش میکنند تا میلیون ها دستگاه را سالانه آلوده کنند. همانطور که در نمودار پایین مشاهده مشاهده میکنیم، گسترش شیوع Wannacry در بالاترین اندازه درنمودار F-Secure قرار دارد که نمایانگر غالب بودن این بدافزار نسبت به باج افزارهای دیگر است. تا پایان سال ، ۹ عدد از ۱۰ گزارش تشخیص باج افزار به Wannacry بر میگردد. شیوع مداوم Wannacry ممکن است موجب تعجب شود.
بدون در نظر گرفتن رمزنگاری فایلها، این بدافزار تاثیرات کم و قابل توجهی را بروی قربانیان داشته است، اما این نسخه همچنان به دلیل استفاده از پهنای باند Worms به منظور آسیب رساندن به قربانیان به از کار افتادگی و قطع برق سرویسها میپردازد.
اکثریت گزارشهایی که در سال ۲۰۱۷ در خصوص این باج افزار کشف شده از کشور های آسیایی، بوده است. اما گزارشهای اخیر، شیوع آلودگی های Wannacry در ایالات کنتیکت و کارولینای شمالی را تصدیق میکند که این باج افزار در سایر نقاط جهان نیز برای مجرمان، فعال و سودمند بوده است.
خلاص شدن از این بدافزار بسیار مشکل است اما سازمانها میتوانند با تنظیمات مجدد، از شیوع گسترش و تهدیدهای آنها جلوگیری کنند و راههای نفوذی را مسدود کنند. در خصوص این باج افزار باید گفت که: Wannacry مانع پذیرش ترافیکهای ورودی از پورتهای ۱۳۵-۱۳۷-۱۳۸-۴۴۵ میشود (مگر اینکه برای سرور خاصی باشد) و همچنین ترافیک های خروجی سرور ها را مسدود میکند.
نصب وصلههای امنیتی یکی دیگر از اقدامات پیشگیرانهی کلیدی است اما با وجود ادامه یافتن Wannacry براساس گزارشات کشف شده، مشخص شده است که حتی فقدان دستگاه های وصله نشده ی آسیب پذیر نیز نمیتواند مانع نفوذ و حملات آسیب پذیر SMB و شیوع Wannacry و Notpetya شود.
آینده ی باج افزارها:
اگر باج افزارها در چندین سال آینده دچار تغییر و تحول شوند اصلا جای تعجب نیست. در اصطلاح آنها میتوانند بدافزارهایی را تولید کنند که کل زیر ساخت ها را غیر فعال کنند. (این موضوع وضعیتی بحرانی نه تنها برای دنیای کسب و کار بلکه برای شهرها و یا دیگر مللها به حساب می آید.) تا زمانیکه مبلغ باج خواهی پرداخت شود.
مجرمان سایبری ممکن است به زودی دست به حمله های سیستم های کنترل صنعتی ICS و سایر زیر ساخت های حیاتی، نه تنها برای بدست آوردن شبکهها بلکه برای در بر گرفتن اکو سیستمها بزنند. یک منطقهی کلیدی صنعتی نیز میتواند هدف بزرگی برای سیستم های پرداخت مجرمان سایبری به حساب آید. هماهنطور که در سال ۲۰۱۶ به حمل و نقل حوزهی خلیج فارس که در آن کیوسک هایی برای پرداخت خدمات حضور داشت، توسط باج افزارها و مجرمان سایبری مورد هدف قرار گرفتهه بود.
ما حتی صدمات وارد شده باج افزارها را به بیمارستانها و شرکت های حمل و نقل دیده ایم. اما چه چیزی باعث میشود که مهاجمان را از صدمه وارد کردن به اهداف بزرگتر مثل: صنعت روبات سازی، که در بخش تولید در حال گسترش هستند و یا زیر ساخت هایی که امروزه شهرهای هوشمند را به یکدیگر متصل کند، باز دارد؟
اخاذی های آنلاین مجبور میکنند تا سرورها و رایانههایی را که حفاظت کمتری برای اتصال دارند را گروگان بگیرند، که شامل دستگاه های هوشمندانه و یا زیر ساخت های مهم و حیاتی و سهولت ایجاد تهدید و سود حاصل از آن به مجرمان سایبری این اطمینان را میدهد که در آینده نیز این روند ادامه خواهد یافت.
اگر باج افزارها در چندین سال آینده دچار تغییر و تحول شوند اصلا جای تعجب نیست. در اصطلاح آنها میتوانند بدافزارهایی را تولید کنند که کل زیر ساخت ها را غیر فعال کنند. (این موضوع وضعیتی بحرانی نه تنها برای دنیای کسب و کار بلکه برای شهرها و یا دیگر مللها به حساب می آید.) تا زمانیکه مبلغ باج خواهی پرداخت شود.
