Ultimate magazine theme for WordPress.

چرا حملات باج افزار در حال ظهور هستند؟

0

به گزارش تک‌فکت; شوق مدرن باج افزار با شیوع WannaCry در سال 2017 آغاز شد. این حمله در مقیاس بزرگ و بسیار تبلیغاتی نشان داد که حملات باج افزار امکان پذیر و بالقوه سودآور هستند. از آن زمان، ده ها نوع باج افزار توسعه یافته و در انواع حملات مورد استفاده قرار گرفته است.

همه‌گیری COVID-19 همچنین به افزایش اخیر باج‌افزارها کمک کرد. از آنجایی که سازمان‌ها به سرعت به سمت کار از راه دور حرکت کردند، شکاف‌هایی در دفاع سایبری آنها ایجاد شد. مجرمان سایبری از این آسیب‌پذیری‌ها برای ارائه باج‌افزار سوء استفاده کرده‌اند که در نتیجه حملات باج‌افزاری افزایش یافته است. در سه ماهه سوم سال 2020، حملات باج افزار نسبت به نیمه اول آن سال 50 درصد افزایش یافته است.

باج افزار چگونه کار می کند؟

برای موفقیت، باج افزار باید به یک سیستم هدف دسترسی پیدا کند، فایل های موجود در آن را رمزگذاری کند و از قربانی باج بگیرد. در حالی که جزئیات پیاده‌سازی از یک نوع باج‌افزار به باج‌افزار دیگر متفاوت است، همه سه مرحله هسته‌ای مشترک دارند

مرحله 1. ناقلین باج‌افزار و توزیع

باج افزار، مانند هر بدافزار، می تواند به روش های مختلف به سیستم های سازمان دسترسی پیدا کند. با این حال، اپراتورهای باج‌افزار تمایل دارند چند ناقل آلودگی خاص را ترجیح دهند. یکی از اینها ایمیل های فیشینگ است. یک ایمیل مخرب ممکن است حاوی پیوندی به وب‌سایتی باشد که میزبان دانلود مخرب است یا پیوستی که قابلیت دانلود داخلی را دارد. اگر گیرنده ایمیل گرفتار فیشینگ شود، باج‌افزار بر روی کامپیوتر او دانلود و اجرا می‌شود.

یکی دیگر از ناقلان باج افزار محبوب از خدماتی مانند پروتکل دسکتاپ از راه دور (RDP) بهره می برد. با RDP، مهاجمی که اعتبار ورود به سیستم یک کارمند را دزدیده یا حدس زده است، می‌تواند از آنها برای احراز هویت و دسترسی از راه دور به رایانه‌ای در شبکه سازمانی استفاده کند. با این دسترسی، مهاجم می تواند مستقیماً بدافزار را دانلود کرده و آن را بر روی دستگاه تحت کنترل خود اجرا کند.

دیگران ممکن است سعی کنند مستقیماً سیستم ها را آلوده کنند، مانند نحوه سوء استفاده WannaCry از آسیب پذیری EternalBlue. بیشتر انواع باج افزار دارای چندین ناقل آلودگی هستند.

مرحله 2. رمزگذاری داده ها

پس از اینکه باج افزار به یک سیستم دسترسی پیدا کرد، می تواند رمزگذاری فایل های خود را آغاز کند. از آنجایی که عملکرد رمزگذاری در یک سیستم عامل تعبیه شده است، این کار به سادگی شامل دسترسی به فایل‌ها، رمزگذاری آن‌ها با کلید کنترل‌شده توسط مهاجم و جایگزینی نسخه‌های اصلی با نسخه‌های رمزگذاری‌شده است. اکثر انواع باج افزارها در انتخاب فایل های خود برای رمزگذاری محتاط هستند تا از ثبات سیستم اطمینان حاصل کنند. برخی از انواع نیز اقداماتی را برای حذف نسخه‌های پشتیبان و سایه‌ای از فایل‌ها انجام می‌دهند تا بازیابی بدون کلید رمزگشایی را دشوارتر کند.

