باج افزار ها، گروگان‌گیر های دیجیتالی

باج افزارها (Ransomwares)نوعی از بدافزارهای مخرب هستند که به سیستم های رایانه ای (کامپیوترهای‌شخصی، تلفن‌های همراه و سایر تجهیزات رایانه‌ای) قربانی حمله کرده و با رمز نگاری اطلاعات موجود در سیستم ها، اطلاعات مهم کاربر را گروگان گرفته و در ازای ارسال کلید لازم برای رمز گشایی اطلاعات، از کاربر طلب باج می‌کنند. اما آیا می‌دانستید که هدف اولین باج افزار شناخته شده تاریخ، افراد فعال حوزه بهداشت و درمان بوده است؟ آیا می‌دانید هنوز هم شبکه بهداشت و درمان از جمله بیمارستان‌ها،مراکز درمانی، کلینیک‌ها و مطب‌ها، از اهداف باج افزار ها هستند؟ برای مثال:

  • باج افزار Defray بدافزاری است که در سال ۲۰۱۷ با هدف قرار دادن مراکز بهداشتی-درمانی و بیمارستان‌ها کار خود را آغاز کرد.
  • باج افزار SamSam بر خلاف سایر باج افزارها، اهداف خود را با دقت انتخاب می‌کند. مشاهدات حاکی از آن است که این باج افزار عموماً مراکز بهداشتی و درمانی را مورد هدف قرار می دهد. (به گزارش مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای)
  • باج افزار WannaCry چندین سامانه بیمارستانی و درمانی در کشورمان را هدف قرار داده است. (به گزارش مرکز ماهر)

تاریخچه باج افزار: اولین باج افزار

اولین باج افزار یا Ransomware شناخته شده در سال ۱۹۸۹ میلادی دیده شد. زیست‌شناسی به نام دکتر جوزف پاپ (Joseph Popp)، بیش از بیست هزار فلاپی دیسک آلوده را برای پژوهشگران حوزه بهداشت و درمان ارسال کرد. او ادعا می‌کرد که این فلاپی‌دیسک‌ها حاوی یک نظرسنجی هستند که با کمک آن  می‌توان میزان ریسک مبتلا شدن به HIV را مشخص کرد. باج افزار موجود در فلاپی دیسک پس از اجرا در کامپیوتر قربانی، تعداد دفعات بوت شدن سیستم را می‌شمرد، پس از ۹۰ بار بوت شدن سیستم، اقدام به رمزنگاری فایل های روی سیستم کرده و هنگامی که پروسه رمزنگاری فایل ها به اتمام می‌رسید، پیامی به کاربران سیستم های آلوده شده نشان می‌داد که در آن ادعا شده بود باید برای تمدید مجوز (License) استفاده از نرم افزار عرضه شده توسط شرکت “PC Cyborg Corporation” باید مبلغی بین ۱۸۹ تا ۳۷۸ دلار را توسط پست به صندوق پستی مشخصی در کشور پاناما ارسال کنند.

اولین باج افزار شناسایی شده در سال 1989 به نام ویروس ایدز

این باج افزار به نام های PC Cyborg و تروجان ایدز معروف شد و خالق آن، دکتر جوزف پاپ بیولوژیست دانشگاه هاروارد به اتهام باجگیری دستگیر و محاکمه شد، البته او ادعا می‌کرد که قصد داشته عواید حاصل از این کار را صرف تحقیقات در رابطه با ویروس HIV و بیماری ایدز کند. البته شیوه ای که برای رمزنگاری فایل ها به کار گرفته بود، بی نقص نبوده و امکان رمز گشایی بدون کلید برای متخصصان علوم کامپیوتر فراهم بود.

باج افزار ها چند نوعند؟

باج افزارها (Ransomware) را می‌توان به صورت های گوناگون دسته بندی کرد. ما در این مقاله از دسته بندی زیر استفاده می‌کنیم:

۱- Scareware: ترس افزار‌ یکی از ساده ترین انواع باج افزار است که وانمود می‌کند سیستم دچار ویروس شده و برای از بین بردن ویروس باید نرم افزار خاصی (آنتی ویروس جعلی) نصب شود. کاربر دچار ترس شده و اجازه نصب نرم افزار را می‌دهد. بعد از نصب نرم افزار، کاربر با پیام ها و pop up هایی مواجه می‌شود که اعلام می‌کند جهت ویروس یابی باید لایسنس خریداری شود و مبلغی پول طلب می‌کند.

نوع دیگری از ترس افزار ها اقدام به نمایش پیامی از طرف پلیس یا سازمان های امنیتی می‌کنند. این پیام معمولا شامل هشداری مبنی بر نصب نرم افزار های غیر قانونی روی سیستم است و از کاربر می‌خواهند بابت نقض قوانین جریمه ای را پرداخت کند.