مجرمان سایبری ممکن است به زودی دست به حمله های سیستم های کنترل صنعتی ICS و سایر زیر ساخت های حیاتی، نه تنها برای بدست آوردن شبکهها بلکه برای در بر گرفتن اکو سیستمها بزنند. یک منطقهی کلیدی صنعتی نیز میتواند هدف بزرگی برای سیستم های پرداخت مجرمان سایبری به حساب آید. هماهنطور که در سال ۲۰۱۶ به حمل و نقل حوزهی خلیج فارس که در آن کیوسک هایی برای پرداخت خدمات حضور داشت، توسط باج افزارها و مجرمان سایبری مورد هدف قرار گرفتهه بود.
ما حتی صدمات وارد شده باج افزارها را به بیمارستانها و شرکت های حمل و نقل دیده ایم. اما چه چیزی باعث میشود که مهاجمان را از صدمه وارد کردن به اهداف بزرگتر مثل: صنعت روبات سازی، که در بخش تولید در حال گسترش هستند و یا زیر ساخت هایی که امروزه شهرهای هوشمند را به یکدیگر متصل کند، باز دارد؟
اخاذی های آنلاین مجبور میکنند تا سرورها و رایانههایی را که حفاظت کمتری برای اتصال دارند را گروگان بگیرند، که شامل دستگاه های هوشمندانه و یا زیر ساخت های مهم و حیاتی و سهولت ایجاد تهدید و سود حاصل از آن به مجرمان سایبری این اطمینان را میدهد که در آینده نیز این روند ادامه خواهد یافت.
بیت کوین:
برخلاف برخی باج افزارها که برای باج خواهی خود مبلغ زیادی را مطالبه میکنند، اکثر باج افزارها معمولا از سال ۲۰۱۶ به بعد بین ۰٫۵ تا ۵ بیت کوین در ازای رمز گشایی درخواست میکنند. شاخص بیت کوین برای مجرمان سایبری به ۲ دلیل از اهمیت خاصی برخوردار است: برخی از آنها باز پرداخت را افزایش میدهند و برخی مدت زمان تایید تراکنشها و کارمزدها که بعضا گران و ترسناک هستند را درنظر میگیرند.
در نتیجه زمان بیشتری برای عدم پرداختها سپری میشود. نرخ ارز بیت کوین همچنان در حال افزایش است. درژانویه ۲۰۱۶ یک بیت کوین معادل ۴۳۱ دلار آمریکا بود. ارزش بیت کوین به طور چشمگیری در حال افزایش است و از آن پس در پایان سال ۲۰۱۷ به نزدیک ۲۰ هزار دلار هم رسیده است.
برخلاف برخی باج افزارها که برای باج خواهی خود مبلغ زیادی را مطالبه میکنند، اکثر باج افزارها معمولا از سال ۲۰۱۶ به بعد بین ۰٫۵ تا ۵ بیت کوین در ازای رمز گشایی درخواست میکنند. شاخص بیت کوین برای مجرمان سایبری به ۲ دلیل از اهمیت خاصی برخوردار است: برخی از آنها باز پرداخت را افزایش میدهند و برخی مدت زمان تایید تراکنشها و کارمزدها که بعضا گران و ترسناک هستند را درنظر میگیرند.
در نتیجه زمان بیشتری برای عدم پرداختها سپری میشود. نرخ ارز بیت کوین همچنان در حال افزایش است. درژانویه ۲۰۱۶ یک بیت کوین معادل ۴۳۱ دلار آمریکا بود. ارزش بیت کوین به طور چشمگیری در حال افزایش است و از آن پس در پایان سال ۲۰۱۷ به نزدیک ۲۰ هزار دلار هم رسیده است.
راههای ممانعت از باج افزارها:
یک ایمیل که حاوی باج افزار لاکی می باشد
۱- از باز کردن ایمیل ها ی تایید نشده و یا لینک های جاسازی شده در آن خودداری کنید.
۲- از فایل های مهم خود نسخه ی پشتیبان بگیرید. از قانون ۳۲۱ استفاده کنید.۳ نسخه ی پشتیبان را در ۲ رسانهی مختلف همراه با ۱ بکاپ در محل جداگانه و ترجیحا خارج از شبکه.
۳- به طور منظم نرم افزارها، برنامهها و آنتی ویروسهای خود را بروز رسانی کنید.
