باج افزار چیست و چگونه کار می کند؟

باج‌افزارها(Ransomware) گونه‌ای از بدافزارهای رایانه ای هستند که دسترسی به سیستم را برای کاربران محدود می کنند و ایجادکننده آنان برای برداشتن محدودیت های اعمال شده درخواست باج از طرف مقابل خود می‌کنند. برخی از انواع آنها روی فایل‌های دیسک سخت (Hard Drive) رمزگذاری انجام می‌دهند و برخی دیگر ممکن است به سادگی سیستم را قفل کنند و پیام‌هایی روی نمایشگر نشان دهند که از کاربر می‌خواهد مبالغی را به حساب طراحان آن باج افزار واریز کنند. باج‌افزارها ابتدا در روسیه مشاهده شدند، اما اخیراً تعداد حملات باج‌ افزارها به کشورهای دیگر از جمله استرالیا، آلمان، ایران، چین و ایالات متحده آمریکا افزایش یافته است.

نحوه عملکرد باج افزارها

باج افزارها از راه های مختلفی مانند کرمها (Worms) منتشر می شوند و پس از نصب و اجرا شروع به اعمالی مانند رمزگذاری هارددیسک می کنند. باج افزارهای پیشرفته تر با استفاده از کلید عمومی فایلها را رمز نگاری می کنند و کلید خصوصی لازم برای بیرون آوردن فایلها از حالت رمز شده تنها در دستان طراح باج افزار است. کاربر برای باز کردن فایلهایش مجبور به پرداخت وجه به حساب طراح باج افزار می شود. برخی دیگر از باج افزارها رمزگذاری انجام نمی دهند، بلکه از روش های دیگری مثل اختصاص پوسته سیستم عامل (Operating System Shell) به خود و یا تغییر در رکوردهای مربوط به بوت سیستم عامل استفاده از سیستم را مختل می کنند.

تهدید جدیدی برای رایانه های امروز توسط باج افزار کریپتولاکر

در ماه سپتامبر سال 2013، کریپتولاکر با استفاده از یک کلید عمومی 2048 بیتی شروع به رمزنگاری فایلهای با پسوند خاصی از کاربران کرد. کریپتولاکر کاربران را به حذف کلید خصوصی این رمز نگاری در صورت پرداخت نشدن هزینه در عرض چهار روز تهدید می کرد. البته امکان به دست آوردن کلید خصوصی بعد از آن نیز با پرداخت هزینه نسبتاً زیاد وجود داشت. با توجه به کلید بسیار طولانی استفاده شده در رمز نگاری عملیات رمز گشایی بسیار طولانی می شد و همین باعث خطرناک بودن کریپتولاکر بود. به هر حال، کریپتولاکر امروز یک تهدید بسیار بزرگ برای رایانه های سازمانی تبدیل شده است و متاسفانه توانسته با موفقیت تعداد زیادی از سیستم های سازمانی را آلوده کند. با این حال خوشبختانه به منظور جلوگیری از آلوده شدن سیستم ها و کاهش آسیب هایی که این بدافزار می توانند به سیستم وارد سازد، راه های مختلفی وجود دارد.

کریپتولاکر چیست و چگونه منتشر می شود؟

باج افزار کریپتولاکر یک نوع بدافزار است که به راحتی می تواند از طریق مهندسی اجتماعی گسترش یابد. معمولا محموله پیلود این نوع بدافزارها در پیوست یک پیام فیشینگ مخفی می شوند و با استفاده از یک آسیب پذیری در یک برنامه کاربردی مانند Acrobat Reader در قالب PDF می توانند به کامپیوترهای دیگر منتقل شده و سپس عملیات خود را آغاز کند. شایان ذکر است، بدافزارها به منظور اینکه بتوانند به کامپیوترهای دیگر به صورت خودکار انتشار یابند، باید از یک ضعف امنیتی استفاده کنند. در غیر اینصورت انتشار آنها کار بسیار سخت خواهد بود.

این ویروس دقیقا یک فایل اجرایی (EXE) می باشد، اما دارای قالب یک فایل PDF است. متاسفانه طراحان این نوع بدافزارها می توانند با استفاده از ویژگی مخفی سازی پسوند فایل ها در ویندوز، به سادگی با اضافه کردن پسوند pdf در پایان فایل اجرایی این بدافزار به آن قالب PDF بدهند. در نهایت کاربر با مشاهده اولیه آن فکر می کند که این فایل اجرایی یک فایل PDF غیر مخرب است. اما متاسفانه اینطور نیست و هنگامیکه فایل اجرایی این بدافزار بر روی سیستم اجرا شود پسوند های آورده شده در قسمت زیر را مورد هدف قرار می دهد و آنها را رمزنگاری می کند.

*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c

منبع: سایت شخصی میلاد کهساری الهادی