انواع باج‌افزار و روش های پیشگیری از آن

Stampa
  • Scareware, Lock screen viruses, The really nasty stuff, WannaCry, باج افزار (RANSOM_WALTRIX.C CryptXXX ), Bucbi, باج افزار Black Shades, R980, Shark
  • 6


ransomware

به طور کلی 3 نوع باج‌افزار وجود دارد :
1-     Scareware ساده ترین نوع باج افزار است که به آن ترس افزار نیز می گویند.این باج افزار جوری عمل می کند که کاربر فکر می کند سیستم دچار ویروس شده و برای ازبین بردن ویروس scareware را نصب می نماید.و لحظه ای که این باج افزار روی سیستم اجرا شود کاربر با پیام ها و pop up هایی مواجه می شود که اعلام می‌کنند باید مبلغی پرداخت کند و اجازه اجرای برنامه های دیگر را نمی‌دهد.
 
2-     Lock screen viruses این باج افزار با قفل کردن صفحه نمایش به هیچ عنوان اجازه استفاده از سیستم را نمی‌دهد.بعد از شروع ویندوز یک پنجره با اندازه صفحه نمایشگر باز می‌شود و اعلام می‌کند که از طرف FBI یا وزارت دادگستری است و شما قانونی را نقض کرده‌اید و باید جریمه بپردازید.
 
3-     The really nasty stuff این باج‌افزار بدترین نوع نرم‌افزار رمزگذاری است زیرا تا زمانی که شما مبلغی را پرداخت نکنید فایل ها را قفل می‌کند و برای بازیابی اطلاعاتتان باید از قبل نسخه پشتیبان تهیه کرده باشید.
 
بزرگترین تفاوت بین دو نوع باج‌افزار مسدودکننده و رمزگذار این است که باج‌افزار مسدودکننده صدمات قابل برگشتی وارد می کند.حتی در بدترین شرایط کاربر سیستم آلوده شده می تواند مجددا سیستم عامل را نصب نماید و تمامی فایل هایش را باز گردانی کند.در حالی که باج‌افزارهای رمزگذار بسیار پیچیده تر اند و در حالت کلی امکان ندارد فایلی بدون کلید رمزگشایی بازگردانیده شود.واین کلید‌ها روی سرور مجرمان ذخیره می شوند و قربانیان به آن دسترسی ندارند.
اولین باج‌افزار !
اولین باج‌افزار که در سال 1989 سیستم ها را آلوده می کرد تروجان AIDS بود که PC Cyborg هم نامیده می شده.این باج افزار جایگزین Autoexec.bat می شد و تعداد دفعاتی که آن کامپیوتر بوت می شد را حساب می کرد.زمانی که تعداد دفعات بوت ها به 90 می رسید AIDS دایرکتوری ها را مخفی می کرد و نام فایل ها را بر روی هارد دیسک رمز گذاری می کرد و عملا سیستم را غیر قابل استفاده می کرد. کاربر 90 روز مهلت داشت تا لایسنس برنامه ی PC Cyborg را تمدید کند و برای این کار کاربر می باید با PC Cyborg Corporation  تماس می گرفت و 189 دلار پول پرداخت می کرد.
معرفی برخی باج‌افزار ها :
باج‌افزار کریپتولاکر :
کریپتولاکر با استفاده از کلید عمومی ۲۰۴۸ بیتی در سپتامبر 2013 شروع به رمزنگاری فایلهای با پسوند خاصی از کاربران آلوده کرد. کریپتولاگر کاربران را تهیدید می کرد که درصورت پرداخت نشدن پول در عرض سه روز کلید خصوصی این رمز نگاری حذف خواهد شد. با توجه به کلید بسیار طولانی استفاده شده در رمز نگاری عملیات رمز گشایی بسیار طولانی می‌شد و همین باعث خطرناک بودن کریپتولاگر بود.
