باج‌افزار چیست؟ راهنمای جامع پیشگیری و مقابله با Ransomware

آیا تا به اکنون به این نکته فکر کرده اید، که اصلا باج افزار چیست؟! ممکن است شما نیز نام آن را در مکان های گوناگون شنیده باشید. یا حتی زمانی که پای کامپیوتر خود نشسته اید، به طور ناگهانی پنجره ای در مقابل دیدگان شما باز شود و به شما اینگونه بگوید، که مورد هدف باج افزار قرار گرفته اید. خب اکنون ممکن است کنجکاو شده باشید که بدانید، باج افزار چیست؟ چه کاری انجام می دهد؟ چگونه می توانید وسیله های هوشمند خود را در برابر آن محافظت کنید؟ لطفاً با ما تا پایان این مطلب همراه شوید تا پاسخ تمامی سوالات خود را به دست آورید.

 آیا میدانید باج افزار چیست؟

باج افزار (Ransomware) یک نوع نرم‌افزار مخرب است که اطلاعات کاربران را رمزگذاری کرده و سپس از کاربران خواسته می‌شود که مبلغی از پول یا رمز اختصاصی (رمزگشایی) را برای بازگرداندن اطلاعات خود پرداخت کنند. باج افزارها یکی از خطرناک‌ترین و پرطرفدارترین انواع نرم‌افزارهای مخرب هستند که بر روی کامپیوترها و دستگاه‌های هوشمند موبایل نفوذ می‌کنند.

عملکرد باج افزار به این صورت است که ابتدا با ارسال ایمیل‌های فیشینگ، نرم‌افزار مخرب را به کامپیوتر کاربران نفوذ می‌دهد و به راحتی اطلاعات مهم و حساس آن‌ها را رمزگذاری می‌کند. سپس یک پیام نمایش داده می‌شود که اطلاعات کاربر مورد تهدید قرار گرفته است و برای بازگرداندن اطلاعات باید یک مبلغ از پول (به‌طور معمول به صورت ارزهای رمزنگاری شده مانند بیت‌کوین) را به یک حساب بانکی مشخص پرداخت کنند. بعد از پرداخت مبلغ خواسته‌شده، ممکن است اطلاعات موردنظر بازگردانده شود یا همچنان تهدید‌ها ادامه یابند.

باج افزارها عمدتاً باعث تلفات مالی بسیار زیادی برای افراد و سازمان‌ها می‌شوند و نه تنها به خطر اطلاعات مهم کاربران می‌انجامند، بلکه به صورت گسترده از آن‌ها استفاده می‌شود تا به هدف‌های مختلفی از جمله سرقت اطلاعات، ایجاد اختلال در سازمان‌ها و حتی تهدید به افشای اطلاعات شخصی افراد بپردازند. بنابراین، محافظت از خود در برابر باج افزارها از طریق مطالعه و آگاهی از موارد امنیتی و استفاده از نرم‌افزارهای ضدباج افزار بسیار مهم است. همچنین، مراقبت از باز کردن پیوست‌ها و لینک‌های مشکوک در ایمیل‌ها و جلوگیری از ورود نرم‌افزارهای ناشناخته و ناخواسته به سیستم نیز بسیار ضروری است.

و امّا فیشینگ؛

برخی از برداره در فیشینگ با بهره گیری از باج افزار می توانند به رایانه هر شخصی دسترسی پیدا کنند. از جمله متداول ترین سیستم های تسلیم، فیشینگ است. پیوست هایی که از طریق ایمیل به قربانی یا کاربر ارسال می شود اغلب به گونه پرونده و یا فایل هایی هستند که کاربر با گشودن و یا دانلود نمودن آنها کامپیوتر و یا رایانه خویش را آلوده به بدافزار باج افزار می کنند. باج افزار ها حاوی دستگاه های مهندسی، اجتماعی، داخلی هستند که می توانند مانع دستیابی کاربر به پرونده و فایل خویش شود یا منجر به نیرنگ کاربر گردند.

چندین روش به چَشم می خورد که بد افزارها بعد از دسترسی به رایانه قربانی امکان دارد به انجام رسانند ولیکن رایج ترین اقدام، رمز گذاری بر روی برخی از فایل های قربانیان است.

باج افزارها چگونه کار می کنند؟

خبر خوش ما به شما این است که اغلب باج افزارها به تنهایی ظهور پیدا نمی کند. بلکه به منظور تسلیم بار مخرب خویش اغلب به طریق پیوند و یا پیوست ایمیل باید به واسطه ی کاربر فعال گردد تا بتوانند فعالیت مخرب خویش را شروع نمایند. به گونه ای کلّی باج افزار به منظور دستیابی به غایت خود پنج مرحله را طراحی می کنند که آنها به ترتیب زیر هستند:

سیستم به خطر افتاده؛

اکثریت حمله باج افزارها اغلب به گونه پیوست و یا پیوند مخرب شروع می شود. غایت آن است که قربانی را ملزم به کلیک بر روی پیوست و یا پیوند نمایند تا بدافزار ابتدا فعال گردد.

بد افزار کار خود را شروع می کند؛

زمانی که باج افزار سامانه رایانه را تحت کنترل خویش درآورد، آغاز به رمز نگاری نمودن اقسام فایل ها و نیز پرونده ها خواهد کرد و دستیابی بدان ها را قطع می کنند.

 اطلاع به قربانی؛

برای آنکه قربانی باج را تأدیه نماید می بایست از کلّیه ی خواسته های مجرم آن آگاهی داشته باشد. در این بخش مجرمان اغلب اعلان هایی را ضمن صفحه ی نمایش نشان می دهند که مطالبات و همچنین شرایط دستیابی دوباره کاربر را بیان می کنند.

باج تأدیه گردد؛

پس از آنکه قربانی از خواسته های مجرمان علم پیدا کرد به منظور بازگرداندن دوباره فایل ها و پرونده های خویش ملزم می باشد به خواسته های آنها تن دهد و باج و یا وجهی که درخواست نموده اند، پرداخت کند.

دسترسی کاربر به سیستم بازگردانده می شود؛

هنگامی که قربانی باج را تأدیه می کند مجرمان دسترسی کامل کاربر به اطلاعات خود را باز می گرداند. البته باید چنین بگوییم که در این مورد ضمانتی وجود نخواهد داشت و در برخی مواقع مشاهده گردیده است که مجرمان حتی پس از برآورده شدن خواسته های خود، اطلاعات کاربر را بدو نداده اند.

بنابراین توصیه می کنیم در این رابطه نهایت دقت را به عمل آورید.

چگونه از باج‌افزار پیشگیری کنیم؟

جلوگیری از باج‌افزار فقط با «باز نکردن ایمیل مشکوک» خلاصه نمی‌شود. برای محافظت واقعی از سیستم‌ها و اطلاعات، باید یک رویکرد چندلایه داشته باشیم. در ادامه مهم‌ترین و کاربردی‌ترین روش‌های پیشگیری را می‌خوانید.

۱.۱. تهیه نسخه پشتیبان امن (قانون ۳–۲–۱)

یکی از مؤثرترین سلاح‌ها در برابر باج‌افزار، بک‌آپ مطمئن است. اگر نسخه سالمی از اطلاعات خود داشته باشید، عملاً انگیزه‌ای برای پرداخت باج باقی نمی‌ماند.

همچنین بخوانید: بک آپ گیری از سرورهای مجازی

قانون ۳–۲–۱ یعنی چه؟

• حداقل ۳ نسخه از داده‌های مهم داشته باشید.
• این نسخه‌ها روی ۲ نوع رسانه مختلف نگهداری شوند (مثلاً هارد اکسترنال + فضای ابری).
• حداقل ۱ نسخه بک‌آپ به‌صورت آفلاین و جدا از شبکه (Air-gapped) ذخیره شود.

باج‌افزارها معمولاً تمام درایوهای متصل و فولدرهای شبکه را هدف قرار می‌دهند، بنابراین اگر تمام بک‌آپ‌ها روی سیستم متصل به شبکه باشند، احتمال آلوده شدن آن‌ها هم بسیار زیاد است. وجود یک بک‌آپ آفلاین باعث می‌شود در بدترین سناریو هم بتوانید اطلاعات مهم را برگردانید.

۱.۲. به‌روزرسانی منظم سیستم‌عامل و نرم‌افزارها (Patch Management)

بسیاری از حملات باج‌افزاری از ضعف‌های امنیتی قدیمی در ویندوز، سرورها، نرم‌افزارها یا حتی مرورگرها سوءاستفاده می‌کنند. اگر این حفره‌ها به‌موقع با نصب به‌روزرسانی‌ها بسته نشوند، دروازه‌ای باز برای هکرها می‌مانند.

اقدامات پیشنهادی:

• فعال کردن به‌روزرسانی خودکار (Automatic Updates) برای سیستم‌عامل.
• به‌روزرسانی منظم نرم‌افزارهای پرکاربرد مثل مرورگر، آفیس، PDF Reader و…
• در سازمان‌ها، استفاده از یک راهکار مدیریت وصله‌ها (Patch Management) برای کنترل و زمان‌بندی آپدیت همه سیستم‌ها.

