باج افزار چیست و چه خطراتی دارد !؟

باج‌ افزار (Ransomware) یک نوع بدافزار است که با تو مثل دزدهای قدیمی رفتار می‌کند، فقط به جای اینکه طلا و پول ببرد، چیزی را می‌برد که امروز برای همه باارزش‌تر است :  فایل‌ها

مدل کارش معمولاً همین است:

1. وارد سیستم می‌شود.
2. آرام‌آرام فایل‌ها را پیدا می‌کند (عکس‌ها، پروژه‌ها، PDFها، فایل‌های کاری، هر چیزی که ارزش دارد).
3. فایل‌ها را رمزگذاری می‌کند؛ یعنی قفلشان می‌کند با یک روش رمزنگاری که بدون «کلید» باز نمی‌شود.
4. بعد یک پیام می‌گذارد که: «اگه می‌خوای دوباره فایل‌هات رو ببینی، پول بده.»

پس پیغام فایل‌های شما رمزگذاری شده‌اند یعنی: فایل‌ها حذف نشده‌اند، اما مثل این است که همه‌شان افتاده‌اند داخل گاوصندوقی که کلیدش دست تو نیست.

و نکته ترسناک‌تر؟ باج افزار های جدید معمولاً فقط به لپ‌تاپ تو قانع نیستند. اگر هارد اکسترنال وصل باشد، اگر فلش وصل باشد، اگر سیستم به شبکه شرکت وصل باشد یا پوشه اشتراکی داشته باشی، ممکن است همان‌ها هم قفل شوند. یعنی یک پیام کوچک، می‌تواند یک فاجعه بزرگ بسازد.

برای یادگیری قدم‌به‌قدم همین موارد (کاملاً ساده و کاربردی)، آموزش‌های بیشتر هک و امنیت در یوتیوب و اینستاگرام  نت ترفند قرار داده شده تا دقیقاً بدانی کجا کلیک کنی و چه چیزی را فعال کنی.

باج‌ افزار از کجا وارد می‌شود؟

۱) فیشینگ: لینک‌ها و پیام‌های “خیلی واقعی”

فیشینگ یعنی پیام جعلی که خودش را واقعی جا می‌زند.
مثلاً: «فاکتور شما آماده است»، «بسته شما در گمرک مانده»، «حساب شما مسدود شد»، «کد پیگیری»، «عکس‌های جلسه»، «رزومه» و…
تو روی لینک می‌زنی یا فایل را باز می‌کنی، و همان لحظه یک چیز کوچک شروع می‌شود که چند دقیقه بعد تبدیل می‌شود به پیغام فایل‌های شما رمزگذاری شده‌اند.

۲) نصب نرم‌افزار کرک‌شده و فعال‌سازهای مشکوک

این مسیر یکی از محبوب‌ترین راه‌های ورود است. چون قربانی خودش فایل مخرب را اجرا می‌کند. بعضی کرک‌ها واقعاً یک بسته کامل بدافزار هستند. تو فکر می‌کنی داری برنامه را فعال می‌کنی، اما در واقع داری درِ خانه را با لبخند باز می‌کنی.

۳) آپدیت نکردن ویندوز و نرم‌افزارها

آپدیت‌ها فقط برای “قشنگ‌تر شدن” نیستند. خیلی وقت‌ها برای بستن سوراخ‌های امنیتی‌اند. وقتی آپدیت را عقب می‌اندازی، یعنی آن سوراخ را باز نگه می‌داری.

۴) رمزهای ضعیف و دسترسی ریموت ناامن

اگر روی سیستم دسترسی از راه دور فعال باشد و رمز عبورت ساده باشد، یا اطلاعاتت قبلاً لو رفته باشد، مهاجم می‌تواند راحت وارد شود؛ حتی بدون اینکه تو چیزی دانلود کرده باشی.

برای اینکه این مسیرها را بهتر بشناسی و جلویشان را بگیری، آموزش‌های بیشتر هک و امنیت در یوتیوب و اینستاگرام  نت ترفند قرار داده شده؛ مخصوصاً برای مبتدی‌ها که می‌خواهند بدون ترس، اصولی یاد بگیرند.