باج‌افزار WannaCry
 Wanna Decryptor که با نام های WannaCry و wcry نیز شناخته می شودجزء جدید ترین باج‌افزار ها به شمار می رود. در می ماه 2017میلادی، حمله سایبری عظیمی با استفاده از این باج‌افزار آغاز شد که بیش از ۲۳۰ هزار رایانه را در ١٥٠ کشور جهان را آلوده ساخت و به ۲۸ زبان از قربانیان باج طلب می‌کند. حمله مذکور آن گونه که یوروپول توصیف کرده است، بی‌سابقه بوده است  WannaCry یک نوع باج افزار است که تمامی فایل های موجود بر روی کامپیوتر کاربر را رمزنگاری می کند و در ازای بازگردانی آنها تقاضای پرداخت باج می کند. در حال حاضر برای بازگردانی فایل ها راه دیگری جز پرداخت باج ۳۰۰ دلاری وجود ندارد. هنگامی که سیستم آلوده شود و باج افزار فایل های کاربر را رمزنگاری کند، با نمایش اعلان به وی تنها ۳ روز فرصت می دهد تا برای بازگردانی فایل ها، مبلغ ۳۰۰ دلار را پرداخت کند. در غیر این صورت با گذشت ۷ روز فایل های کاربر به طور برگشت ناپذیر از بین خواهند رفت. سه روز مانده به ضرب‌الاجل تعیین شده، مبلغ باج خواسته شده به ۶۰۰ دلار افزایش می یابد. بیت کوین تنها روش پرداخت قابل قبول است.
باج‌افزار ۷ev3n
باج افزار ۷ev3n در آغاز سال ۲۰۱۶ ظاهر شد. این باج افزار علاوه بر ویژگی رمزنگاری (قفل کردن )داده ها، دسترسی به سیستم را با استفاده از یک پنجره تمام صفحه مسدود میکند.در حال حاضر مشخص نیست از چه الگوریتمی برای رمزنگاری استفاده می کند و هیچ راهکاری برای رمزگشایی بصورت رایگان ارائه نشده است.
باج‌افزار Locky
باج افزار Locky از طریق فایل با پسوند doc عمل نموده و از طریق پیوست ایمیل های اسپم منتشر می شود.
این باج افزار از طریق قابلیت ماکرو در نرم افزار Word عمل می کند. در زمان باز کردن فایل های حاوی ماکرو با پیامی روبرو می شوید که از شما می خواهد برای اجرای ماکروهای به بکار رفته در فایل، تنظیمات امنیتی Microsoft Word خود را تغییر دهید اگر فایل را کمی مشکوک دیدید و یا اینکه شامل محتوای متنی بی معنا و به هم ریخته می باشد از باز کردن آن صرف نظر کنید. تمام فایل ها پس از آلوده شدن با الگوریتم های RSA-2048 و AES-1024 رمزنگاری (قفل) میشوند. البته برای این باج افزار راهکارهای رایگانی برای رمزگشایی فایل های آلوده ارائه شده است.
 
باج‌افزار Petya
باج افزار Petya عملکرد متفاوتی نسبت به سایر باج افزارها دارد. این باج افزار بجای رمزنگاری فایل های سیستم، امکان دسترسی کامل به سیستم را با استفاده از حمله به ساختارهای پایین در سطح دیسک (بخش( MBR غیر ممکن می سازد، بدین ترتیب سیستم در دسترس (Boot) نخواهد بود.باج افزار Petya از طریق ایمیل های ناخواسته و مزاحم Spam ) ) که در ظاهر حاوی درخواست استخدام می باشد و معمولاً به نشانی بخش منابع انسانی سازمانها و شرکتها ارسال می شوند، منتشر می شود.
باج‌افزار (RANSOM_WALTRIX.C CryptXXX )
باج افزار (RANSOM_WALTRIX.C CryptXXX) یک فایل DLL است که قادر به قفل کردن صفحه نمایش می باشد.این باج افزار از طریق سایت های مخرب منتشر شده و از ضعف های امنیتی سیستم عامل و نرم افزارهای سیستم بازدید کننده سایت سوءاستفاده می کنند.
باج‌افزار Bucbi
باج افزار Bucbi در سال ۲۰۱۴ منتشر شد اما مجدداً در سال ۲۰۱۶ بروز گردید. این باج افزار از حمله brute force به سرویس RDP) ریموت دسکتاپ (استفاده میکند.در حقیقت از یک ابزار جستجوی فراگیر RDP به نام «RDP brute» با کد z668 استفاده می کند.این ابزار برای دسترسی به دستگاه قربانی استفاده می‌شود.در صورتی که حملات دسترسی با موفقیت انجام شود یک فایل اجرایی بروی سیستم قرار می دهد و همه‌ی فایل ها را در درایوهای دستگاه رمزنگاری می‌کند.
