بدافزار «Ransomware» چیست؟

/ / شبکه و امنیت شبکه, فناوری اطلاعات

«Ransomware» یک بدافزار تخصصی است که «با رمزگذاری فایل‌ها و درخواست پرداخت باج برای دریافت کلید آنها حضور خود را نشان می‌دهد». پاییز گذشته، وزارت امنیت کشور (DHS) طی یک هشدار بدافزار «Ransomware» را اینگونه توصیف کرد:
پس از آلوده کردن رایانه،‌ بدافزار «Ransomware» دسترسی کاربرد را به سیستم محدود می‌سازد. این نوع بدافزار، که چندین سالی وارد فضای مجازی شده، از قربانیان با نمایش یک هشدار بر روی صفحه نمایش‌شان درخواست پول می‌کند. این هشدارها اغلب محتوای مشابهی دارند، مثلاً اینکه رایانه‌تان قفل شده است یا کلیه فایل‌هایتان رمزگذاری شده اند و سپس، درخواست پرداخت باج برای بازیابی دسترسی‌ کابر به سیستم یا فایل‌هایش مشاهده می‌گردد. این باج عموماً بین ۱۰۰ الی ۳۰۰ دلار آمریکا بوده و گاهی نیز پرداخت آن به واحد پولی مجازی، مثلاً بیت‌کوین (Bitcoin) درخواست می‌شود که بیت کوین به مانند پول بدون پشتوانه عمل می‌کند که تقریباً غیر قابل ردیابی است.

بدافزار «Ransomware» از طریق ایمیل‌های فیشینگ منتشر می‌گردد، که حاوی پیوست‌های مخرب و دانلود فایل‌های توام با فایل هدف [موسوم به حملات «Drive-by-Download»] هستند. این نوع حملات زمانی رخ می‌دهند که کاربرد ناخواسته یک وب سایت آلوده را بازدید کرده و بدافزار بدون اطلاع وی دانلود و نصب می‌گردد. نسخه «Crypto Ransomware» که فایل‌ها را رمزگذاری کرده در حال حاضر همانند بدافزار اصلی منتشر شده، ولی پیش از این، از طریق برنامه‌های کاربرد ارسال پیامک مبتنی بر وب نیز در اینترنت انتشار می‌یافت.»

بد افزار «Ransomware» غالباً دستگاه‌های شخصی و کسب و کارهای کوچک را هدف قرار می‌دهد، بویژه از زمانیکه شرکت‌های بزرگتر بهداشت اینترنتی بهتری را در دستگاه‌های خود پیاده‌سازی کرده اند، که از جمله این اقدامات می‌توان تهیه نسخه‌های پشتیبانی منظم و الزام به ذخیره‌سازی و نگهداری کلمات عبور در مکانی امن بجای خود دستگاه اشاره کرد.

cryptolocker-virus
وزارت امنیت کشور کاربران را از پرداخت باج قویاً منع کرده است:

«پرداخت باج به هیچ وجه تضمین نخواهد کرد که فایل‌های رمزگذاری شده آزاد شوند؛ بلکه صرفاً تضمین خواهد کرد که هکرهای بداندیش به پول خود رسیده و در برخی موارد نیز، اطلاعات بانکی وی را استخراج می‌کنند. بعلاوه، رمزگشایی فایل‌ها هرگز به معنای برطرف شدن آلودگی سیستم به بدافزار نخواهد بود.»

با وجود توصیه وزارت امنیت کشور، کلانتر دیکسون کانتی (تنِسی) برای باز پس گرفتن فایل‌های ذخیره شده بر روی یک رایانه آلوده به بدافزار پس از مشورت با دایره بازرسی تنِسی و «FBI» اقدام به پرداخت باج ۵۰۰ دلاری به واحد پولی بیت‌کوین نمود. به اعتقاد آنها، پرداخت باج بهترین راه برای حل مسئله پیش‌رو بود.
گزارش حملات بدافزار «Ransomware»:

تابستان گذشته، شرکت «SecureWorks» وابسته به «Dell» گزارشی را با محوریت حملات نسخه «CryptoWall » بدافزار «Ransomware» را منتشر نمود.

