باج افزار (Ransomware) چیست؟ آشنایی با باج افزارها و نحوه عملکرد آن ها

1 274
۵/۵ - (۶ امتیاز)

باج افزار (Ransomware) چیست؟

باج افزار ها یا Ransomware را می‌توان نوعی از فایل‌های مخرب (بدافزار) دانست که اطلاعات سیستم قربانی را رمز (Encrypt) می‌کنند تا قربانی نتواند به اطلاعات خودش دست پیدا کند! عموما بعد از رمز شدن تمام اطلاعات قربانی، مهاجم درخواست باج می‌کند.

اولین باج افزار 

اولین مورد از این نوع حملات، حمله‌ای است که در سال ۱۹۸۹ انجام شد. این حمله توسط Joseph Popp که یک محقق در زمینه ایدز بود صورت گرفت. او ۲۰ هزار فلاپی را در ۹۰ کشور تحت عنوان “برنامه سنجش میزان ریسک ابتلا به ایدز” منتشر کرد! درون فلاپی یک پرسشنامه وجود داشت که با بدافزار دکتر Popp همراه شده بود. به همین دلیل نام این بدافزار را نسخه دیجیتالی ایدز انتخاب کردند. نحوه عملکرد بدافزار به این صورت بود که درون سیستم قرار می‌گرفت و بعد از ۹۰ بار روشن شدن سیستم فعال می‌شد! وقتی برای ۹۱ امین بار سیستم روشن می‌‍شد، یک پیام باج‌گیری برای کاربر نمایش داده می‌شد.

نحوه عملکرد باج افزار

عموم باج‌افزار ها به روش‌های مهندسی اجتماعی (همانند نمونه بالا) به سیستم‌های قربانی دست پیدا می‌کنند. در این حالت قربانی متقاعد می‌شود که یک فایل را برروی سیستم خود دانلود کند. پس از باز کردن آن و طی کردن مراحلی که به‌نظر طبیعی و بدون مشکل هستند، باج‌افزار شروع به رمز کردن فایل‌ها می‌کند. پس در این روش مهندسی اجتماعی اهمیت زیادی دارد. چرا که مهاجم باید در گام اول قربانی را متقاعد کند که یک فایل را دانلود کند و در گام بعدی، آن را اجرا کند.

اما روش دیگری نیز برای انتقال باج‌افزارها به سیستم قربانی وجود دارد. در این روش مهاجم از حفره‌های امنیتی سیستم هدف استفاده می‌کند و از طریق آن بدافزار خود را به سیستم قربانی تزریق می‌کند. در این روش عموما دیگر نیازی به انجام مراحل مهندسی اجتماعی نیست. در این روش بیشتر عملیات به‌صورت اتوماتیک انجام می‌شود و پس از منتقل شدن بدافزار به سیستم هدف، بدافزار به‌صورت اتوماتیک شروع به انجام تنظیمات اولیه و سپس رمز کردن اطلاعات موجود برروی سیستم می‌کند.

باج افزار (Ransomware) چگونه کار می‌کند؟

در سال‌های اخیر سیستم‌ها و تجهیزات کامپیوتری پیشرفت زیادی داشته‌ند. این پیشرفت در زمینه امنیت نیز بوده است و سیستم‌های تشخیص حملات پیشرفت زیادی کرده‌‍اند. از این رو، یک مهاجم برای اینکه بوسیله یک باج‌افزار، قربانی خود را به دردسر بیندازد، کار سخت‌تری را نسبت به گذشته دارد. برای مثال یکی از اقداماتی که سازمان‌ها برای به حداقل رساندن تاثیر باج‌افزار انجام می‌دهند، این است که از تمامی اطلاعات مهم خود به‌صورت مرتب بک آپ می‌گیرند. در این صورت اگر سیستمی توسط یک باج‌افزار آلوده شود، فورا نسخه بک آپ (پشتیبان) را جایگزین اطلاعات آلوده می‌کنند.

علاوه بر این، سطح دسترسی از اهمیت ویژه‌ای برخوردار است. باج افزار برای اینکه بتواند تمام سیستم را رمز کند، باید دسترسی بالایی نیز داشته باشد، چراکه خیلی از فایل‌های مهم تنها توسط کاربران با سطح دسترسی بالا، قابل خواندن/نوشتن هستند. پس اگر یک کاربر با سطح دسترسی پایین آن بدافزار را اجرا کند، باج افزار تاثیری برروی فایل‌های مهم‌تر نخواهد گذاشت.

پس یک باج‌افزار برای اینکه قربانی را به دردسر بیندازد، باید به موارد زیادی توجه کند. سطح دسترسی و پوشش دادن کل فایل‌ها از مواردی هستند که دارای اهمیت‌ بیشتری هستند.

نمونه هایی از باج افزارها

دلایل زیادی را می‌توان بیان کرد که نشان می‌دهد باج‌افزارها همچنان تهدید بزرگی برای سازمان‌ها و اشخاص به حساب می‌آیند. اما بررسی چند تا از آخرین نمونه‌های این نوع حملات، شاید بتواند بهتر و راحت‌تر ما را با خطر باج‌افزارها آشنا کند.

WannaCry

در سال ۲۰۱۷ یکی از گسترده‌ترین حملات باج‌‎افزاری تحت عنوان WannaCry صورت گرفت و حدود ۱۵۰ کشور مختلف را درگیر خود کرد. نحوه عملکرد این باج‌افزار استفاده از یک آسیب‌پذیری در ویندوز و سپس رمز کردن تمام داده‌های موجود برروی آن بود. در حالی که مدتی پس از انتشار این باج‌افزار مایکروسافت وصله (Patch) مربوطه را ارائه داد اما همچنان سیستم‌هایی که از آپدیت کردن ویندوز خود امتناع می‌کردند در معرض خطر ابتلا به این باج‌افزار بودند و البته به آن دچار شدند! گزارشات نشان دادند که این باج‌افزار اطلاعات ۲۰۰هزار سیستم ویندوزی را رمز کرد.

ransomware- wannacry
باج افزار Wannacry

Bad Rabbit

یک بدافزار که در سال ۲۰۱۷ شیوع پیدا کرد. BadRabbit بیشتر در روسیه و البته بخش‌هایی از اکراین، ترکیه و آلمان انتشار پیدا کرد. البته این باج‌افزار به سرعت تشخیص داده شد و از آن‌جایی که در بسیاری از قسمت‌ها به‌نظر می‌رسید از یک باج‌افزار قدیمی‌تر به اسم NotPetya استفاده شده است، به سرعت جلوی انتشار آن گرفته شد.

ransomware- bad rabbit
باج افزار Bad Rabbit

NotPetya/Petya

این دسته از باج‌افزار ها یعنی Petya و NotPetya اولین بار در سال ۲۰۱۶ منتشر شدند. این باج‌افزارها با با هدف قرار دادن MBR در سیستم‌های ویندوزی، اقدام به اجرا کردن پیلود خود می‌کردند.

این باج‌افزارها، ابتدا MBR را هدف قرار می‌دادند، سپس بوت لودر ویندوز را Overwrite می‌کردند و بعد از آن یک سیگنال ریستارت را شروع (Trigger) می‌کردند. به هنگام بالا آمدن سیستم، پیلود مهاجم، اقدام به رمز کردن MFT از فایل سیستم NTFS می‌کرد.

ransomware-notpetya
باج افزار Petya

موارد بالا نشان می‌دهد که اولا یک باج‌افزار چقدر می‌تواند در فلج کردن سیستم قربانی خطرناک باشد و هم‌چنین تا چه اندازه قدرت شیوع در بین سیستم‌ها دارد.

درباره ما

ترجنس | thregence.ir
آکادمی ترجنس | edu.thregence.ir
اینستاگرام | instagram.com/thregence
تلگرام | t.me/thregence
یوتوب | https://bit.ly/30mGowo
آپارات | aparat.com/thregence 

1 نظر
  1. .... می گوید

    جالب بود

ارسال یک پاسخ