باج‌افزار Black Shades
باج افزار Black Shades توسط محقق امنیتی به نام جک بوجود آمده است. قربانیان این باج افزار انگلیسی و روسی زبان ها هستند. به فایل های رمزنگاری شده پسوند .silent اضافه میشود. فایل ها با استفاده از الگوریتم AES-256 رمزنگاری میشوند.
باج‌افزار R980
باج افزار R980 مانند Locky از طریق ایمیل آلوده دارای پیوست فایل های Office منتشر می شود و از خاصیت ماکرو استفاده میکند. این باج افزار از الگوریتم های AES-256  و RSA 4096 استفاده میکند.
باج‌افزار Shark
نوع جدیدی از باج افزار به نام shark در بازار زیرزمینی سایبری پخش می‌شود.نویسندگان این بد افزار از آن به عنوان الگوی کسب و کار استفاده می‌کنند(باج افزار را به عنوان نوعی خدمات ارایه می‌دهند)که به آن بیزینس مدلِ RaaS می گویند.سازنده ی باج افزار آن را رایگان در میان مهاجمان مشتاق توزیع می کند و در واقع به آن‌ها توانایی می دهد تا بدون هیچگونه مهارت و تجربه ی فنی و تنها با پرکردن یک فرم و یک کلیک باج افزار دلخواه خود را ایجاد کنند.تدوین کنندگان shark در قبال ارائه چنین خدمتی 20% از پرداخت باج را برای خودشان برمی‌دارند و مابقی را به توزیع کننده می‌دهند.این پروژه در جولای 2016 آغاز به کار کرد و روی یک سایت وردپرس با دسترسی عمومی میزبانی می شود.در حالی که توسعه دهندگان RaaS وباج‌افزار معمولا سایت هایشان را روی شبکه ناشناس ساز TOR میزبانی می‌کنند تا شناسایی آن سخت باشد.
باج افزار cbt LOCKER
یکی از بدافزارهایی که اخیرا اطلاعات بسیاری از کاربران فضای مجازی را نشانه گرفته است، باج افزار    cbt LOCKER  است که یکی از خطرناک‌ترین و بدترین نوع بدافزارها می‌باشد. چرا که به غیر از آلوده کردن سیستم‌ها، موجب از دست رفتن اطلاعات مهمی می‌شود که شاید بازگرداندن آن غیر ممکن باشد.
این باج افزار با در اختیار گرفتن کنترل ورودی و خروجی‌های رایانه مثل کیبورد و صفحه نمایش، پیام‌های تهدید‌آمیزی به کاربران نمایش می‌دهد و از آنها درخواست پول می‌نماید.
این باج‌افزار می‌تواند سیستم عامل‌های ویندوز XP‌، ویستا‌، 7 و 8 را آلوده کند و روش کار به این صورت است که فایل‌هایی با پسوند‌های PEM‌، MP4‌، DB‌، DOC، DOCX و JPG‌, و سایر فایل‌های مهم و اساسی را با یک کلید نا‌مشخص رمز گذاری می‌کند به نحوی که شناسایی کلید و بازگرداندن آنها تفریبا غیر ممکن است و پس از پایان رمزگذاری، پیامی به کاربر می‌فرستد و در آن از او پول طلب می‌کند تا فایل‌های رمز شده را باز کند.
نحوه انتشار CBT locker یا  critroni
طبق معمول، نحوه انتشار از طریق ارسال فایل‌های آلوده از طریق ایمیل بوده که پس از دانلود فایل ضمیمه توسط قربانی، کاربر متوجه فایل‌هایی می‌شود که ظاهرا مخرب نیست اما با اجرای آنها، بد‌افزار روی رایانه شخص اجرا و پس از آلوده کردن سیستم، یک فایل word pad با مضمون یک شماره فکس بر روی سیستم باز می‌شود‌.
