باج‌گیرهای دنیای مدرن مجازی

حدود دو هفته پیش بود که باج‌افزاری به نام «وانا کرای» هزاران کاربر خانگی و کسب‌وکارها را مورد حمله قرار داد و نگرانی جدی کاربران را در سراسر دنیا به همراه داشت. در واقع حمله این باج‌افزار آن‌قدر جدی بود که حتی اگر کاربری چندان هم به‌دنبال کردن اخبار حوزه امنیت علاقه نداشت، مجبور بود برای فرار از راه‌های احتمالی نفوذ این باج‌افزار اخبار و اخطارها را دنبال کند. دامنه نفوذ این باج‌افزار حتی به ایران هم رسید و براساس گزارش روابط‌عمومی سازمان فناوری اطلاعات ایران، بیش از ۲۰۰۰ مورد ابتلا به باج‌افزار واناکرای در ایران گزارش شده است. بیشترین آلودگی از طریق این باج‌افزار به ترتیب متعلق به اپراتورهای ارتباطی، سلامت و پزشکی و دانشگاهی بوده و بیشترین استان‌های آلوده هم تهران و اصفهان بوده‌اند. موج افزایش حملات باج‌افزاری در سال‌های اخیر کاملا محسوس بوده است، تا جایی که طبق گزارش‌های شرکت کسپرسکی، بیش از ۷۰۰ هزار کاربر توسط بدافزارهای باج‌خواهی طی یک سال مورد حمله قرار گرفته‌اند.

بخشی از این گزارش که مربوط به باج‌افزارها است، با زیر نظر گرفتن روند حملات باج‌افزاری بین سال ۲۰۱۴ و ۲۰۱۶، شکل‌گیری خاصی از این روندها را کشف کرده است. بین ماه آوریل ۲۰۱۵ تا مارس ۲۰۱۶، بیش از ۷۰۰ هزار کاربر توسط باج‌افزارهای قفل‌گذار مورد حمله قرار گرفته‌اند که با از دست دادن فایل‌های خود درخواست تبادل پولی از طریق بیت‌کوین داده‌اند. این موضوع نشان از موفقیت‌آمیز بودن حملات باج‌افزاری در سطح وسیع دارد که آن را تبدیل به تجارت سودآوری برای هکرها کرده است. این آمار ارائه شده ۵/ ۵ برابر بیشتر از همین بازه زمانی ۲۰۱۴ تا ۲۰۱۵ بوده که بیش از ۱۳۱ هزار مورد گزارش شده است. به این ترتیب کسپرسکی لقب «اپیدمی» را به این رشد جهشی داده است. با این اوصاف حالا باج‌افزارها شکلی جدی و خطرناک پیدا کرده‌اند تا یک بار دیگر نه‌تنها توجه کارشناسان امنیتی، بلکه توجه کاربران سراسر دنیا را به خودشان جلب کنند. بنابراین شاید بد نباشد کمی بیشتر درباره باج‌افزارها، انواع مختلف آنها و البته تاریخچه‌شان بدانیم.

 

بدافزارهای بدقلق

باج‌افزار‌ها نوعی از بدافزارها هستند که دسترسی به سیستم را محدود کرده و ایجادکننده آن برای برداشتن محدودیت درخواست باج می‌کند. برخی از انواع آنها روی فایل‌های هارددیسک رمزگذاری انجام می‌دهند و برخی دیگر ممکن است به سادگی سیستم را قفل کنند و پیام‌هایی روی نمایشگر نشان دهند که از کاربر می‌خواهند مبالغی را واریز کند. جالب است بدانید که باج‌افزارها ابتدا در روسیه مشاهده شدند، اما اخیرا تعداد حملات باج‌افزارها به کشورهای دیگر از جمله استرالیا، آلمان و ایالات‌متحده آمریکا هم افزایش یافته است. باج‌افزارها از راه‌های مختلفی مانند کرم‌ها منتشر می‌شوند و پس از نصب و اجرا شروع به اعمالی مانند رمزگذاری هارددیسک می‌کنند. باج‌افزارهای پیشرفته‌تر با استفاده از کلید عمومی فایل‌ها را رمزنگاری می‌کنند و کلید خصوصی لازم برای بیرون آوردن فایل‌ها از حالت رمز شده تنها در دستان طراح باج‌افزار است.