این نوع باج افزار ها خطر زیادی ندارند و با یک آنتی ویروس استاندارد و آپدیت شده قابل حذف هستند.

۲- Lockscreen: این باج افزار ها پس از فعال شدن، صفحه نمایش سیستم را قفل کرده و اجازه‌ی دسترسی به فایل ها و نرم افزارهای روی سیستم را سلب کرده و برای دسترسی به آن‌ها از کاربر پول می‌خواهند.

این نوع از باج افزارها نیز تغییری در فایل ها و نرم افزارها نمی‌دهند و پس از کشف و خنثی شدن توسط آنتی ویروس، هیچ گونه اثر مخربی روی سیستم باقی نخواهند گذاشت.

۳- cryptoware: رمزنگار ها از بدترین و بی‌رحم ترین انواع باج افزار هستند. cryptoware نوعی نرم افزار رمزنگار است که فایل های روی سیستم را رمزگذاری می‌کند. فایل‌های عکس، ویدئو، اسناد، بانک های‌ اطلاعاتی و … از انواع فایل هایی هستند که توسط این از باج افزارها مورد حمله قرار می‌گیرند. پس از رمز شدن کلیه فایل ها، به کاربر اعلام می‌شود که کلیه فایل‌های روی سیستم رمزگذاری شده و برای برگرداندن به حالت اول باید باج پرداخت شود. از آن جا که صدمات این نوع باج افزارها تقریبا غیر قابل جبران است، در این مقاله بیشتر در این مورد صحبت خواهیم کرد. از این‌جا به بعد منظور از عبارت “باج افزار“، cryptoware یا رمزنگار است.

چگونه با باج افزارها مقابله کنیم؟

قبل از این که به این سوال پاسخ دهیم، باید بدانیم که باج افزار‌ها چگونه کار می‌کنند. اصول کار باج افزار ها به این صورت است که به نحوی وارد سیستم هدف شده و سپس با استفاده از یک الگوریتم رمزنگاری، اقدام به رمز کردن اطلاعات سیستم هدف می نمایند. پس از رمز شدن فایل‌ها، کاربر سیستم برای دستیابی به اطلاعات رمز شده، نیاز به دانستن کلید رمزگشایی بوده و این کلید تنها در اختیار سازنده باج افزار است. بنابراین کاربر مجبور است کلید رمزگشایی را با پرداخت پول به سازنده باج افزار به دست آورد. البته هیچ تضمینی برای دریافت کلید رمزگشایی پس از پرداخت پول نیست. معمولا از کاربر خواسته می‌شود مقادیری پول مجازی مانند بیت کوین را به حساب سازنده باج افزار ارسال و از طریق تاییدیه ارسال وجه و شناسه اختصاصی سیستم را اطلاع دهد تا سازنده باج افزار کلید رمزگشایی اختصاصی را به همان آدرس ایمیل ارسال کند.

نحوه انتشار و فعالیت باج افزار ها

رمزنگاری و رمزگشایی چگونه انجام می‌شود؟

برنامه های باج افزار معمولا از الگوریتم های رمزنگاری قدرتمندی استفاده می‌کنند که به سادگی نمی‌توان آن ها را شکست و به اطلاعات رمز نشده دست یافت. اصول رمزنگاری به این صورت است که یک فایل معمولی به همراه یک کلید رمزنگاری، به الگوریتم رمزنگار داده شده و از طرف دیگر یک فایل رمز شده و غیر قابل فهم دریافت می‌شود. برای بازگشایی فایل رمز شده نیز باید آن را به همراه کلید بازگشایی، به الگوریتم رمزگشایی داده و سپس فایل اصلی را دریافت کرد. معمولا باج افزارها برای هر سیستم کامپیوتری بر اساس مشخصه های سخت افزار و نرم افزاری سیستم یک کلید اختصاصی ایجاد می‌کنند و کلیدی که برای رمزگشایی یک سیستم ایجاد شده باشد، برای سیستم دیگر کاربرد ندارد. البته در بعضی از مواقع به علت مشکلی که در برنامه نویسی باج افزار یا الگوریتم رمزنگاری استفاده شده وجود دارد، شرکت ها و سازمان های امنیتی توانسته اند از طریق این حفره ها، به باج افزار نفوذ کرده و کلیدهای رمزگشایی را بدون نیاز به پرداخت باج تولید کنند. البته این مورد برای همه‌ی باج افزار ها صادق نیست و ممکن است کشف این گونه حفره های امنیتی ماه ها طول بکشد. از طرفی برخی از باج افزار ها محدودیت زمانی برای پرداخت باج مشخص می‌کنند و بعد از زمان مشخصی اقدام به حذف فایل ها می‌کنند. در این حالت حتی به دست آوردن کلید رمزگشایی هم بی فایده خواهد بود.

