امنیت به زبان ساده: باج‌افزار چیست و چطور کار می‌کند؟

باج‌افزار یا Ransomware یک‌جور بدافزار است که فایل‌های قربانی خود را رمزگذاری می‌کند. هکر سپس خواستار باج از قربانی می‌شود و در ازای پول دریافتی، امکان دسترسی دوباره به فایل‌ها را مهیا می‌سازد. در این بدافزارها، کاربر معمولا دستورالعمل مشخصی را برای پرداخت پول باید دنبال کند و مبلغ درخواستی می‌تواند بین صدها دلار تا هزاران دلار متغیر باشد که از طریق بیت‌کوین به هکر پرداخت می‌شود.

باج‌افزار چطور کار می‌کند؟

باج‌افزارها به چند طریق می‌توانند از کامپیوتر قربانیان سر در آوردند. یکی از رایج‌ترین راه‌ها، از طریق اسپم فیشینگ است - یعنی فایل‌های ضمیمه‌ای که از طریق ایمیل به دست قربانی می‌رسد و با فایل‌های قابل اعتماد اشتباه گرفته می‌شود. به محض دانلود و باز شدن، این بدافزارها می‌توانند کنترل کامپیوتر قربانی را به دست بگیرند، خصوصا اگر از ابزارهای مهندسی اجتماعی بهره‌مند شده باشند و کاربر را متقاعد به دادن دسترسی‌های مدیریتی کنند. برخی دیگر از فرم‌های تهاجمی‌تر باج‌افزار، مانند بدافزار NotPeyta، با سوء استفاده از حفره‌های امنیتی به کامپیوترها رخنه می‌کنند و اصلا نیازی به فریب دادن کاربر ندارند.

بدافزار به محض ورود به کامپیوتر قربانی ممکن است دست به کارهای مختلفی بزند، اما رایج‌ترین اتفاق، رمزنگاری تمام یا بخشی از فایل‌های کاربر است. مهم‌ترین چیزی که باید در این باره بدانید آن است که در پایان پروسه، فایل‌های قفل شده را نمی‌توان بدون کلیدی که تنها در اختیار هکر است رمزگشایی کرد. کاربر معمولا یک پیام دریافت می‌کند که در آن توضیح داده شده فایل‌هایش از دسترس خارج هستند و تنها زمانی رمزگشایی می‌شوند که او یک پرداخت بیت‌کوینی غیر قابل ردیابی به هکر داشته باشد.

در برخی از بدافزارها نیز ممکن است مهاجم خودش را جای یک آژانس قضایی جا بزند و مدعی شود که کامپیوتر قربانی به خاطر وجود محتویات هرزنگارانه یا نرم‌افزارهای غیر قانونی، قفل شده و حالا باید «جریمه» لازم را پرداخت. در این شرایط، قربانی به احتمال کمتری با پلیس و دیگر مراجع قانونی ارتباط برقرار می‌کند. اما اکثر مهاجمین زحمت چنین ترفندهایی را به خود نداده و مستقیم سر اصل مطلب می‌شوند.

چه کسی تبدیل به هدف باج‌افزارها می‌شود؟

هکرها به چند روش مختلف سازمان‌های هدف خود را انتخاب می‌کنند. برخی از اوقات، موضوع راجع به فرصت‌شناسی است: مثلا هکرها ممکن است دانشگاه‌ها را هدف قرار دهند چون تیم امنیتی کوچک‌تری دارند و در عین حال، افراد زیادی در شبکه به تبادل فایل می‌پردازند و بنابراین رخنه به آن‌ها آسان‌تر است.

از سوی دیگر، برخی سازمان‌ها تبدیل به اهدافی وسوسه‌برانگیز برای هکرها می‌شوند چون به احتمال زیاد فورا به پرداخت باج تن می‌دهند. برای مثال آژانس‌های دولتی یا تاسیسات پزشکی معمولا نیازمند دسترسی آنی به فایل‌های خود هستند. شرکت‌های قانونی و دیگر سازمان‌هایی که اطلاعاتی حساس دارند نیز ترجیح می‌دهند سریعا مبلغ درخواستی را بپردازند و نام‌شان وارد اخبار نشود.

اما اگر در هیچ یک از این دسته‌بندی‌ها قرار نمی‌گیرید هم نباید خیالتان کاملا راحت باشد: بسیاری از باج‌افزارها به صورت اتوماتیک در سطح اینترنت شیوع می‌یابند.

