باج افزارها چگونه به سیستم شما حمله می‌کنند؟

گروه فناوری الف،   3980809084

مهران گرمه‌ای کارشناس امنیت سایبری در گفت‌وگویی به شرح چگونگی ورود باج افزار به درون سیستم‌ها پرداخت.

 باج افزارها، دسته‌ای از بدافزار‌هایی هستند که طی سه سال اخیر موضوعیت یافته‌اند. پیشرفت فناوری در زمینه‌های مثبت و برای خدمت رسانی به بشر، دلیل تولد باج افزارهاست. اگر بخواهیم باج‌افزار را تعریف کنیم، می‌توان گفت: "باج‌افزار به مجموعه از اقدامات خراب کارانه‌ای گفته می‌شود که طی آن سیستم قربانی، سیستم عامل و یا اطلاعات شخص و سازمان، گروگان گرفته می‌شود و برای رهاسازی پولی مطالبه می‌شود؛ به بدافزاری که این کار را انجام می‌دهد باج افزار و در کل به این نوع حمله، حمله باج‌افزاری گفته می‌شود."

در همین راستا برای شناخت و کسب آگاهی بیشتر با این نوع حمله، باشگاه خبرنگاران جوان گفت‌وگویی با مهران گرمه‌ای کارشناس امنیت سایبری انجام داده است که در ادامه آن را می‌خوانید.

مهران گرمه‌ای کارشناس امنیت سایبری با اشاره به اینکه باج‌افزارها در حال حاضر یکی از نگرانی‌های عمده در فضای سایبری جهانی شده‌اند، گفت: "دلیل تولد باج‌افزارها این است که فناوری در زمینه‌های مثبت و برای خدمت‌رسانی به بشر به ویژه در زمینه رمز‌نگاری ارتباطاتی امن و انتقال ناشناس پول و به طور مشخص پول‌های مبتنی بر رمزنگاری و رمزارزها، پیشرفت کرده است؛ این پیشرفت‌های فناوری باعث شده که توجه گروهی از مهاجمین به این نکته جلب شود که می‌شود به حملاتی دست زد که طی آنها سامانه‌های مبتنی بر فناوری‌های اطلاعات را به گروگان گرفت و در ازای آزادسازی آنها پولی مطالبه کرد."

وی افزود: "این پول را می‌توان به شکل رمزارز یا سایر روش‌های ممکن که در آنها می‌توان هویت دریافت کننده را پنهان نگاه داشت، دریافت کرد و در عین حال هیچ تضمینی برای قربانی وجود ندارد که پس از پرداخت پول بتواند دوباره به سامانه خود دسترسی یابد."

باج افزار

باج افزارها مبتنی بر یک بدافزار نیستند

این کارشناس امنیت سایبری با اشاره به این نکته که حملات باج افزاری الزاما مبتنی بر یک بدافزار نیستند و مهاجم با سلسله‌ای از اقدامات و بدون اتکا به یک بدافزار مشخص کار خود را پیش می‌برد، بیان کرد: "باج‌افزارها در کل به دو گروه تقسیم‌ می‌شوند: گروه نخست باج‌افزارهایی هستند که فایل‌های سیستم را به گروگان گرفته و دسترسی به آنها را تقریبا غیرممکن می‎کنند و گروه دوم که می‌توان گفت به دلیل آنکه قربانی با کمک نهادهای امدادرسان می‌تواند راهی بیابد تا بدون پرداخت باج از این حمله رها شود؛ تقریبا منسوخ شده‌اند؛ بنابراین امروزه بیشتر باج‌افزارها بر روی گروگان‌گیری اطلاعات یا رمز کردن فایل کاربران تمرکز دارند."

گرمه‌ای  تصریح کرد: "مهاجم با سلسله‌ای از اقدامات و بدون اتکا به یک بدافزار مشخص کار خود را پیش می‌برد که عمدتا این حملات مبتنی بر یک ابزار مخصوص هستند که به آن باج افزار می‌گوییم. در ابتدا باج‌افزارها چندان قوی نبودند یعنی اطلاعات کاربر را رمز می‌کردند اما روش‌های رمزگذاری آنها مبتنی بر روش‌های متقارن رمزگذاری بود، در روش متقارن برای رمز کردن و باز کردن از یک کلید و پسورد استفاده می‌کنند اما در روش غیرمتقارن برای رمز کردن از یک کلید و برای باز کردن از کلید دیگری استفاده می‌شود."