پیشگیری بهتر از درمان:

با توجه به این که  باج های خواسته شده مبالغ سنگینی معمولا در حدود یک بیت کوین هستند(یک بیت کوین در زمان نگارش مقاله در حدود یک میلیارد ریال است) و همچنین ممکن است پس از پرداخت پول هم کلید رمزگشایی ارسال نگردد، لذا بهترین کار پیشگیری از آلوده شدن به باج افزار است. برای پیشگیری از ابتلا به باج افزار ابتدا روش های انتشار و آلوده سازی سیستم ها را مرور می‌کنیم: ۱- ایمیل: ارسال فایل های آلوده به آدرس ایمیل کاربران، یکی از راه های قدیمی انتشار ویروس‌ها و باج افزارهاست. فرستنده ایمیل در متن نوشته شده کاربر را ترغیب می‌کند تا فایل ضمیمه شده یا لینک دانلود فایل آلوده را باز کند. سپس باج افزار وارد سیستم شده و پروسه رمزنگاری را شروع می‌کند.
پروسه انتقال و آلودگی سیستم با باج افزار

پروسه انتقال باج افزار از طریق لینک آلوده در ایمیل به رایانه

تصاویر زیر دو نمونه از ایمیل های آلوده به باج افزار است که برای یکی از پرسنل گروه فناوری اطلاعات ژنیک ارسال شده:

 

نویسنده ایمیل بالا ادعا می‌کند که ایمیل از طریق اداره پست ایران فرستاده شده و کاربر را ترغیب می‌کند تا برای پیگیری وضعیت مرسوله خود، فایل ضمیمه شده را باز کند. در تصویر پایین هم نویسنده با نوشتن متن کوتاه و تا حدی مبهم سعی دارد کنجکاوی کاربر را برانگیزد تا ضمیمه ایمیل را باز کند.

برای جلوگیری از آلوده شدن به بد افزار از طریق ایمیل، کافیست که از باز کردن ایمیل های مشکوک و غیر منتظره خودداری کرد. ایمیل هایی که از طرف افراد ناشناس یا خیلی معروف ارسال می‌شوند، محتوای گنگ یا مبهم دارند و شما را تشویق به باز کردن لینک یا فایل ضمیمه ایمیل می‌کنند.

۲- شبکه های اجتماعی: با توجه به رشد فزاینده شبکه های عمومی در سال های اخیر، این گونه مکان ها بستر بسیار مناسبی برای انتقال فایل ها از جمله انواع بد افزارها به خصوص بد افزارهای موبایلی و باجگیر شده اند. در گروه ها و کانال های عمومی فایل هایی فرستاده می‌شود که ادعا می‌کنند نرم افزارهای کاربردی هستند و سعی در فریب کاربر برای نصب خود دارند. با نصب این‌گونه نرم افزارها، یا بد افزار به طور مستقیم روی دستگاه فعال می‌شود یا نرم افزار نصب شده با سرور فرماندهی خود ارتباط برقرار کرده و بدافزار را از اینترنت دریافت و پنهانی نصب خواهد کرد.

پخش بد افزار در شبکه های اجتماعی

نمونه هایی از نحوه تبلیغ و انتشار بد افزار در شبکه های مجازی

۳– تبلیغات: در این روش سازندگان باج افزار از سایت ها و شبکه های تبلیغاتی برای انتشار باج افزار استفاده می‌کنند.

۴- اکسپلویت‌ها: اکسپلویت ها کدهایی هستند که برای سوء استفاده از حفره های امنیتی سیستم عامل ها و نرم افزارها با هدف استفاده و ایجاد دسترسی غیر مجاز، ایجاد حملات مختلف و یا اختلال در سیستم های کامپیوتری نوشته می‌شوند. اکسپلویت ها معمولا هنگام کشف آسیب پذیری ها یا بعد از کشف حفره های امنیتی نوشته می‌شوند. بنابراین با بروزرسانی مداوم سیستم عامل و نرم افزار های سیستم تا حد زیادی می‌توان جلوی انتقال باج افزار از طریق حفره های امنیتی سیستم عامل و نرم افزارها را گرفت.