باج افزار FenixLocker
باج افزار جدید FenixLocker به تازگی شناسایی شده است. این باج افزار فایلهای قربانی را با استفاده از الگوریتم AES رمز کرده و عبارت .centrumfr@india.com!! را در انتهای فایل های رمز شده قرار می دهد. در هر فایل رمز شده یادداشت FenixILoveyou!! قرار داده شده است.
باج افزار HDDCryptor
باج افزار HDDCryptor که با نام Mamba نیز شناخته شده است، گونه جدیدی از باج‌افزارها به حساب می آید که MBR بخش بوت را بازنویسی کرده و کاربران را قفل می کند.
نسخه جدید باج افزار Fantom
نسخه جدیدی از باج‌افزار Fantom به تازگی شناسایی شده که در آن ویژگی های جالبی به باج افزار قبلی، افزوده شده است. از جمله این ویژگی‌ها می‌توان به استخراج اطلاعات و رمزنگاری شبکه به اشتراک گذاشته شده، تولید تصویر پس زمینه تصادفی و رمزنگاری آفلاین اشاره کرد. علاوه بر این به نظر می رسد مقدار باج درخواستی و ایمیل مربوط به ارتباط با مهاجم نیز بسته به نام فایل، برای هر قربانی متفاوت است.
تغییر در باج‌افزار Locky
باج افزار Locky علاوه بر اجرا در حالت آفلاین، مجددا امکان برقراری ارتباط با کارگزار کنترل و فرمان را نیز به خود اضافه کرده است. اجرا به صورت آفلاین دارای مزایا و معایب متعددی است، از جمله آنکه در صورت کار به صورت آفلاین، شبکه Locky از دید مراجع قانونی و تحلیلگران مخفی خواهد ماند. اما از طرفی در صورت عدم ارتباط قربانی با کارگزار کنترل و فرمان نمی‌توان تخمینی از تعداد قربانیان و وسعت آلودگی داشت.
در نسخه جدیدی که از باج‌افزار Locky شناسایی شده، پسوند فایل های رمز شده از ZEPTO به .ODIN تغییر یافته است. البته فایل های رمز شده با این باج‌افزار نباید با فایل های رمز شده توسط باج افزار Odin اشتباه گرفته شود.
باج افزارCyber SpLiTTer Vbs
محققان به تازگی باج‌افزاری به نام Vbs SpLiTTer Cyber را شناسایی کرده‌اند که به نظر می‌رسد در حال توسعه باشد چرا که تاکنون هیچ عملکرد مربوط به رمزنگاری در آن مشاهده نشده است.
باج‌افزار UnblockUPC
باج‌افزار  UnblockUPC باج‌افزار جدیدی است که پس از آلودگی، یادداشت باجی با نام txt.encrypted ایجاد کرده که در آن یک شناسه یکتا برای قربانی و سایت پرداختی که قربانی باید به آن مراجعه کند، مقدار باج درخواستی توسط این باج‌افزار نیز ۰.۱۸ بیت کوین یا ۱۰۰ یورو تعیین شده است.
باج‌افزار MarsJoke و انتشار ابزار رمزگشای آن
باج‌افزار  MarsJoke نخستین بار در اواخر سبتامبر 2016 (22 سبتامبر) شناسایی شده و مدتی بعد توزیع گسترده آن از طریق هرزنامه ((spam مشاهده شده است. به نظر می‌رسد این باج‌افزار سازمان‌های دولتی درجه اول ایالتی و محلی و همچنین مؤسسات آموزشی آمریکایی را مورد هدف قرار داده است. آزمایشگاه امنیت کسپرسکی موفق به انتشار ابزار رمزگشای این باج‌افزار شده است. این ابزار قادر است فایل‌های رمز شده با نسخه ۱.۹.۳۰ باج‌افزار را که دارای پسوند .a۱۹ هستند، با ابزار RannohDecryptor رمزگشایی کند.