چطور از ورود باج‌افزار به کامپیوتر جلوگیری کنیم؟

تدابیر امنیتی مختلف را می‌توان برای جلوگیری از رخنه باج‌افزارها به کامپیوتر شخصی به کار بست. با دنبال کردن گام‌هایی که در پایین تشریح می‌کنیم، نه‌تنها در برابر باج‌افزارها به صورت خاص، بلکه در برابر اکثر بدافزارها ایمن خواهید بود. بنابراین در به کارگیری آن‌ها حتی یک لحظه تردید نکنید:

• سیستم عامل را همواره به‌روز نگه دارید تا تمام آسیب‌پذیری‌های شناخته شده، پچ شوند.
• تنها در صورتی به نصب نرم‌افزارها و دادن دسترسی ادمین به آن‌ها بپردازید که کاملا از اعتبار و کارکردشان مطمئن باشید.
• همواره یک نرم‌افزار آنتی‌ویروس روی کامپیوتر نصب داشته باشید تا بدافزارهایی مانند باج‌افزارها را به محض ورود شناسایی کنند.
• و مهم‌تر از همه اینکه همواره از فایل‌هایتان بکاپ بگیرید، به صورت مداوم و خودکار. این کار از وقوع حمله جلوگیری نمی‌کند، اما آسیب‌های وارده به حداقل خواهد رسید.

آمارها و حقایق مربوط باج‌افزارها

باج‌افزار تجارتی بزرگ است. در دنیای باج‌افزارها پول بسیار زیادی کسب می‌شود و این بازار از ابتدای دهه ۲۰۱۰، به شکلی تصاعدی و چشمگیر رشد کرده. در سال ۲۰۱۷ میلادی، باج‌افزارها خسارتی بالغ بر ۵ میلیارد دلار به قربانیان خود وارد کردند، رقمی که هم با محاسبه باج‌های پرداخت شده و هم ضرر ناشی از حملات به دست آمده. جالب است بدانید این رقم، ۱۵ برابر بیشتر از ضرر ناشی از باج‌افزارها در سال ۲۰۱۵ بوده است.

برخی بازارها به صورت خاص در برابر باج‌افزارها آسیب‌پذیر هستند. بسیاری از برجسته‌ترین حملات باج‌افزارها در بیمارستان‌ها و دیگر سازمان‌های درمانی رخ داده است که هدفی وسوسه‌برانگیز برای هکرها هستند: مهاجمین می‌دانند که وقتی بحث جان آدم‌ها در میان است، این سازمان‌ها به احتمال بیشتری حاضر به پرداخت باج‌های نه‌چندان کلان می‌شوند تا فقط از مصیبت پیش آمده خلاصی یابند. تخمین زده شده که بالغ بر ۴۵ درصد از حملات باج‌افزارها، همین سازمان‌ها و مراکز درمانی را هدف قرار می‌دهند و ۸۵ درصد از آلودگی‌های بدافزاری این سازمان‌ها نیز مرتبط به باج‌افزارها است.

نرم‌افزارهای محافظتی لزوما از شما مراقبت نمی‌کنند. باج‌افزارها مداوما از سوی توسعه‌دهندگان‌شان دستکاری و بازنویسی می‌شوند، بنابراین خیلی از اوقات نرم‌افزارهای آنتی‌ویروس قادر به تشخیص آن‌ها نیستند. در واقع ۷۵ درصد از کمپانی‌هایی که قربانی باج‌افزار می‌شوند، آخرین ورژن از این نرم‌افزارهای آنتی‌ویروس را روی دستگاه‌های آلوده خود به اجرا در می‌آورند.

باج‌افزارها دیگر مثل قبل استفاده گسترده نمی‌شوند. این هم یک خبر خوب: شمار حملات باج‌افزارها از اواسط دهه ۲۰۱۰ به بعد کاهش یافته، هرچند که ارقام ابتدایی آنقدر زیاد بوده که هنوز هم نمی‌توان از ارقام کنونی چشم‌پوشی کرد. در سه‌ماهه ابتدایی سال ۲۰۱۷، باج‌افزارها بالغ بر ۶۰ درصد از بدافزارهای موجود را تشکیل می‌دادند و این رقم اکنون به ۵ درصد رسیده.

آیا باید باج‌ها را پرداخت؟

اگر سیستم شما به بدافزار آلوده شده و تمام اطلاعات حیاتی از دست رفته باشد، آیا باید به هکرها باج داد؟

در تئوری، مراجع قضایی همواره کاربران را ترغیب به عدم پرداخت پول به هکرها کرده‌اند، زیرا چنین کاری باعث می‌شود که هکرها صرفا به ساخت باج‌افزارهای بیشتر ترغیب گرددن. با این همه بسیاری از سازمان‌هایی که گرفتار این مشکل می‌شوند دیگر چنین ذهنیت‌هایی برایشان اهمیت ندارد و شروع به تحلیل میزان ضرر می‌کنند، به عبارت دیگر، به مقایسه پول درخواستی و ارزش اطلاعات رمزنگاری شده می‌پردازند. آمارها نشان می‌دهند که گرچه ۶۶ درصد از کمپانی‌ها می‌گویند هیچوقت حاضر به پرداخت باج نمی‌شوند، اما در عمل ۶۵ درصد از آن‌ها پول درخواستی هکرها را می‌پردازند.