مرحله 3. درخواست باج

پس از تکمیل رمزگذاری فایل، باج افزار آماده است تا باج درخواست کند. انواع باج‌افزارهای مختلف این را به روش‌های متعددی اجرا می‌کنند، اما تغییر پس‌زمینه نمایش به یادداشت باج یا فایل‌های متنی در هر فهرست رمزگذاری‌شده حاوی یادداشت باج‌گیری، غیرعادی نیست. به طور معمول، این یادداشت‌ها در ازای دسترسی به فایل‌های قربانی، مقدار مشخصی ارز دیجیتال را طلب می‌کنند. اگر باج پرداخت شود، اپراتور باج‌افزار یک کپی از کلید خصوصی که برای محافظت از کلید رمزگذاری متقارن استفاده می‌شود یا یک کپی از خود کلید رمزگذاری متقارن ارائه می‌کند. این اطلاعات را می توان در یک برنامه رمزگشا (که توسط مجرم سایبری نیز ارائه می شود) وارد کرد که می تواند از آن برای معکوس کردن رمزگذاری و بازیابی دسترسی به فایل های کاربر استفاده کند.

در حالی که این سه مرحله اصلی در همه انواع باج‌افزار وجود دارد، باج‌افزارهای مختلف می‌توانند پیاده‌سازی‌های متفاوت یا مراحل اضافی را شامل شوند. برای مثال، انواع باج‌افزار مانند Maze، اسکن فایل‌ها، اطلاعات رجیستری و سرقت داده‌ها را قبل از رمزگذاری داده‌ها انجام می‌دهند، و باج‌افزار WannaCry سایر دستگاه‌های آسیب‌پذیر را برای آلوده کردن و رمزگذاری اسکن می‌کند.

چگونه باج افزار را حذف کنیم؟

پیام باج چیزی نیست که کسی بخواهد در رایانه خود ببیند زیرا نشان می دهد که یک نفوذ باج افزار موفقیت آمیز بوده است. در این مرحله، برخی از مراحل را می توان برای پاسخ به یک عفونت باج افزار فعال انجام داد و یک سازمان باید انتخاب کند که آیا باج را بپردازد یا نه.

  1. قرنطینه کردن ماشین: برخی از انواع باج‌افزار سعی می‌کنند به درایوهای متصل و سایر ماشین‌ها سرایت کنند. با حذف دسترسی به سایر اهداف بالقوه، گسترش بدافزار را محدود کنید.
  2. رایانه را روشن بگذارید: رمزگذاری فایل ها ممکن است رایانه را ناپایدار کند و خاموش کردن رایانه می تواند منجر به از دست دادن حافظه موقت (Ram) شود. رایانه را روشن نگه دارید تا احتمال بازیابی به حداکثر برسد.
  3. ایجاد یک نسخه پشتیبان: رمزگشایی فایل ها برای برخی از انواع باج افزار بدون پرداخت باج امکان پذیر است. در صورتی که در آینده راه حلی در دسترس باشد یا تلاش ناموفق رمزگشایی به فایل ها آسیب برساند، از فایل های رمزگذاری شده روی رسانه های قابل جابجایی کپی کنید.
  4. بررسی رمزگشاها: با پروژه No More Ransom بررسی کنید تا ببینید آیا رمزگشا رایگان در دسترس است یا خیر. اگر چنین است، آن را روی یک کپی از داده های رمزگذاری شده اجرا کنید تا ببینید آیا می تواند فایل ها را بازیابی کند یا خیر.
  5. کمک بخواهید: گاهی اوقات رایانه ها نسخه های پشتیبان فایل های ذخیره شده روی خود را ذخیره می کنند. اگر این نسخه‌ها توسط بدافزار حذف نشده باشند، ممکن است یک کارشناس قانونی دیجیتال بتواند این نسخه‌ها را بازیابی کند.
  6. پاک کردن و بازیابی: دستگاه را از یک نسخه پشتیبان یا نصب سیستم عامل تمیز بازیابی کنید. این تضمین می کند که بدافزار به طور کامل از دستگاه حذف می شود
یک نظر بزارید

ایمیل شما منتشر نمی شود: