«Ransomware» یک بدافزار تخصصی است که «با رمزگذاری فایل‌ها و درخواست پرداخت باج برای دریافت کلید آنها حضور خود را نشان می‌دهد». پاییز گذشته، وزارت امنیت کشور (DHS) طی یک هشدار بدافزار «Ransomware» را اینگونه توصیف کرد:
پس از آلوده کردن رایانه،‌ بدافزار «Ransomware» دسترسی کاربرد را به سیستم محدود می‌سازد. این نوع بدافزار، که چندین سالی وارد فضای مجازی شده، از قربانیان با نمایش یک هشدار بر روی صفحه نمایش‌شان درخواست پول می‌کند. این هشدارها اغلب محتوای مشابهی دارند، مثلاً اینکه رایانه‌تان قفل شده است یا کلیه فایل‌هایتان رمزگذاری شده اند و سپس، درخواست پرداخت باج برای بازیابی دسترسی‌ کابر به سیستم یا فایل‌هایش مشاهده می‌گردد. این باج عموماً بین ۱۰۰ الی ۳۰۰ دلار آمریکا بوده و گاهی نیز پرداخت آن به واحد پولی مجازی، مثلاً بیت‌کوین (Bitcoin) درخواست می‌شود که بیت کوین به مانند پول بدون پشتوانه عمل می‌کند که تقریباً غیر قابل ردیابی است.

بدافزار «Ransomware» از طریق ایمیل‌های فیشینگ منتشر می‌گردد، که حاوی پیوست‌های مخرب و دانلود فایل‌های توام با فایل هدف [موسوم به حملات «Drive-by-Download»] هستند. این نوع حملات زمانی رخ می‌دهند که کاربرد ناخواسته یک وب سایت آلوده را بازدید کرده و بدافزار بدون اطلاع وی دانلود و نصب می‌گردد. نسخه «Crypto Ransomware» که فایل‌ها را رمزگذاری کرده در حال حاضر همانند بدافزار اصلی منتشر شده، ولی پیش از این، از طریق برنامه‌های کاربرد ارسال پیامک مبتنی بر وب نیز در اینترنت انتشار می‌یافت.»

بد افزار «Ransomware» غالباً دستگاه‌های شخصی و کسب و کارهای کوچک را هدف قرار می‌دهد، بویژه از زمانیکه شرکت‌های بزرگتر بهداشت اینترنتی بهتری را در دستگاه‌های خود پیاده‌سازی کرده اند، که از جمله این اقدامات می‌توان تهیه نسخه‌های پشتیبانی منظم و الزام به ذخیره‌سازی و نگهداری کلمات عبور در مکانی امن بجای خود دستگاه اشاره کرد.

وزارت امنیت کشور کاربران را از پرداخت باج قویاً منع کرده است:

«پرداخت باج به هیچ وجه تضمین نخواهد کرد که فایل‌های رمزگذاری شده آزاد شوند؛ بلکه صرفاً تضمین خواهد کرد که هکرهای بداندیش به پول خود رسیده و در برخی موارد نیز، اطلاعات بانکی وی را استخراج می‌کنند. بعلاوه، رمزگشایی فایل‌ها هرگز به معنای برطرف شدن آلودگی سیستم به بدافزار نخواهد بود.»

با وجود توصیه وزارت امنیت کشور، کلانتر دیکسون کانتی (تنِسی) برای باز پس گرفتن فایل‌های ذخیره شده بر روی یک رایانه آلوده به بدافزار پس از مشورت با دایره بازرسی تنِسی و «FBI» اقدام به پرداخت باج ۵۰۰ دلاری به واحد پولی بیت‌کوین نمود. به اعتقاد آنها، پرداخت باج بهترین راه برای حل مسئله پیش‌رو بود.
گزارش حملات بدافزار «Ransomware»:

تابستان گذشته، شرکت «SecureWorks» وابسته به «Dell» گزارشی را با محوریت حملات نسخه «CryptoWall » بدافزار «Ransomware» را منتشر نمود.

به گفته این شرکت بین ماه‌های مارس و آگوست سال ۲۰۱۴، «تقریبا ۶۲۵۰۰۰ سیستم به بدافزار «CryptoWall» آلوده شده اند. در همان چارچوب زمانی، بدافزار «CryptoWall» بیش از ۵٫۲۵ میلیارد فایل را رمزگذاری کرده است.»

این نسخه از بدافزار «Ransomware» توسط اپراتورهای بات‌نت اجرا می‌شود و لذا، الگوی خاصی برای طبقه‌بندی قربانیان احتمالی آن و اهداف حمله وجود ندارد. براساس این گزارش:
«از این گذشته، باج‌های درخواستی از جانب اپراتورهای بدافزار «CryptoWall» در زمان‌های مختلف بین ۲۰۰ الی ۲۰۰۰ دلار بوده است. در صورت عدم پرداخت باج در مدت مشخص شده (معمولاً ۴ الی ۷ روز)، مبلغ بیشتری از قربانیان درخواست می‌گردد. در یک مورد، قربانی برای آزاد کردن فایل‌هایش مبلغ ۱۰۰۰۰ دلار را نیز پرداخت کرده است.»