لحظه بحرانی 10 دقیقه اول !

مهم‌ترین کار این است که جلوی گسترش را بگیری. چون بعضی باج افزار ها هنوز در حال کارند و ممکن است به دستگاه‌های دیگر هم سر بزنند.

قدم ۱: اتصال‌ها را قطع کن

• اینترنت را قطع کن (Wi-Fi یا کابل)

• اگر به شبکه شرکت وصل هستی، جدا شو

• اگر پوشه‌های اشتراکی داری، ارتباط را قطع کن

چرا؟ چون گاهی باج افزار با سرور یا مهاجم ارتباط می‌گیرد، یا دنبال گسترش روی شبکه می‌گردد.

قدم ۲: هارد اکسترنال و فلش را جدا کن

اگر هارد بکاپ وصل است، همین الان جدا کن. شاید هنوز همه‌اش قفل نشده باشد.

قدم ۳: از صفحه و جزئیات عکس بگیر

نام فایل‌ها، پسوند جدید، متن پیام، هر چیزی که نوشته. این اطلاعات برای شناسایی نوع باج افزار  مهم است.

قدم ۴: عجله برای پرداخت نداشته باش

این پیام‌ها طوری نوشته شده‌اند که تو را هل بدهند سمت تصمیم عجولانه. پرداخت، تضمین نیست. حتی اگر کلید بدهند، ممکن است دوباره برگردند سراغت.

قدم ۵: شروع نکن به نصب ابزارهای ناشناس

خیلی‌ها از ترس، هر چیزی را دانلود می‌کنند که “وعده نجات” می‌دهد. بعضی از آن‌ها خودشان بدافزارند یا شرایط را بدتر می‌کنند.

 میشود فایل‌ها را برگرداند؟

اینجا باید روراست باشیم. وقتی با پیغام فایل‌های شما رمزگذاری شده‌اند روبه‌رو می‌شوی، سه سناریو کلی وجود دارد:

سناریو ۱: بکاپ سالم و جدا داری

این بهترین حالت است. سیستم را پاکسازی می‌کنی، فایل‌ها را از بکاپ برمی‌گردانی، تمام.
حسش مثل این است که خانه‌ات دزد زده، ولی یک نسخه از همه چیز را جای امن داشتی.

سناریو ۲: ابزار رمزگشایی معتبر وجود دارد

گاهی برای بعضی خانواده‌های باج افزار ، ابزار رمزگشایی منتشر شده. اما این حالت همیشگی نیست و به نوع حمله بستگی دارد.

سناریو ۳: نه بکاپ داری، نه ابزار رمزگشایی

این سخت‌ترین حالت است. بعضی وقت‌ها از نسخه‌های قبلی فایل (مثل نسخه‌های ذخیره‌شده یا بکاپ‌های ابری) می‌شود بخش‌هایی را برگرداند، اما تضمینی نیست. باج افزار های حرفه‌ای معمولاً سعی می‌کنند همین مسیرهای نجات را هم خراب کنند.

پس امید اصلی همیشه روی “پیشگیری + بکاپ درست” است. نه روی “معجزه بعد از حادثه”.

بکاپ درست یعنی چی؟

خیلی‌ها می‌گویند: «من بکاپ دارم.»
ولی وقتی حادثه می‌شود، می‌بینی بکاپشان هم قفل شده؛ چون همیشه وصل بوده.

قانون 3-2-1 خیلی ساده است:

• ۳ نسخه از فایل‌های مهم داشته باش

• روی ۲ جای متفاوت (مثلاً هارد + فضای ابری)

• ۱ نسخه هم جدا از سیستم اصلی و ترجیحاً آفلاین (همیشه وصل نباشد)

یعنی اگر هارد بکاپت همیشه به لپ‌تاپ وصل است، باج افزار  آن را هم قفل می‌کند و تو دوباره می‌رسی به همان پیام: پیغام فایل‌های شما رمزگذاری شده‌اند، فقط این بار روی بکاپ هم!