۱.۳. استفاده از آنتی‌ویروس و ضدباج‌افزار معتبر

یک آنتی‌ویروس یا راهکار امنیتی معتبر می‌تواند بسیاری از تهدیدها را قبل از اجرا شناسایی و مسدود کند؛ به‌خصوص اگر قابلیت‌های زیر را داشته باشد:

• تشخیص رفتاری (Behavioral Detection) برای شناسایی رفتار مشابه باج‌افزار، مثل رمزگذاری ناگهانی تعداد زیادی فایل.
• محافظت در زمان واقعی (Real-time Protection) در برابر فایل‌ها و فرآیندهای مشکوک.
• قابلیت Ransomware Protection یا «محافظت از فولدرهای مهم» که از تغییر ناخواسته فایل‌ها جلوگیری می‌کند.

با این حال هیچ آنتی‌ویروسی ۱۰۰٪ نیست؛ بنابراین نباید فقط بر یک محصول امنیتی تکیه کرد، اما وجود آن یک لایه دفاعی مهم است.

۱.۴. احراز هویت چندمرحله‌ای (MFA) و امنیت حساب‌ها

در بسیاری از حملات، مجرمان ابتدا با سرقت رمز عبور (از طریق فیشینگ یا نشت داده‌ها) وارد شبکه می‌شوند و سپس باج‌افزار را اجرا می‌کنند. استفاده از احراز هویت چندعاملی (MFA) باعث می‌شود حتی اگر رمز عبور لو برود، هکر نتواند به‌راحتی وارد شود.

پیشنهادها:

• فعال کردن MFA برای حساب‌های ایمیل، VPN، پنل‌های مدیریتی و سرویس‌های ابری.
• استفاده از رمزهای عبور قوی و یکتا، و ترجیحاً استفاده از مدیر رمزعبور (Password Manager).
• غیرفعال کردن یا محدود کردن دسترسی‌های مدیریتی غیرضروری (Local Admin / Domain Admin).

۱.۵. آموزش و آگاهی کاربران (مهم‌تر از هر ابزار)

در حملات باج‌افزاری، ضعیف‌ترین حلقه معمولاً انسان است، نه سیستم. بسیاری از آلودگی‌ها با یک کلیک اشتباه روی یک پیوست یا لینک آلوده آغاز می‌شود.

نکات مهم آموزشی برای کاربران و کارکنان:

• عدم باز کردن پیوست‌های ناشناس یا مشکوک، حتی اگر ظاهر آن «فاکتور»، «رزومه» یا «فایل اداری» باشد.
• دقت به آدرس ایمیل فرستنده و غلط‌های املایی/نگارشی در متن ایمیل.
• خودداری از دانلود نرم‌افزارهای کرک‌شده یا ناشناس از سایت‌های غیرمعتبر.
• گزارش فوری هر ایمیل مشکوک به واحد IT یا امنیت، قبل از باز کردن آن.

سرمایه‌گذاری روی آموزش امنیت سایبری اغلب از خرید بسیاری از تجهیزات گران‌قیمت مؤثرتر است.

۱.۶. محدودسازی دسترسی‌ها و شبکه

برای کاهش خسارت احتمالی:

• دسترسی کاربران به فایل‌ها و فولدرها باید طبق اصل حداقل دسترسی (Least Privilege) باشد.
• استفاده از تقسیم‌بندی شبکه (Network Segmentation) برای جلوگیری از انتشار سریع باج‌افزار در کل سازمان.
• بستن سرویس‌های غیرضروری مثل RDP باز به اینترنت، یا محافظت آن با VPN امن و MFA.

بعد از آلودگی به باج‌افزار چه کنیم؟

اگر با پیام باج‌خواهی مواجه شدید، اولین نکته این است که وحشت نکنید و عجولانه تصمیم نگیرید. در ادامه، مراحل منطقی‌ای که باید طی کنید را می‌خوانید.

۲.۱. قطع اتصال از شبکه (Isolation)

اولین و مهم‌ترین اقدام، جلوگیری از گسترش باج‌افزار به سایر سیستم‌ها است.

• اینترنت سیستم آلوده را قطع کنید (کابل شبکه را بکشید یا Wi-Fi را خاموش کنید).
• اگر در یک شبکه سازمانی هستید، سیستم آلوده را کامل از شبکه داخلی جدا کنید.
• از اتصال هرگونه هارد اکسترنال یا فلش USB جدید به سیستم آلوده خودداری کنید.