کاربر برای باز کردن فایل‌هایش مجبور به پرداخت وجه به حساب طراح باج‌افزار می‌شود. برخی دیگر از باج‌افزارها رمزگذاری انجام نمی‌دهند، بلکه از روش‌های دیگری مثل اختصاص پوسته سیستم عامل به خود یا تغییر رکوردهای مربوط به بوت، استفاده از سیستم را مختل می‌کنند. باج‌افزارها برای دریافت پول از کاربر پیام‌های مختلفی به او نمایش می‌دهند. به‌عنوان مثال پیام فعال‌سازی سیستم عامل ویندوز را نمایش می‌دهند که می‌گوید ویندوز به فعال‌سازی مجدد نیاز دارد، یا اینکه پیامی مبتنی بر پیدا شدن داده‌های غیرقانونی مانند نرم‌افزارهای کرک شده یا پورنوگرافی کودکان به کاربر نمایش می‌دهند و کاربر را از پیگرد قانونی می‌ترسانند. در نهایت کاربر جهت بازیابی فایل‌ها و حذف پیام‌های باج‌افزار باید مبلغی را پرداخت کند. این مبلغ اغلب به روشی از کاربر گرفته می‌شود که قابل بازپس‌گیری نباشد؛ مثلا از طریق پیام کوتاه شارژی یا سیستم یوکش که به تازگی استفاده از پول الکترونیکی بیت‌کوین هم برای این کار مرسوم‌تر شده است. در سال‌های اخیر باج‌افزارها بیشتر مورد توجه قرار گرفته‌اند و یکی از مهم‌ترین موضوعات رسانه‌ها هستند. با این حال اما این بدافزار چندان هم تازه‌وارد و جدید نیست. اولین باج‌افزار در سال ۱۹۸۹ یعنی ۲۷ سال پیش کشف شد که تروجان AIDS بود.

این باج‌افزار که PC Cyborg هم نامیده می‌شد، کامپیوترهای شخصی زیادی را آلوده کرد. این باج‌افزار جایگزین فایل Autoexec.bat شده و تعداد دفعات بوت‌شدن کامپیوتر را حساب می‌کرد. زمانی که تعداد دفعات این بوت‌ها به نود می‌رسید، AIDS دایرکتوری‌ها را مخفی و نام فایل‌ها را روی هارد رمزنگاری می‌کرد تا به این ترتیب سیستم غیرقابل استفاده شود. نود روز مدت زمانی بود که کاربر فرصت داشت تا لایسنس برنامه PC Cyborg را که اعتبارش خاتمه یافته بود، تمدید کند و برای این کار باید با PC Cyborg Corporation تماس گرفته و ۱۸۹ دلار پرداخت می‌کرد. این مبلغ باید به یک جعبه پستی در پاناما ارسال می‌شد. AIDS در چندین نسخه وجود داشت و با اولین بوت کامپیوتر نصب شده و به کاربر قرارداد لایسنس برنامه را نمایش می‌داد. در این قرارداد آمده بود که کاربر کل هزینه استفاده از آن را باید به شرکت PC Cyborg بپردازد و در صورت نقض این قرارداد این شرکت می‌تواند تدابیر قانونی لازم برای پرداخت دین کاربر به این شرکت را اتخاذ کند.