بهترین بکاپ‌ها معمولاً یکی از این ویژگی‌ها را دارند:

• آفلاین‌اند (گاهی وصل می‌کنی و بعد جدا می‌کنی)

• نسخه‌دارند (Versioning) یعنی اگر امروز فایل خراب شد، نسخه دیروز را می‌توانی برگردانی

• یا روی سرویس‌هایی هستند که تاریخچه فایل را نگه می‌دارن

آنتی‌ویروس ، دقیقاً چه کار می‌کند ؟!!

بیا یک تصویر ساده بسازیم:
سیستم تو یک ساختمان است. آنتی‌ویروس، نگهبان جلوی در است.
اگر نگهبان خواب باشد یا اصلاً نباشد، هر کسی می‌تواند وارد شود.

محافظ‌های خوب معمولاً این کارها را می‌کنند:

• فایل‌های آلوده را شناسایی و قرنطینه می‌کنند

• دانلودهای مشکوک را بلاک می‌کنند

• رفتارهای خطرناک مثل رمزگذاری دسته‌جمعی فایل‌ها را تشخیص می‌دهند

• جلوی اجرای بعضی تهدیدها را همان لحظه اول می‌گیرند

اما یک نکته خیلی مهم:
آنتی‌ویروس وقتی مؤثر است که فعال باشد، آپدیت باشد، و درست تنظیم شده باشد.
نسخه منقضی، مثل دوربین خاموش است. هست، ولی کار نمی‌کند.

پس اگر یک روز صبح نمی‌خواهی با پیغام فایل‌های شما رمزگذاری شده‌اند بیدار شوی، این نگهبان را شوخی نگیر.

کارهای ساده‌ای که امنیت ویندوز را چند برابر می‌کند

اینجا چند اقدام ساده می‌گویم که انجامشان سخت نیست، ولی تاثیرشان زیاد است:

۱) با حساب کاربری عادی کار کن

همیشه با دسترسی Administrator بودن، یعنی اگر بدافزار اجرا شود، دستش بازتر است.

۲) روی “Enable Content / Enable Macro” حساس باش

فایل‌های آفیس مشکوک، یکی از مسیرهای رایج‌اند. اگر نمی‌دانی آن فایل از کجا آمده، فعال‌سازی محتوا می‌تواند شروع حمله باشد.

۳) نرم‌افزار کرک‌شده را از زندگی‌ات حذف کن

اگر یک جا بخواهی سخت‌گیری کنی، همین‌جاست. خیلی از فاجعه‌ها از همین مسیر شروع می‌شود.

۴) رمزهای قوی + ورود دو مرحله‌ای

به‌خصوص برای ایمیل. چون ایمیل، کلید بقیه حساب‌هاست.

۵) آپدیت‌ها را عقب ننداز

اگر سیستم را آپدیت نگه داری، تعداد زیادی از حمله‌ها قبل از شروع خفه می‌شوند.

چرا باج افزار ها اینقدر موفق‌اند؟

باج افزار ها یک ترفند بزرگ دارند: با احساسات تو معامله می‌کنند.

متن پیام‌ها معمولاً این حس‌ها را هدف می‌گیرد:

• عجله: «فقط چند ساعت وقت داری»

• ترس: «اگر پرداخت نکنی فایل‌ها پاک می‌شود»

• تنهایی: «هیچ راه دیگری نیست»

• شرم: «اگر به کسی بگویی بدتر می‌شود»

اما واقعیت این است: همیشه باید اول نفس عمیق بکشی و مرحله‌به‌مرحله جلو بروی. چون تصمیم احساسی، دقیقاً همان چیزی است که مهاجم می‌خواهد.

نقشه راه برای افزایش امنیت ..

اگر وقت نداری همه چیز را یک‌باره درست کنی، این برنامه را انجام بده:

همین امروز (۳۰ دقیقه)

1. آنتی‌ویروس/محافظ را فعال و آپدیت کن

2. رمز ایمیل را عوض کن و ورود دو مرحله‌ای را روشن کن

3. هر هارد بکاپی که همیشه وصل است را جدا کن

امشب (۱ ساعت)

4. از فایل‌های مهم بکاپ بگیر (یک نسخه جدا و آفلاین)

5. ویندوز و مرورگر و آفیس را آپدیت کن

فردا (۱ ساعت)

6. نرم‌افزارهای کرک‌شده و نصب‌های مشکوک را پاکسازی کن

7. فایل‌های مهم را سامان بده و یک روال بکاپ ثابت بساز

این کارها شاید هیجان‌انگیز به نظر نیاید، ولی دقیقاً جلوی دیدن پیغام فایل‌های شما رمزگذاری شده‌اند را می‌گیرد.