به گفته این شرکت بین ماه‌های مارس و آگوست سال ۲۰۱۴، «تقریبا ۶۲۵۰۰۰ سیستم به بدافزار «CryptoWall» آلوده شده اند. در همان چارچوب زمانی، بدافزار «CryptoWall» بیش از ۵٫۲۵ میلیارد فایل را رمزگذاری کرده است.»

این نسخه از بدافزار «Ransomware» توسط اپراتورهای بات‌نت اجرا می‌شود و لذا، الگوی خاصی برای طبقه‌بندی قربانیان احتمالی آن و اهداف حمله وجود ندارد. براساس این گزارش:
«از این گذشته، باج‌های درخواستی از جانب اپراتورهای بدافزار «CryptoWall» در زمان‌های مختلف بین ۲۰۰ الی ۲۰۰۰ دلار بوده است. در صورت عدم پرداخت باج در مدت مشخص شده (معمولاً ۴ الی ۷ روز)، مبلغ بیشتری از قربانیان درخواست می‌گردد. در یک مورد، قربانی برای آزاد کردن فایل‌هایش مبلغ ۱۰۰۰۰ دلار را نیز پرداخت کرده است.»

براساس گزارش اخیر شرکت «Bromium» با عنوان «درک و فهم نسخه «Crypto» از بدافزار «Ransomware» – تحلیل جامع محبوبترین خانواده‌های بدافزار:
«این تهدید سایبری «Crypto Ransomware» نام دارد که نسخه‌ای از بدافزار اصلی «Ransomware» به شمار می‌رود. بدافزار «Ransomware» دست کم پنج نسخه متفاوت، از جمله «CryptoLocker» و «CryptoWall» و «Reveton» و «CryptoLocker.F and TorrentLocker» دارد. با ناکارامد شناخته شدن اقدامات امنیتی سنتی مبتنی بر آشکارسازی حمله، همچون آنتی ویروس‌ها در برابر این نوع از حملات، نرخ آلودگی بدافزار «Ransomware» رو به افزایش است. از طرفی در مقایسه با اولین بار مشاهده بدافزار «Ransomware» در سال ۲۰۱۳، بر پیچیدگی آن با بهره‌گیری از مسیرهای حمله جدید و با تکیه بر الگوریتم‌های رمزگذاری پیشرفته و گسترش انواع فایل‌های هدف افزوده شده است.»

What_is_encryption
نتیجه‌گیری:

بدافزار «Ransomware» تبدل به مسئله ای جدی و رو به رشد در عصر حاضر شده، که تاکنون راه‌حلی کارامد برای آن پیدا نشده است. دپارتمان امنیت شبکه گروه فرا با توجه به اهمییت این ویروس مکاتبات و تحقیقاتی را انجام داده است که تا این لحظه راه حل مناسبی دریافت نشده است. گروه امنیت شبکه فرا پیشنهاد می کند تا زمان یافتن راه‌حلی که بطور کامل از فایل‌ها و سیستم‌ها در برابر این بدافزار محافظت کند، توصیه‌های سنتی هنوز قابل اعمال خواهند بود، مثلاً: از رایانه‌ها و دیگر دستگاه‌های‌تان با استفاده از برنامه‌های کاربردی و نرم افزار ضد بدافزار محافظت نمایید، بطور منظم از فایل‌های‌تان نسخه پشتیبان تهیه کنید و کلمات عبور خود را در مکانی امن ذخیره و نگهداری نمایید و از مشاهده ایمیل های ناشناس و پیام های مشکوک خودداری فرمایید.ی

دوستان و علاقه مندان گرامی می توانند برای اطلاع بیشتر از لینک های زیر نیز استفاده نمایند:

www.microsoft.com/security/portal/mmpc/shared/ransomware.aspx

www.sophos.com/en-us/support/knowledgebase/119006.aspx

en.wikipedia.org/wiki/Ransomware