همچنین هشدار داده شده بود که در صورت پرداخت نکردن مبلغ لایسنس، کامپیوتر شخصی کاربر دیگر کار نخواهد کرد. جالب‌تر اینکه در این قرار داد قید شده بود که کاربر حق ندارد این برنامه را با اشخاصی دیگر به اشتراک بگذارد. در چند سال اخیر این برنامه‌های باج‌گیری رواج زیادی پیدا کرده‌اند و اغلب کاربران کم‌وبیش با نام و روش آنها توسط رسانه‌ها آشنا شده‌اند. باج‌افزارها انواع بسیاری دارند. هر چند نمی‌توان همه آنها را نام برد، اما می‌توان آنها را به سه دسته تقسیم کرد که عبارتند از: باج‌افزارهایی که برنامه‌ها را مسدود می‌کنند، باج‌افزارهایی که فایل‌ها را رمزنگاری می‌کنند و در نهایت باج‌افزارهایی از طریق وب‌سایت‌ها عمل کرده و محتوا را قفل می‌کنند. باج‌افزارهای دسته اول به‌خصوص از پنجره‌های پاپ‌اپ روی برنامه‌هایی دیگر استفاده می‌کنند و به این ترتیب برنامه را مسدود ساخته و مانع کار کاربر می‌شوند. معمولا این باج‌افزارها کاربر را متهم به جرمی که مرتکب نشده می‌کنند؛ مانندFBI Moneypak. اغلب پیام‌های نمایش داده شده در پاپ‌اپ توسط این باج‌افزارها با غلط‌های املایی هم همراه هستند. دسته دوم یا باج‌افزارهایی که فایل‌ها را رمزگذاری می‌کنند، بیشتر از دسته اول دردسرساز هستند.

این باج‌افزارها مخفیانه اقدام به رمزنگاری فایل‌ها کرده و سپس پیامی را به کاربر نمایش می‌دهند که در آن گفته شده است فایل‌هایشان رمزنگاری شده و برای آزاد کردن آنها باید کلید رمز را خریداری کنند. بعضی از این باج‌افزارها کنتوری را هم نمایش می‌دهند که وقتی به صفر برسد، تمام رمز فایل‌ها منهدم خواهد شد و در نتیجه کاربر دیگر هرگز قادر به دسترسی به فایل‌های خود نخواهد بود. با همین تهدید است که اغلب کاربرانی که پیشگیری‌های لازم را برای آلوده نشدن به چنین بدافزارهایی نکرده‌اند، نگران شده و باج مطالبه شده را پرداخت می‌کنند. پرداخت باج درخواستی معمولا با بیت‌کوین انجام می‌شود، چون پول مجازی است و در عین حال ناشناس بودن را تضمین می‌کند. سومین دسته باج‌افزارها شاید نوعی است که راحت‌تر کاربران را به دام انداخته و کاربران بیشتر احتمال مواجه شدن با آن را دارند. این باج‌افزار در واقع به صورت ثبت‌نامی اجباری و غیر رایگان برای یافتن اجازه دانلود یک فایل است.

از میان چنین سایت‌های آلوده‌ای ShareCash و FileIce از همه معروف‌تر هستند. کاربر با کلیک روی لینکی برای دانلود فایلی با پنجره‌ای چند گزینه‌ای روبه‌رو می‌شود که مسلما همه این گزینه‌ها غیر رایگان هستند، اما کاربر برای دسترسی به فایل مورد نظر و امکان دانلود آن باید در ابتدا روی یکی از این گزینه‌ها کلیک کند و برای دانلود فایل، دادن یک شماره موبایل و مبلغ درخواستی اجباری است. در این دسته سوم می‌توان باج‌افزار Ransom32 که در واقع خالق باج‌افزارهای درخواستی است و از جاوا اسکریپت برای آلوده کردن کامپیوترها استفاده می‌کند را مثال زد.

 

مهم‌ترین و خطرناک‌ترین باج‌افزارها

تا پیش از شیوع باج‌افزار وانا کرای، باج‌افزارهای رایج و خطرناک دیگری هم کاربران را نگران کرده‌اند. روتون یکی از این باج‌افزارها بود که در سال ۲۰۱۲ به شکل یک کرم شروع به پخش شدن کرد و پس از اجرا روی سیستم قربانی پیامی به کاربر نشان می‌داد که از یک منبع قانونی معتبر به نظر می‌آمد. در این پیام به کاربر گفته می‌شد که سیستم او برای کارهای غیرقانونی مانند دریافت پورنوگرافی کودکان و نرم‌افزارهای کرک شده مورد استفاده قرار گرفته است. برای اینکه حس ردیابی شدن سیستم در کاربر بیشتر شود، آدرس IP کاربر و همچنین در صورت وجود وب‌کم، تصویرهایی به کاربر نمایش داده می‌شد و کاربر برای استفاده دوباره از سیستم باید جریمه پرداخت می‌کرد. این جریمه‌ها از سیستم‌های انتقال پولی مثل یوکش به طراح روتون منتقل می‌شد. روتون در اوایل سال ۲۰۱۲ در اروپا انتشار پیدا کرد. این باج‌افزار با توجه به کشور قربانی، لوگوی پلیس همان کشور را به کاربر نمایش می‌داد.