چند باور اشتباه که دقیقاً باعث قربانی شدن می‌شود

باور اشتباه ۱: «من چیزی ندارم که ارزش داشته باشد»

همه دارند. حتی اگر فقط عکس‌های شخصی و فایل‌های دانشگاه باشد.

باور اشتباه ۲: «فقط شرکت‌های بزرگ هدف‌اند»

نه. افراد عادی هم هدف‌اند. حتی راحت‌تر، چون دفاعشان ضعیف‌تر است.

باور اشتباه ۳: «اگر پول بدهم همه چیز تمام می‌شود»

تضمینی نیست. و حتی ممکن است تو را “قربانی مناسب” برای دفعه بعد کنند.

باور اشتباه ۴: «من بکاپ دارم» (ولی بکاپ همیشه وصل است)

این یکی دردناک‌ترین است. چون روز حادثه می‌بینی بکاپت هم قفل شده و باز همان پیام جلویت است: همه چی رمز گذاری شده اند .. !

توضیحات منابع معتبر !

باج‌افزار (Ransomware) نوعی بدافزار است که داده‌های شخصی قربانی را رمزگذاری می‌کند و تا زمانی که باج پرداخت نشود، آن‌ها را قفل نگه می‌دارد معمولاً برای پرداخت باج از ارزهای دیجیتال سخت‌ردیابی مثل paysafecard یا بیت‌کوین و سایر رمزارزها استفاده می‌شود؛ همین موضوع ردیابی و پیگرد عاملان را دشوار می‌کند. گاهی هم به‌دلیل اشتباهات پیاده‌سازی، لو رفتن کلیدهای رمزنگاری، یا حتی نبودِ رمزگذاری واقعی در باج‌افزار، می‌توان فایل‌های اصلی را بدون پرداخت باج بازیابی کرد.

حملات باج‌افزاری معمولاً با استفاده از یک تروجان انجام می‌شوند که در قالب یک فایل قانونی و معتبر جا زده شده است؛ طوری که کاربر فریب می‌خورد و آن را دانلود یا باز می‌کند، مخصوصاً وقتی به‌صورت پیوست ایمیل به دستش برسد. اما یک نمونه مشهور که سر و صدای زیادی کرد، کرم WannaCry بود که بدون نیاز به تعامل کاربر، به‌صورت خودکار بین کامپیوترها پخش می‌شد.

از سال ۱۹۸۹ و با اولین باج‌افزار ثبت‌شده با نام «تروجان AIDS»، استفاده از کلاهبرداری‌های باج‌افزاری در سطح بین‌المللی رشد کرد در شش ماه اول سال ۲۰۱۸، در سراسر جهان ۱۸۱.۵ میلیون حمله باج‌افزاری رخ داد که ۲۲۹٪ بیشتر از شش ماه اول سال ۲۰۱۷ بود. در ژوئن ۲۰۱۴، شرکت امنیتی McAfee داده‌هایی منتشر کرد که نشان می‌داد در آن فصل، بیش از دو برابر نمونه‌های باج‌افزاری نسبت به فصل مشابه سال قبل جمع‌آوری کرده است  باج‌افزار CryptoLocker به‌طور ویژه موفق بود و پیش از آن‌که توسط مقامات از کار بیفتد، حدود ۳ میلیون دلار آمریکا درآمد کسب کرد. همچنین برآورد شد که CryptoWall تا ژوئن ۲۰۱۵ بیش از ۱۸ میلیون دلار آمریکا برای خود اداره تحقیقات فدرال آمریکا (FBI) درآمد ایجاد کرده است. در سال ۲۰۲۰، مرکز شکایات جرائم اینترنتی آمریکا (IC3) تعداد ۲٬۴۷۴ شکایت مرتبط با باج‌افزار دریافت کرد که زیان‌های تعدیل‌شده آن بیش از ۲۹.۱ میلیون دلار بود. طبق گفته FBI، ممکن است زیان واقعی از این مقدار هم بیشتر باشد. در سطح جهانی، طبق آمار Statista، حدود ۶۲۳ میلیون حمله باج‌افزاری در سال ۲۰۲۱ و ۴۹۳ میلیون حمله در سال ۲۰۲۲ رخ داده است.