این کار می‌تواند جلوی رمزگذاری فایل‌ها در سایر سیستم‌ها و سرورها را بگیرد.

۲.۲. شناسایی نوع باج‌افزار

دانستن اینکه با چه نوع باج‌افزاری طرف هستید می‌تواند به شما کمک کند راه‌حل‌های ممکن را پیدا کنید.

• از پیام باج‌خواهی (Ransom Note)، پسوند فایل‌ها و نام نمایش داده‌شده استفاده کنید تا نوع باج‌افزار را شناسایی کنید.
• می‌توانید با استفاده از ابزارها و وب‌سایت‌هایی مانند No More Ransom (پروژه‌ای بین‌المللی برای مبارزه با باج‌افزارها) بررسی کنید که آیا ابزار رمزگشایی رایگان برای نسخه آلوده‌کننده شما وجود دارد یا خیر.

در بعضی موارد، محققان امنیتی موفق شده‌اند کلیدهای رمزگشایی برخی خانواده‌های باج‌افزار را بدست آورند.

۲.۳. تصمیم برای پرداخت یا عدم پرداخت باج

توصیه عمومی اکثر متخصصان امنیت و سازمان‌های مجری قانون این است که از پرداخت باج خودداری شود، به دلایل زیر:

• هیچ تضمینی وجود ندارد که بعد از پرداخت، داده‌ها واقعاً بازگردانده شوند.
• ممکن است مجرمین پس از دریافت پول، دوباره شما را هدف قرار دهند یا مبلغ بیشتری طلب کنند.
• پرداخت باج به نوعی تأمین مالی مجرمان سایبری و تشویق آن‌ها به ادامه حملات است.

اگر با این حال در سطح سازمانی هستید و تصمیم‌گیری پیچیده است، بهتر است با کارشناسان حقوقی، بیمه سایبری (Cyber Insurance) و تیم‌های حرفه‌ای پاسخ به حادثه (Incident Response) مشورت کنید.

۲.۴. استفاده از بک‌آپ سالم و پاک‌سازی سیستم

پس از شناسایی باج‌افزار و قطع دسترسی آن:

1. سیستم آلوده را با یک آنتی‌ویروس و ابزارهای تخصصی، اسکن و پاک‌سازی کنید، یا در صورت امکان سیستم‌عامل را به‌طور کامل مجدد نصب (Reinstall) نمایید.
2. فقط از بک‌آپ‌هایی استفاده کنید که مطمئن هستید پیش از زمان آلودگی گرفته شده‌اند.
3. قبل از بازگردانی بک‌آپ، آن را هم اسکن کنید تا آلوده نباشد.

مهم است که عجولانه اطلاعات را روی سیستم هنوز آلوده بازنگردانید، چون باج‌افزار می‌تواند دوباره فعال شده و دوباره همه چیز را رمزگذاری کند.

۲.۵. گزارش حادثه و بررسی ریشه‌ای (Root Cause Analysis)

اگر در محیط سازمانی هستید:

• حادثه را به تیم امنیت داخلی، پلیس فتا یا مراجع قانونی مرتبط گزارش دهید.
• بررسی کنید که چطور باج‌افزار وارد شد: ایمیل فیشینگ، RDP باز، نرم‌افزار قدیمی و…
• پس از شناسایی نقطه ورود، اقدامات لازم را برای جلوگیری از تکرار حادثه انجام دهید.

این مرحله به شما کمک می‌کند از این تجربه تلخ، به یک نقطه شروع برای تقویت امنیت کلی سازمان تبدیل شود.

جمع بندی

باج‌افزار یکی از خطرناک‌ترین تهدیدهای سایبری عصر حاضر است که با رمزگذاری اطلاعات و تهدید به افشای داده‌ها، افراد و سازمان‌ها را مجبور به پرداخت باج می‌کند. این حملات معمولاً از طریق فیشینگ، ضعف‌های امنیتی نرم‌افزارها یا دسترسی‌های ناامن شبکه آغاز می‌شوند. با این حال، با اجرای یک استراتژی امنیتی چندلایه شامل بک‌آپ آفلاین (قانون ۳-۲-۱)، به‌روزرسانی منظم سیستم‌ها، استفاده از آنتی‌ویروس معتبر، احراز هویت چندمرحله‌ای (MFA) و آموزش کاربران می‌توان تا حد زیادی از وقوع این حملات جلوگیری کرد. مهم‌تر از همه، پرداخت باج هیچ تضمینی برای بازگشت اطلاعات ایجاد نمی‌کند؛ بنابراین پیشگیری، آگاهی و آمادگی، کلید اصلی مقابله با باج‌افزار است.