مثلا در انگلستان از لوگوی سرویس پلیس شهری این کشور استفاده می‌شد. همین مساله باعث شد تا سرویس پلیس شهری انگلستان به صورت عمومی اعلام کند که برای بررسی کارهای غیرقانونی هیچ‌وقت سیستم کاربر به این شکل قفل نمی‌شود. در آگوست ۲۰۱۲، روتون در آمریکا انتشار پیدا کرد و درخواست پرداخت ۲۰۰ دلار به FBI را می‌کرد. کریپتو لاکر هم یک باج‌افزار مهم دیگر است که در سپتامبر ۲۰۱۳ با استفاده از کلید عمومی ۲۰۴۸ بیتی شروع به رمزنگاری فایل‌های با پسوند خاصی از کاربران آلوده کرد. کریپتولاگر کاربران را به حذف کلید خصوصی این رمز نگاری در صورت پرداخت نشدن هزینه در عرض سه روز تهدید می‌کرد. البته امکان به‌دست آوردن کلید خصوصی بعد از آن نیز با پرداخت هزینه نسبتا زیاد ده بیت‌کوین وجود داشت. با توجه به کلید بسیار طولانی استفاده شده در رمزنگاری، عملیات رمزگشایی بسیار طولانی می‌شد و همین باعث خطرناک بودن کریپتولاکر بود.

 

مقابله با باج‌افزارها

بهترین کاری که در مواجهه با باج‌افزارها می‌توان کرد، قبل از هر چیز ذخیره کردن داده‌ها هر چند وقت یک بار یا پشتیبان‌‌گیری از داده‌ها با برنامه‌هایی است که قابلیت هماهنگ‌سازی نسخه‌های جدیدتر داده‌ها را دارند. بهتر است این کار را روی دستگاهی غیر از کامپیوتر شخصی انجام شود که مدام به کامپیوتر جز برای انتقال داده‌ها متصل نیست، چون با این کار نیازی به پرداخت مبلغ باج درخواست شده نیست و می‌توان با یک کلیک دوباره آنها را بازگرداند، یا مثلا به صورت مرتب از فایل‌های خود نسخه پشتیبان تهیه کرده، آنها را رمزگذاری کرده و در سرویس‌های ذخیره آنلاین نگهداری کرد. برای پیشگیری از آلودگی، همه آنچه که همیشه تکرار می‌شود یعنی به‌روز رسانی سیستم و تمام نرم‌افزارهای نصب شده، کلیک نکردن روی هر لینکی، وارد نشدن به سایت‌های مظنون، باز نکردن فایل‌های پیوست مشکوک و در نهایت داشتن یک آنتی‌ویروس و آنتی‌ملویر خوب توصیه می‌شود. فراموش نکنید که اکستنشن فایل‌ها را هم از حالت مخفی بیرون بیاورید. در صورت آلوده شدن کامپیوتر شخصی‌تان به باج‌افزار مهم‌ترین اقدام اسکن کامل کامپیوتر و پاک‌سازی آن است، چون بسیار احتمال دارد که برنامه‌های مخرب دیگری هم همزمان با باج‌افزار نصب شده باشند. تنها راه، بازیابی فایل‌ها از یک نسخه پشتیبان یا ذخیره قبلی است که اگر ساخته نشده باشد راه دیگری جز پرداخت باج در صورت اهمیت فایل‌ها باقی نمی‌ماند.

منبع:

http://itiran.com/node/74545