میزان پرداخت‌های باج‌افزاری در سال ۲۰۱۹ حدود ۱.۱ میلیارد دلار برآورد شد،[16] در سال ۲۰۲۰ برابر با ۹۹۹ میلیون دلار، رکورد ۱.۲۵ میلیارد دلار در سال ۲۰۲۳، و سپس کاهش شدید به ۸۱۳ میلیون دلار در سال ۲۰۲۴؛[17] که این کاهش به «پرداخت نکردن قربانیان» و «اقدامات نیروهای مجری قانون» نسبت داده شده است. ( منبع )

.

باج‌افزار (Ransomware) برای تو و دستگاهت یک تهدید جدی است، اما چه چیزی باعث می‌شود این نوع بدافزار تا این حد خاص و متفاوت باشد؟ خودِ کلمه‌ی «باج» همه‌چیز را توضیح می‌دهد. باج‌افزار نوعی نرم‌افزار اخاذی است که می‌تواند کامپیوترت را قفل کند و بعد برای آزاد کردنش از تو باج بخواهد.

در بیشتر موارد، آلودگی به باج‌افزار این‌طور اتفاق می‌افتد: بدافزار اول راهی برای ورود به دستگاه پیدا می‌کند. بسته به نوع باج‌افزار، یا کل سیستم‌عامل رمزگذاری می‌شود یا فقط فایل‌های مشخصی قفل و رمزگذاری می‌شوند. بعد از آن، از قربانی درخواست باج می‌کنند. اگر می‌خواهی خطر حمله باج‌افزاری را به حداقل برسانی، بهتر است روی نرم‌افزارهای باکیفیت و قابل‌اعتمادِ محافظت در برابر باج‌افزار حساب کنی. ( منبع )

سوالات پرتکرار (FAQ)

1) اگر این پیام را دیدم، سیستم را خاموش کنم؟
اول اینترنت/شبکه را قطع کن و دستگاه‌های جانبی را جدا کن. خاموش کردن گاهی جلوی ادامه کار را می‌گیرد، اما قبلش از صفحه پیام و جزئیات عکس بگیر و بی‌گدار دستکاری نکن.

2) پرداخت باج پیشنهاد می‌شود؟
تضمین ندارد. ممکن است کلید ندهند یا دوباره هدف قرار بگیری. بهتر است اول راه‌های امن‌تر مثل بررسی بکاپ و مسیرهای بازیابی معتبر را دنبال کنی.

3) بهترین راه جلوگیری چیست؟
بکاپ 3-2-1، آنتی‌ویروس فعال و آپدیت، آپدیت منظم ویندوز و نرم‌افزارها، و احتیاط در لینک‌ها و فایل‌های ناشناس.

4) اگر بکاپ ندارم امیدی هست؟
بستگی به نوع باج افزار  دارد. گاهی ابزار رمزگشایی معتبر وجود دارد یا نسخه‌های قبلی فایل در سرویس‌های ابری قابل برگشت است. اما هیچ چیز قطعی نیست؛ برای همین پیشگیری مهم‌تر از درمان است.

5) آیا نمونه‌ای واقعی از حملات باج‌افزاری وجود دارد که خسارات گسترده‌ای به بار آورده باشد؟
استاکس‌نت یک بدافزار فوق‌پیچیده بود که در سال ۲۰۱۰ کشف شد و هدف آن خرابکاری در تأسیسات هسته‌ای ایران بود. این بدافزار با نفوذ به سیستم‌های کنترل صنعتی (PLC)، سرعت سانتریفیوژها را به‌طور مخفیانه تغییر داد و باعث تخریب فیزیکی آن‌ها شد، بدون اینکه اپراتورها متوجه خرابی شوند؛ این اولین سلاح سایبری بود که توانست یک زیرساخت فیزیکی واقعی را به شدت آسیب بزند.