
«Ransomware» یک بدافزار تخصصی است که «با رمزگذاری فایلها و درخواست پرداخت باج برای دریافت کلید آنها حضور خود را نشان میدهد». پاییز گذشته، وزارت امنیت کشور (DHS) طی یک هشدار بدافزار «Ransomware» را اینگونه توصیف کرد:
پس از آلوده کردن رایانه، بدافزار «Ransomware» دسترسی کاربرد را به سیستم محدود میسازد. این نوع بدافزار، که چندین سالی وارد فضای مجازی شده، از قربانیان با نمایش یک هشدار بر روی صفحه نمایششان درخواست پول میکند. این هشدارها اغلب محتوای مشابهی دارند، مثلاً اینکه رایانهتان قفل شده است یا کلیه فایلهایتان رمزگذاری شده اند و سپس، درخواست پرداخت باج برای بازیابی دسترسی کابر به سیستم یا فایلهایش مشاهده میگردد. این باج عموماً بین ۱۰۰ الی ۳۰۰ دلار آمریکا بوده و گاهی نیز پرداخت آن به واحد پولی مجازی، مثلاً بیتکوین (Bitcoin) درخواست میشود که بیت کوین به مانند پول بدون پشتوانه عمل میکند که تقریباً غیر قابل ردیابی است.
بدافزار «Ransomware» از طریق ایمیلهای فیشینگ منتشر میگردد، که حاوی پیوستهای مخرب و دانلود فایلهای توام با فایل هدف [موسوم به حملات «Drive-by-Download»] هستند. این نوع حملات زمانی رخ میدهند که کاربرد ناخواسته یک وب سایت آلوده را بازدید کرده و بدافزار بدون اطلاع وی دانلود و نصب میگردد. نسخه «Crypto Ransomware» که فایلها را رمزگذاری کرده در حال حاضر همانند بدافزار اصلی منتشر شده، ولی پیش از این، از طریق برنامههای کاربرد ارسال پیامک مبتنی بر وب نیز در اینترنت انتشار مییافت.»
بد افزار «Ransomware» غالباً دستگاههای شخصی و کسب و کارهای کوچک را هدف قرار میدهد، بویژه از زمانیکه شرکتهای بزرگتر بهداشت اینترنتی بهتری را در دستگاههای خود پیادهسازی کرده اند، که از جمله این اقدامات میتوان تهیه نسخههای پشتیبانی منظم و الزام به ذخیرهسازی و نگهداری کلمات عبور در مکانی امن بجای خود دستگاه اشاره کرد.
وزارت امنیت کشور کاربران را از پرداخت باج قویاً منع کرده است:
«پرداخت باج به هیچ وجه تضمین نخواهد کرد که فایلهای رمزگذاری شده آزاد شوند؛ بلکه صرفاً تضمین خواهد کرد که هکرهای بداندیش به پول خود رسیده و در برخی موارد نیز، اطلاعات بانکی وی را استخراج میکنند. بعلاوه، رمزگشایی فایلها هرگز به معنای برطرف شدن آلودگی سیستم به بدافزار نخواهد بود.»
با وجود توصیه وزارت امنیت کشور، کلانتر دیکسون کانتی (تنِسی) برای باز پس گرفتن فایلهای ذخیره شده بر روی یک رایانه آلوده به بدافزار پس از مشورت با دایره بازرسی تنِسی و «FBI» اقدام به پرداخت باج ۵۰۰ دلاری به واحد پولی بیتکوین نمود. به اعتقاد آنها، پرداخت باج بهترین راه برای حل مسئله پیشرو بود.
گزارش حملات بدافزار «Ransomware»:
تابستان گذشته، شرکت «SecureWorks» وابسته به «Dell» گزارشی را با محوریت حملات نسخه «CryptoWall » بدافزار «Ransomware» را منتشر نمود.
به گفته این شرکت بین ماههای مارس و آگوست سال ۲۰۱۴، «تقریبا ۶۲۵۰۰۰ سیستم به بدافزار «CryptoWall» آلوده شده اند. در همان چارچوب زمانی، بدافزار «CryptoWall» بیش از ۵٫۲۵ میلیارد فایل را رمزگذاری کرده است.»
این نسخه از بدافزار «Ransomware» توسط اپراتورهای باتنت اجرا میشود و لذا، الگوی خاصی برای طبقهبندی قربانیان احتمالی آن و اهداف حمله وجود ندارد. براساس این گزارش:
«از این گذشته، باجهای درخواستی از جانب اپراتورهای بدافزار «CryptoWall» در زمانهای مختلف بین ۲۰۰ الی ۲۰۰۰ دلار بوده است. در صورت عدم پرداخت باج در مدت مشخص شده (معمولاً ۴ الی ۷ روز)، مبلغ بیشتری از قربانیان درخواست میگردد. در یک مورد، قربانی برای آزاد کردن فایلهایش مبلغ ۱۰۰۰۰ دلار را نیز پرداخت کرده است.»
براساس گزارش اخیر شرکت «Bromium» با عنوان «درک و فهم نسخه «Crypto» از بدافزار «Ransomware» – تحلیل جامع محبوبترین خانوادههای بدافزار:
«این تهدید سایبری «Crypto Ransomware» نام دارد که نسخهای از بدافزار اصلی «Ransomware» به شمار میرود. بدافزار «Ransomware» دست کم پنج نسخه متفاوت، از جمله «CryptoLocker» و «CryptoWall» و «Reveton» و «CryptoLocker.F and TorrentLocker» دارد. با ناکارامد شناخته شدن اقدامات امنیتی سنتی مبتنی بر آشکارسازی حمله، همچون آنتی ویروسها در برابر این نوع از حملات، نرخ آلودگی بدافزار «Ransomware» رو به افزایش است. از طرفی در مقایسه با اولین بار مشاهده بدافزار «Ransomware» در سال ۲۰۱۳، بر پیچیدگی آن با بهرهگیری از مسیرهای حمله جدید و با تکیه بر الگوریتمهای رمزگذاری پیشرفته و گسترش انواع فایلهای هدف افزوده شده است.»
نتیجهگیری:
بدافزار «Ransomware» تبدل به مسئله ای جدی و رو به رشد در عصر حاضر شده، که تاکنون راهحلی کارامد برای آن پیدا نشده است. دپارتمان امنیت شبکه گروه فرا با توجه به اهمییت این ویروس مکاتبات و تحقیقاتی را انجام داده است که تا این لحظه راه حل مناسبی دریافت نشده است. گروه امنیت شبکه فرا پیشنهاد می کند تا زمان یافتن راهحلی که بطور کامل از فایلها و سیستمها در برابر این بدافزار محافظت کند، توصیههای سنتی هنوز قابل اعمال خواهند بود، مثلاً: از رایانهها و دیگر دستگاههایتان با استفاده از برنامههای کاربردی و نرم افزار ضد بدافزار محافظت نمایید، بطور منظم از فایلهایتان نسخه پشتیبان تهیه کنید و کلمات عبور خود را در مکانی امن ذخیره و نگهداری نمایید و از مشاهده ایمیل های ناشناس و پیام های مشکوک خودداری فرمایید.ی
دوستان و علاقه مندان گرامی می توانند برای اطلاع بیشتر از لینک های زیر نیز استفاده نمایند:
www.microsoft.com/security/portal/mmpc/shared/ransomware.aspx
www.sophos.com/en-us/support/knowledgebase/119006.aspx
en.wikipedia.org/wiki/Ransomware