مهاجمین معمولا پول درخواستی را نسبتا پایین نگه می‌دارند: چیزی بین ۷۰۰ الی ۱۳۰۰ دلار. به این ترتیب، کمپانی‌ها در مدت‌زمانی کوتاه به پرداخت پول تن می‌دهند. برخی با‌ج‌افزارهای پیشرفته‌تر هم قادر به تشخیص نقطه جغرافیایی کامپیوتر آلوده هستند و رقم را طوری تعیین می‌کنند که با وضعیت اقتصادی کشور سازگار باشد. به این ترتیب، شرکت‌های حاضر در کشورهای غنی، پول بیشتری نسبت به شرکت‌های حاضر در کشورهای فقیر می‌پردازند.

گاهی هکرها می‌گویند که اگر در پرداخت باج سرعت عمل نشان دهید، از نوعی تخفیف برخوردار خواهید شد و به این ترتیب، قربانی را ترغیب می‌کنند که پول را پیش از تفکر بیشتر راجع به شرایط بپردازد. به صورت کلی رقم تعیین شده به‌گونه‌ای است که هم ارزش زحمات هکرها را داشته باشد و هم آنقدر کم باشد که قربانی به پرداخت آن تن بدهد. جالب اینکه برخی کمپانی‌ها هم در بودجه امنیت خود، پولی را برای باج‌گیری‌های احتمالی کنار می‌گذارند. مثلا برخی شرکت‌های بریتانیایی، مقداری بیت‌کوین را به صورت رزرو نگه داشته‌اند تا فقط در زمان آلودگی سیستم‌ها به باج‌افزار از آن‌ها استفاده کنند.

چند چیز را باید در خاطر نگه داشت: مهم‌ترین چیز اینست که در این شرایط، شما دارید با مجرمان سر و کله می‌زنید. این مجرمان ترفندهای گوناگون را به کار می‌گیرند. گاهی از اوقات داده‌های شما اصلا رمزنگاری نشده،‌ بنابراین پیش از پرداخت پول باید مطمئن شوید که با پدیده‌ای دیگر به نام «وحشت‌افزار» روبه‌رو نشده باشید. از سوی دیگر، پرداخت پول به صورت تضمین شده به آزاد شدن اطلاعات منجر نمی‌شود. گاهی مجرمان پول‌تان را گرفته و فرار می‌کنند و شاید اصلا مکانیزم رمزگشایی را درون بدافزار خود تعبیه نکرده باشند. اما در این صورت هکرها بدنام می‌شوند و دیگر قادر به درآمدزایی نیستند. به همین خاطر است که در ۶۵ الی ۷۰ درصد مواقع، اطلاعات‌تان واقعا بعد از پرداخت پول آزاد می‌شوند.

چند مثال از باج‌افزارها

اگرچه باج‌افزارها از دهه ۱۹۹۰ میلادی وجود داشته‌اند، اما طی ۱۰ سال اخیر بیشترین میزان موفقیت را تجربه کرده‌اند. عمدتا به خاطر ظهور متدهای پرداخت غیر قابل ردگیری مانند بیت‌کوین. برخی از بدترین باج‌افزارهای تاریخ، به شرح زیر هستند:

• CryptoLocker یک باج‌افزار مدرن بود که در سال ۲۰۱۳ منتشر شد و در پیک خود، بالغ بر ۵۰۰ هزار دستگاه را آلوده کرد.
• TeslaCrypt در زمان وحشت‌افکنی خود، به صورت خاص از طریق فایل‌های مرتبط با بازی‌های ویدیویی منتشر شد.
• SimpleLocker نخستین باج‌افزاری بود که به صورت گسترده، موبایل‌های هوشمند را هدف قرار داد.
• WannaCry به صورت اتوماتیک و با استفاده از EternalBlue از یک کامپیوتر به کامپیوتر دیگر راه می‌یافت. EternalBlue اسکپلویتی بود که توسط آژانس امنیت ملی آمریکا توسعه یافت و بعد توسط هکرها به سرقت رفت.
• NotPetya نیز از EternalBlue استفاده کرد و یکی از محبوب‌ترین باج‌افزارهای هکرهای وابسته به روسیه بود که علیه کشور اکراین فعالیت می‌کردند.
• Locky در سال ۲۰۱۶ شیوع یافت و به صورت خاص سیستم‌های بانکی را هدف قرار می‌داد. یک ورژن دیگر از آن به نام Osiris نیز از طریق کمپین‌های فیشینگ شیوع یافت.
• LeatherLocker برای نخستین بار طی سال ۲۰۱۷ و در دو اپلیکیشن اندرویدی به نام‌های Booster & Cleaner و Wallpaper Blur HD یافت شدند. به جای رمزنگاری فایل‌ها، این بد‌افزار صفحه هوم را قفل می‌کرد تا دسترسی به داده‌ها محدود شود.