باج‌افزار Nagini
یکی از باج‌افزارهایی که به‌تازگی شناسایی شده باج افزار Nagini است. در صفحه قفل این باج‌افزار، تصویری از ولدمورت که یکی از شخصیت‌های داستان هری پاتر است، نمایش داده شده است. در واقع Nagini نام مار ولدمورت در این داستان است. فایل‌های مورد هدف این باج‌افزار دارای پسوندهای .pdf. exe ، jpeg ، .jpg ، .png ، .bmp ، .xls ، .pptx ، .ppt ، .docx ، .doc هستند. این باج‌افزار به جای استفاده از بیت کوین، از طریق وارد کردن شماره کارت اعتباری باج خود را دریافت می‌کند.
باج‌افزار Help_dcfile
محققین باج‌افزار جدیدی را شناسایی کرده اند که به دلیل نام فایل یادداشت باج که help_dcfile.txt نام دارد، آن را help_dcfile نام نهاده‌اند. فایل‌های رمز شده توسط این باج‌افزار دارای پسوند XXX است.
باج‌افزار دونالد ترامپ
باج‌افزار دونالد ترامپ ازجمله بدافزارهایی است که در جریان انتخاباتی آمریکا ایجاد شده است. البته این باج افزار در نسخه آزمایشی خود بوده و باجی برای رمزگشایی فایل ها دریافت نمی‌کند. البته احتمال آنکه از این باج‌افزار در هرزنامه‌های انتخاباتی استفاده شود بسیار زیاد است و به همین دلیل لازم است کاربران دقت بیشتری در گشودن اینگونه ایمیل ها داشته باشند. این باج‌افزار از الگوریتم AES برای رمزنگاری فایل ها بهره برده و فایل‌های رمز شده نیز دارای پسوند .ENCRYPTED هستند.
باج‌افزار DXXD
این باج افزار پیش از این شناسایی شده بود و هم اکنون ابزار رمزگشای باج‌افزار DXXD منتشر شده است.
باج افزارPrincess Locker
باج‌افزار جدیدی به نام Princess شناسایی شده است که فایل‌های قربانی را رمز کرده و مقدار باج ۳ بیت کوین یا ۱۸۰۰ دلار از وی درخواست کرده است. درصورتی که قربانی باج را در زمان تعیین شده پرداخت نکند، مقدار باج دو برابر شده و به ۶ بیت کوین افزایش می‌یابد.
باج افزار AL-Namrood و انتشار ابزار رمزگشای آن
محققین موفق شده اند ابزار رمزگشایی برای باج افزار AL-Namrood منتشر سازند. این باج‌افزار از باج‌افزارApocalypse مشتق شده است. مهاجمین کارگزارانی را مورد هدف قرار داده‌اند که سرویس دسترسی به دسکتاپ از راه دور روی آنها فعال است. فایل‌های رمز شده توسط این باج‌افزار دارای پسوند .unavailable بوده و فایلی با نام *.Read_me.Txt به ازای هر فایل رمز شده ایجاد می‌شود.
باج‌افزار TeamXrat
مجرمین برزیلی که پیش از این به دلیل مهارت بالای خود در زمینه تروجان‌های بانکی به شهرت رسیده بودند، وارد حیطه باج‌افزارها شده‌اند. باج‌افزار ساخته شده توسط این گروه Trojan -Xpan.Win۳۲.Ransomنام داشته و شرکت‌ها و بیمارستان ها را مورد هدف قرار داده است. فایل‌های رمز شده توسط این باج‌افزار دارای پسوند .___xratteamLucked هستند.
باج‌افزار Nuke
باج‌افزارNuke که به تازگی شناسایی شده، قادر است با استفاده از الگوریتم AES فایل‌های قربانی را رمز کرده و نام فایل را تغییر دهد. پس از پایان یافتن پروسه رمزنگاری یادداشت داده_!! RECOVERY_instructions_!!.html و _!! RECOVERY_instructions_!!.txt به قربانی نمایش داده می شود که در آن نحوه ارتباط با مهاجم و پرداخت باج شرح داده شده است. نام اصلی فایل، آدرس و دیگر اطلاعات به پایان فایل رمز شده اضافه می شود.
انتشار ابزار رمزگشای باج‌افزارGlobe
باج افزار Globe ابزار رمزگشای خود را به روزرسانی کرده است. فایل‌های رمز شده توسط این باج‌افزار یا دارای پسوند .purge است و یا آدرس ایمیل و چند کاراکتر تصادفی پس از نام فایل قرار می‌گیرد.