براساس گزارش اخیر شرکت «Bromium» با عنوان «درک و فهم نسخه «Crypto» از بدافزار «Ransomware» – تحلیل جامع محبوبترین خانواده‌های بدافزار:
«این تهدید سایبری «Crypto Ransomware» نام دارد که نسخه‌ای از بدافزار اصلی «Ransomware» به شمار می‌رود. بدافزار «Ransomware» دست کم پنج نسخه متفاوت، از جمله «CryptoLocker» و «CryptoWall» و «Reveton» و «CryptoLocker.F and TorrentLocker» دارد. با ناکارامد شناخته شدن اقدامات امنیتی سنتی مبتنی بر آشکارسازی حمله، همچون آنتی ویروس‌ها در برابر این نوع از حملات، نرخ آلودگی بدافزار «Ransomware» رو به افزایش است. از طرفی در مقایسه با اولین بار مشاهده بدافزار «Ransomware» در سال ۲۰۱۳، بر پیچیدگی آن با بهره‌گیری از مسیرهای حمله جدید و با تکیه بر الگوریتم‌های رمزگذاری پیشرفته و گسترش انواع فایل‌های هدف افزوده شده است.»

نتیجه‌گیری:

بدافزار «Ransomware» تبدل به مسئله ای جدی و رو به رشد در عصر حاضر شده، که تاکنون راه‌حلی کارامد برای آن پیدا نشده است. دپارتمان امنیت شبکه گروه فرا با توجه به اهمییت این ویروس مکاتبات و تحقیقاتی را انجام داده است که تا این لحظه راه حل مناسبی دریافت نشده است. گروه امنیت شبکه فرا پیشنهاد می کند تا زمان یافتن راه‌حلی که بطور کامل از فایل‌ها و سیستم‌ها در برابر این بدافزار محافظت کند، توصیه‌های سنتی هنوز قابل اعمال خواهند بود، مثلاً: از رایانه‌ها و دیگر دستگاه‌های‌تان با استفاده از برنامه‌های کاربردی و نرم افزار ضد بدافزار محافظت نمایید، بطور منظم از فایل‌های‌تان نسخه پشتیبان تهیه کنید و کلمات عبور خود را در مکانی امن ذخیره و نگهداری نمایید و از مشاهده ایمیل های ناشناس و پیام های مشکوک خودداری فرمایید.ی

دوستان و علاقه مندان گرامی می توانند برای اطلاع بیشتر از لینک های زیر نیز استفاده نمایند:

www.microsoft.com/security/portal/mmpc/shared/ransomware.aspx

www.sophos.com/en-us/support/knowledgebase/119006.aspx

en.wikipedia.org/wiki/Ransomware

تکنولوژی IPMI که اختصار شده از Intelligent Platform Management Interface می باشد یکی از تکنولوژی های پرکاربرد در دنیای مرکزداده می باشد.
شرکت همیشه پیشتاز INTEL که مبتکر اصلی این تکنولوژی می باشد با همکاری شرکت های cisco , Dell , HP , NEC , Supermicro و Tyan اقدام به توسعه و تکمیل این ویژگی نمودند که حاصل این تلاش ها نسخه های مختلفی از IPMI می باشد که این نسخه ها شامل ۱ و ۱٫۵ و ۲ می باشد که امروزه نسخه شماره ۲ مورد استفاده قرار می گیرد.

این تکنولوژی در قالب سخت افزاری اضافه بر روی مادربرد سرور است که برای مدیریت و ارتباط با سرور بوسیله پروتکل (IP) فواصل دور استفاده می شود،در حقیقت تکنولوژی IPMI دقیقا شبیه تکنولوژی KVM over IP می باشد امروزه نیز مورد استفاده مدیران شبکه قرار می گیرد.

از طریق IPMI می توان فعالیت های گوناگونی را انجام داد مانند :
مدیریت کنسول سرور (خروجی مانیتور , موس , کیبرد)
ریبوت کردن سرور
خاموش یا روش کردن سرور
مشاهده و مدیریت سنسور های موجود که برای اطلاع از وضعیت سرور مثل دمای سرور , فن هاس سرور , دمای CPU ها و غیره استفاده می شود.
استفاده از گزارش ها (log) و وضعیت سرور از طریق پروتکل SNMP

موارد بالا بخشی از امکانات تکنولوژی IPMI می باشند که مورد استفاده مدیران شبکه می باشد.