وی ادامه داد: "اگر در رمزگذاری از یک کلید استفاده شود، تیم امدادگر این فرصت را دارد که باج‌افزار را دوباره اجرا و کلید را پیدا کند و یا اینکه حتی اگر شرایط مهیا باشد و سیستم کاربر در زمان آلوده شدن تا زمان امداد ریستارت نشده باشد، احتمال دارد که کلید موردنظر یعنی همان کلیدی که از آن هم برای رمزگذاری استفاده شده و هم می‌شود به‌وسیله آن اطلاعات را بازیابی کرد، در حافظه سیستم موردنظر موجود باشد، در آن صورت می‌توان با ابزارهایی، کلید را یافته و یک ابزار عمومی و کلی برای بازگشایی اطلاعات ارائه کرد. اما امروزه باج‌افزارها مبتنی بر روش‌های نامتقارن هستند یعنی باج‌افزار اطلاعات را با یک کلید رمز می‌کند و کلیدی که قرار است با آن اطلاعات بازگشایی شود، اصلا روی سیستم کاربر وجود ندارد که بتوان از طریق آن اقدام کرد."

کارشناس امنیت سایبری با تاکید بر اینکه امروزه حملات باج افزاری در سطحی پیچیده‌تر اتفاق می‌افتد، اظهار کرد: "در برخی حملات باج‌افزار وارد سیستم قربانی می‌شود، برای رمزگذاری اطلاعات از طریق اینترنت و از طریق سرور فرماندهی خود به سیستم نفوذ می‌کند، در این حالت به ازای هر حمله یک کلید منحصر به فرد برای بازگشایی وجود خواهد داشت، درنتیجه اگر مثلا یک قربانی باج را پرداخت کند و کلید بازگشایی را دریافت کند، کلید موردنظر دیگر برای سایر قربانی‌ها موثر نیست."

باج افزار

باج‌افزارها چگونه وارد سیستم قربانی می‌شوند؟

گرمه‌ای درخصوص این سوال که چگونه باج افزار‌ها وارد سیستم قربانی می‌شوند، گفت: "تمام روش‌هایی که تا امروز برای انتشار بدافزارها مشاهده کرده‌ایم، در این زمینه هم مورد استفاده قرار می‌گیرند، به عنوان مثال نمونه‌های فراوانی از ایمیل‌هایی وجود دارند که مبتنی بر فیشینگ بوده و طی آن پیامی فریبنده به کاربر ارسال می‌شود که کاربر را ترغیب به خواندن آن پیام می‌کند، این پیام حاوی فایلی است که در پس پرده به دنبال آلوده کردن سیستم کاربر و به دست گرفتن کنترل آن است. به طور مشخص این پیام‌های فریبنده که گاهی به صورت ایمیل و گاهی هم به صورت پیام در شبکه‌های اجتماعی برای کاربران ارسال می‌شود، به طور کلی حاوی انواعی از فایل‌ها هستند که در آن امکان قرار دادن کدهای اجرایی هم وجود دارد، مثلا فایل‌های زیپ، فایل‌هایی با استانداردهای قدیمی‌تر مجموعه آفیس، به عنوان مثال فایل‌های با پسوند DOCK و نه DOCKX که در دل آنها ماکروهایی وجود دارند که می‌توانند راه را برای ورود باج‌افزار باز کنند، یا خود حمله باج‌افزار را انجام می‌دهند و یا اصطلاحا در نقش دراپر عمل کنند، کار دراپر دانلود باج‌افزار است بنابراین ممکن است که مرحله اول حمله با همین پیام‌ها شروع شود."

این مدرس و عضو هیئت علمی دانشگاه افزود: "در ایران مهاجمین به سراغ برنامه‌هایی که کاربران به وفور بر روی سیستم‌های خود نصب می‌کنند می‌روند، و مثلا خود در قالب درایور جا زده‌اند، یعنی کاربر قصد دارد روی سیستم خود درایور نصب کند غافل از اینکه مهاجم آن درایور را آلوده به باج‌افزار کرده است؛ یا نمونه دیگر آن فیلترشکن‌ها هستند، در مواردی مهاجم از طریق فیلترشکن‌ها برای حمله استفاده کرده است؛ نرم‌افزارهای قفل شکسته یا کرک، اینها هم جزء مواردی بودند که در گذشته در کشورمان منشأ ورود باج‌افزارها بودند."

باج افزار

 بعد از ورود باج‌افزارها، چه اتفاقی برای سیستم‌ها رخ می‌دهد؟

این کارشناس امنیت سایبری با اشاره به اینکه باج‌افزار برخلاف انواع دیگر روش‌ها دست به سرقت اطلاعات نمی‌زنند، تصریح  کرد: "در حملات باج افزاری، هیچ اطلاعاتی از سیستم قربانی خارج نمی‌شود بلکه در همان سیستم و با استفاده از منابع موجود، فایل‌های موردنظر، رمزگذاری می‌شود و برای اینکه این باج‌افزار توسط کاربر یا ادمین کانال شناسایی نشود، مهاجم دو فاکتور سرعت و موثر بودن را در نظر می‌گیرد. برای اینکه بتواند کار خود را با سرعت انجام دهد، معمولا فقط قسمتی از فایل‌ها یعنی آن دسته از فایل‌هایی را که ارزش اطلاعاتی بیشتری دارند، رمز می‌کند بنابراین فهرستی از رمزهای مختلف را در نظر دارد و فقط همان فایل‌های منتخب را دچار آسیب می‌کند؛ در این فهرست معمولا فایل‌های متنی، تصویر، ویدئو و فایل‌های متعدد با پایگاه داده، نرم‌افزارهای صفحه گسترده مثل اکسل و غیره وجود دارد. برای آنکه کار را موثر انجام دهد، ابزارهای دفاعی موجود بر سیستم را یا دور می‌زند و یا غیرفعال می‌کند."

وی در پایان تاکید کرد:  "آنتی ویروس‌ها معمولا روش‌های مناسبی برای شناسایی باج‌افزارها نیستند چرا که باج‌افزارها به روز ساخته می‌شوند. آنتی ویروس‌ها برای شناسایی، باید از قبل نمونه فایل مخرب را دیده باشند؛ بنابراین شاهدیم که مهاجمینی که در تولید باج‌افزار دخیل هستند، به وفور در طی روز یا هفته نسخه‌های باج‌افزار و فایل‌های اجرایی خود را بروزرسانی می‌کنند تا آنتی ویروس‌ها آنها را تشخیص ندهند اما ابزارهای دفاعی دیگری مانند ویندوز بر روی سیستم‌ها وجود دارد که امکان لغو یا بازگرداندن  تمام تغییرات را روی سیستم تا مدتی فراهم می‌آورد که آن را از طریق فرآیندی به نام VSS یا همان بکاپ گیری انجام می‌دهد. باج‌افزارها معمولا VSS را خاموش می‌کنند تا کاربر نتواند فایل‌هایش را از این طریق بازگرداند."

پربحث‌های هفته

  1. رای قاطع نمایندگان به ریاست قالیباف/ اعضای هئیت رئیسه مجلس یازدهم مشخص شدند

  2. وقتی مردم مانند رییس مجلس دهم فکر نمی‌کنند...

  3. "دیپلماسی بنزین"، نمادی از بی اعتنایی به تهدیدات آمریکا

  4. کارناوال نفتکش های ایرانی در اقیانوس ها

  5. نامه احمد توکلی به روحانی: برای نجات کشور پیروی از اقتصاد آزاد را کنار بگذارید

  6. شاخ «غول» هم شکستنی است...

  7. اسکورت نفتکش «فارست» توسط هواپیماها و ناوهای جنگی ونزوئلا

  8. گشت و گذاری در آپارتمان‌های شمال شهر تهران با اجاره‌های نجومی

  9. درد کهنه غیزانیه، «امنیتی» نیست

  10. مجلس تراز انقلاب و حق مسکن یازده میلیونی؟!

  11. امروز تهرانی‌ها سورپرایز شدند!

  12. مجلس خدمت یا مجلس قدرت؟!

  13. تلفاتی سنگین‌تر از تلفات جنگ بر دوش ایالات متحده

  14. فطر و اعیاد مذهبی؛ آیا مسابقه شادمانی عمومی کافی است؟

  15. چرا فرزندآوری کم شده/ آیا جامعه هم پیر می‌شود؟

  16. واکنش «آشنا» به توئیت «محسن رضایی» درباره غیزانیه

  17. پایان ریاست لاریجانی با تقدیر روحانی/جدال توییتری نادران و آشنا/زیباکلام: هیچ‌کس به جهانگیری و هاشمی رای نمی‌دهد

  18. رهبر انقلاب: در عدالت نمره مطلوب به دست نیاورده‌ایم/ مجلس متعهد به وظایف، نقطه امید مردم و اتکاء مجریان است

  19. دو نشست معنادار توسط قالیباف و حاجی بابایی/ حیاط خلوت نمایندگان دوره دهم/ دلیل حمایت اصلاح‌طلبان از ظریف برای انتخابات ریاست جمهوری

  20. توضیح میرسلیم درباره مصاحبه با بی‌بی‌سی

  21. ریشه قتل دختر ۱۴ ساله تالشی اختلافات مذهبی نیست

  22. غیزانیه از نمای نزدیک

  23. رهبر انقلاب: وضعیت رژیم صهیونیستی در آینده‌ سخت‌تر خواهد شد/ فلسطین قابل فراموش شدن نیست

  24. وامی‌ برای آشنا، آشنایی برای وام !

  25. قیمت‌های شورای رقابت به خودروسازان ابلاغ شد/پراید ۳۷ میلیون و ۴۰۰ هزار تومان+جدول

آخرین عناوین