چگونه از حملات باج افزار ها جلوگیری کنیم؟
همانطور که میدانیم باج افزارها یک نوع پیچیده و پیشرفته از نرم افزارهای مخرب هستند که از طریق اسپم های آلوده و یا بسته های نفوذی به سیستم قربانی وارد می شوند و مجموعه ای از بدافزارها شامل داده ها وکد های اجرایی مخرب هستند که از آسیب پذیری نرم افزار ها برای نفوذ بهره می برند.فایل های قربانی را از دسترس او خارج و برای ایجاد دسترسی مجدد او به اطلاعاتش درخواست پول می نمایند.
آنچه مسلم است همواره پیشگیری بهتر از درمان است بنابراین ذکر چند نکته بسیار مهم در این مورد می تواند کاربران را از مواجه با مشکلات احتمالی محافظت کند.
تهیه ی نسخه پشتیبان
در اختیار داشتن یک نسخه پشتیبان به این معنی است که اطلاعات شما برای همیشه از گزند باج افزار ها در امان می ماند. بهترین راهکار برای تهیه ی نسخه پشتبان ایجاد دو نسخه همزمان است.نسخه ی اول روی یک فضای ابری (استفاده از سرویسی که به طور خودکار عملیات پشتیبانگیری انجام دهد)در صورتی که دسترسی به فضای ابری ندارید می توانید این سرویس را از مجموعه آفاق تهیه نمائید.و نسخه ی دوم بر روی یک رسانه ی فیزیکی (هارد اکسترنال حافظه های فلش لپ تاپ و ...)نکته ی قابل ذکر این است که پس از کامل شدن نسخه ی پشتیبان این ابزار ها را از دستگاه خود جدا کنید. همچنین در محافظت از نسخه های پشتیبان نیز دقت کنید.زیرا همه ی ما تجربه ی پاک شدن اتفاقی و یا از کار افتادن هارد درایو ها را داریم.
از یک آنتی ویروس قدرتمند استفاده کنید
برای حفاظت سیستم خود در برابر باج افزار ها یک آنتی ویروس با ثبات و قدرتمند بر روی آنها نصب کنید.دقت کنید که بخش های اکتشافی آنها که برای کشف و جلوگیری از نمونه های جدید و شناسایی نشده باج افزار ها طراحی شده اند را غیرفعال نکنید.
سیستم عامل و تمام نرم افزار های خود را به روز نگه دارید
زمانی که برای سیستم عامل شما و یا نرم افزارهای نصب شده روی آنها نسخه ی جدیدی منتشر می شود این نسخه ی جدید را نصب کنید و یا درصورتی که نرم افزارها بخشی برای به روز رسانی خودکار دارند آن را غیر فعال نکنید.
به کسی اعتماد نکنید
هر حساب کاربری به طور بالقوه می تواند در معرض خطر باشد. پیوند های مخرب می توانند توسط حساب های کاربری دوستان شما در یک شبکه ی اجتماعی همکاران و یا یک همبازی در یک بازی آنلاین ارسال شوند. دقت کنید هرگز فایل های ضمیمه ایمیلی که از فرستنده ناشناس ارسال شده است را باز نکنید. مجرمان سایبری معمولا اقدام به انتشار ایمیل های جعلی که بسیار شبیه ایمیل های اطلاع رسانی و یا اخطار از یک فروشگاه آنلاین یک بانک پلیس یک دادگاه و یا یک نهاد جمع آوری مالیات می کنند.دریافت کننده ناآگاه با کلیک کردن بر روی پیوند مخرب بد افزار را بر روی سیستم خود دریافت و به اجرا در می آورند.به این عمل فیشینگ می گویند.
گزینه ی نمایش پسوند فایل ها را در سیستم عامل خود فعال کنید
این کار باعث می شود فایل های بالقوه مخرب را راحتتر پیدا کنید.همچنین مراقب فایل هایی با پسوند هایی نظیر .scr .exe .vbs  باشید کلاهبرداران به راحتی از پسوند های مختلف برای مخفی کردن فایل های مخرب خود استفاده می کنند.
نکته مهم : اگر یک فرآیند ناشناس و

Hai trovato utile questa risposta?

« Indietro