دیاگرام ارائه شده برای تکنولوژی IPMI :

امروزه می توان گفت تمامی سرورهای جدید این تکنولوژی را بصورت پیشفرض روی مادربرد خود دارند و البته بصورت کارت توسعه مجزا نیز می توان به سرورهای قدیمی اضافه گردد.
برای بکارگیری از سرویس IPMI همانطور که گفته شد نیاز به یک کابل شبکه می باشد که به پورت IPMI متصل شود و سپس از طریق رابط کاربری Bios یا UEFI اقدام به پیکربندی این تکنولوژی نمود .
از مهمترین موارد پیکربندی تعریف آدرس آی پی و پسورد دسترسی به سرور می باشد که لازم بذکر است که یوزر و پسورد پیش فرض ADMIN می باشد.

مشابه این تکنولوژی در سرورهای مختلف نیز با نام های مختلف و امکانات مختلف وجود دارد برای مثال محصولات شرکت HP از تکنولوژی iLO استفاده می کنند که در مقالات قبلی توضیح داده شده است.

iLO Port یا درگاه آیلو حاصل و نتیجه نسل چهارم تکنولوژی شرکت اچ‌پی بروی سرورهای این شرکت معظم است ، این پورت ویژه که به طور مشخّص در پشت سرورها یعنی دقیقا کنار سایر پورت های شبکه روی سرور های این شرکت قرار دارد و در بالای این پورت نام آن نوشته شده و علاوه بر نام پورت ورژن iLO نیز درج شده است که این ورژن متناسب با سری و سال تولید سرور متفاوت است و لازم بذکر است که آخرین ورژن تکنولوژی iLO تا این تاریخ ۴ می باشد.

به طور کلی این پورت با استفاده از فریم ویر خود می‌تواند امکان اتصال از راه دور به سرور را برای کار بر ایجاد کند و به طور حتم این امکان سرویسی بسیار مناسبی برای مدیران IT شرکت ها می باشد . پورت آیلو به طور مجزا از سیستم عامل سرور سرویس دهی می کند و از طریق setup ilo می‌توان تنظیمات مربوطه را انجام داد که این تنظیمات به سه شکل انجام می گیرد:

در روش اول شما از محیط ACU سرور استفاده می کنید. برای ورود به این محیط کافی است به محض روشن شدن سرور کلید F8 را زده تا وارد محیط iLO شوید حال میتوانید با استفاده از گزینه های موجود تغییرات مد نظر را اعمال کنید. اهمییت این تنظیمات شامل پیکربندی شبکه و کاربران می باشد که با اندکی مطالعه می توانید آنرا پیکربندی نمایید.

در روش دوم شما می توانید با استفاده از CD‌ تنظیمات مربوط به iLO را انجام دهید و پیکربندی مورد نظر خود را متناسب با نیاز خود انجام دهید.

در روش سوم شما می توانید در صورتی که سیستم عاملی روی سرور نصب باشد و به آن دسترسی داشته باشید از نرم افزار HP Lights-Out Online Configuration Utility بر روی ویندوز خود استفاده نمایید و با این ابزار شما امکان مدیریت iLO از طریق محیط ویندوز را دارید.

پس از انجام پیکربندی های لازم با استفاده از سه روش بالا حال با اتصال کابل شبکه به این پورت ، می‌توان از طریق اکسپلورر بدون هیچ واسطی به سرور متصل شد و امکاناتی از قبیل دسترسی به بایوس و یا خاموش روشن کردن دستگاه و مانیتور کردن منابع سخت افزاری و غیره را دراختیار داشته باشید و همچنین میتوانید با استفاده از این تکنولوژی مراحل نصب سیستم عامل را انجام دهید و برخی از امور مدیریتی را کنترل کنید.

بهره گیری از این پورت احتیاج به نام کابری و رمز عبور منحصر به آن دستگاه را دارد که به طور عموم روی کارت کشویی دستگاه درج شده است و لازم به ذکر است بدانید که نام کاربری و رمزعبور سرویس iLO حساس به بزرگی و کوچکی حروف است که این موضوع نیز در برخی موارد موجب اختلال هایی می شو و همچنین برای استفاده در زمان های بیش ۶۰ روز احتیاج به لایسنس شرکت مربوطه را دارد که به طور معمول از روی سایت HP امکان پذیر است .

البته برای افرادی که علاقه ای به خرید لیسانس ندارند نیز راه حل هایی از جمله دریافت  لیسانس های ارزشیابی یا evaluation از وب سایت شرکت HP و یا استفاده از لیسانس های عمومی شده در سطح اینترنت پیشنهاد می شود.

بر اساس مشاهدات و تجربیات دپارتمان شبکه و امنیت شبکه گروه فناوران رایان الکترونیک در اغلب شرکت ها و سازمان ها معمولا به دلایل مختلف دیده شده است که از این سرویس قدرتمند استفاده نشده است و جایگزینی نه چندان منطقی بنام KVM IP Base را استفاده می کنند که علاوه بر هزینه بسیار بالای این تجهیزات،می توان به مشکلات خاص هر یک از این تجهیرات نیز اشاره کرد. معمولا دلیل اصلی عدم استفاده از این تکنولوژی دانش ناکافی مدیران شبکه می باشد که امید است با آگاهی هرچه بیشتر مدیران این تصمیمات نیز اصلاح گردد.