آسیب پذیری های اکسپلویت

اقدامات حفاظتی بیشتر:

استفاده از آنتی ویروس استاندارد و آپدیت شده: صرف نصب بودن آنتی ویروس، امنیت شما تضمین نمی‌شود. بلکه آنتی ویروس باید به طور منظم بروزرسانی شود. هر روزه ویروس ها و باج افزار های مختلفی ساخته می‌شوند و تنها یک آنتی ویروس بروز شده می‌تواند آن‌ها را شناسایی کند.

بکاپ گیری: در صورت آلوده شدن به باج افزار فقط داشتن نسخه های پشتیبان (Backup) از فایل ها و دیتابیس‌های مهم می‌تواند نجات دهنده شما باشد. اما چطور بکاپ بگیریم؟ آیا داشتن فلش یا هارد دیسک اکسترنال و انتقال بکاپ ها به آن راه خوبیست؟ مسلما خیر. در مقاله آتی به بررسی روش های مختلف تهیه بکاپ خواهیم پرداخت.

اگر به بدافزار آلوده شدیم چه کنیم؟

در صورت آلودگی بهترین کار استفاده از نسخه پشتیبان است. ابتدا با آنتی ویروس مناسب باج افزار را از بین ببرید و سپس بکاپ‌ها را بازگردانی کنید. در صورتی از اطلاعات روی سیستم بکاپ نداشتید، باید امیدوار باشید تا راهی برای بازگردانی اطلاعاتتان پیدا شود. وب سایت nomoreransom.org به بررسی باج افزارها و راه های بازگردانی اطلاعات می‌پردازد. به این وبسایت مراجعه کنید و در صورتی که ابزار مناسبی برای شما ارائه شده بود، از آن استفاده کنید.

به خاطر داشته باشید که به هیچ عنوان نباید باج پرداخت کنید چون هیچ تضمینی برای ارسال کلید رمزگشایی از جانب سازنده باج افزار وجود ندارد.

در صورتی که نیاز به اطلاعات بیشتر دارید، ما آماده پاسخگویی به شما هستیم. با ما تماس بگیرید.

حملات باجگیر ها به مراکز درمانی و بهداشتی:

مراکز درمانی به دلیل نگهداری از اطلاعات و پرونده الکترونیکی بیماران از جمله اهداف بسیار آسیب پذیر باج افزار ها هستند. اطلاعات بیماران و پرونده های پزشکی الکترونیکی بیماران چه در نرم افزار‌های بیماستانی (HIS) و چه در نرم افزار مدیریت مطب یا کلینیک، درون دیتابیس یا بانک اطلاعاتی نرم افزار نگه داری می‌شوند. این بانک های اطلاعاتی به صورت فایل روی هارد دیسک ذخیره می‌شوند. در صورتی که باج افزار به کامپیوتر حاوی بانک اطلاعاتی وارد شود، با رمز کردن فایل ها، موجب از دست رفتن اطلاعات بیماران شده و صدمات وارده جبران ناپذیر خواهد بود. این اتفاق بارها رخ داده است. یکی از مهم ترین  باج افزار های چند سال اخیر به نام WannaCry از طریق   نفوذ به سیستم عامل ویندوز مایکروسافت حمله‌ی گسترده ای  به سیستم های کامپیوتری و نرم افزاری چند بیمارستان و مرکز درمانی مهم در انگلستان انجام داد  و این مراکز درمانی مجبور شدند نوبت های کلیه بیماران را لغو و حتی مقصد آمبولانس ها را به مراکز درمانی دیگری انتقال دهند. چندی پس از این اتفاق، این باج افزار (وانا کرای) سیستم های رایانه ای چندین بیمارستان دیگر در سایر کشورها را نیز مورد هدف قرار داد. در گزارش دیگری بیمارستان اتاوا در کشور کانادا اعلام کرد که شبکه کامپیوتری این مرکز تحت حمله بدافزار باج‌گیر  قرارگرفته است و ۴ سیستم از مجموع ۹۸۰۰ کامپیوتر این بیمارستان آلوده‌شده‌اند. خوشبختانه این بیمارستان محافظت‌های امنیتی کافی را برای مقابله با این بدافزار از جمله سیستم بکاپ گیری منظم را داشته است. و اطلاعات بیمار از این طریق به سرقت نرفته است. همچنین قبلا حمله ای به مرکز درمانی Hollywood Presbyterian نیز انجام شده بود و این بیمارستان به علت ضعف امنیتی در سیستم های خود دچار آسیب شده و مبلغ ۱۷۰۰۰ دلار پرداخت نمود تا سیستم‌های آنها رمزگشایی شود. در ایران نیز بیمارستان های متعددی از جمله تعدادی از بیمارستان های اصفهان و همچنین بیمارستان فوق تخصصی ام لیلا بندرعباس به باج افزار آلوده شده اند.