باج افزارها، دسته‌ای از بدافزار‌هایی هستند که طی سه سال اخیر موضوعیت یافته‌اند. اگر بخواهیم باج‌افزار را تعریف کنیم، می‌توان گفت: "باج‌افزار به مجموعه از اقدامات خراب کارانه‌ای گفته می‌شود که طی آن سیستم قربانی، سیستم عامل و یا اطلاعات شخص و سازمان، گروگان گرفته می‌شود و برای رهاسازی پولی مطالبه می‌شود؛ به بدافزاری که این کار را انجام می‌دهد باج افزار و در کل به این نوع حمله، حمله باج‌افزاری گفته می‌شود."

در همین راستا برای شناخت و کسب آگاهی بیشتر با این نوع حمله، خبرنگار حوزه ارتباطات فضای مجازی باشگاه خبرنگاران جوان گفت‌وگویی با مهران گرمه‌ای کارشناس امنیت سایبری انجام داده است که در ادامه آن را می‌خوانید.

مهران گرمه‌ای کارشناس امنیت سایبری در گفت‌وگو با خبرنگار حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، با اشاره به اینکه باج‌افزارها در حال حاضر یکی از نگرانی‌های عمده در فضای سایبری جهانی شده‌اند، گفت: "دلیل تولد باج‌افزارها این است که فناوری در زمینه‌های مثبت و برای خدمت‌رسانی به بشر به ویژه در زمینه رمز‌نگاری ارتباطاتی امن و انتقال ناشناس پول و به طور مشخص پول‌های مبتنی بر رمزنگاری و رمزارزها، پیشرفت کرده است؛ این پیشرفت‌های فناوری باعث شده که توجه گروهی از مهاجمین به این نکته جلب شود که می‌شود به حملاتی دست زد که طی آنها سامانه‌های مبتنی بر فناوری‌های اطلاعات را به گروگان گرفت و در ازای آزادسازی آنها پولی مطالبه کرد."

وی افزود: "این پول را می‌توان به شکل رمزارز یا سایر روش‌های ممکن که در آنها می‌توان هویت دریافت کننده را پنهان نگاه داشت، دریافت کرد و در عین حال هیچ تضمینی برای قربانی وجود ندارد که پس از پرداخت پول بتواند دوباره به سامانه خود دسترسی یابد."

باج افزارها مبتنی بر یک بدافزار نیستند

این کارشناس امنیت سایبری با اشاره به این نکته که حملات باج افزاری الزاما مبتنی بر یک بدافزار نیستند و مهاجم گاهی با سلسله‌ای از اقدامات و بدون اتکا به یک بدافزار مشخص کار خود را پیش می‌برد، بیان کرد: "باج‌افزارها در کل به دو گروه تقسیم‌ می‌شوند: گروه نخست باج‌افزارهایی هستند که سیستم عامل  را به گروگان گرفته و دسترسی به سیستم عامل را محدود می‌کنند و گروه دوم که می‌توان گفت به دلیل آنکه قربانی با کمک نهادهای امدادرسان می‌تواند راهی بیابد تا بدون پرداخت باج از این حمله رها شود؛ تقریبا منسوخ شده‌اند؛ بنابراین امروزه بیشتر باج‌افزارها بر روی گروگان‌گیری اطلاعات یا رمز کردن فایل کاربران تمرکز دارند."

گرمه‌ای  تصریح کرد: "مهاجم گاهی با سلسله‌ای از اقدامات و بدون اتکا به یک بدافزار مشخص کار خود را پیش می‌برد اما عمدتا این حملات مبتنی بر یک ابزار مخصوص هستند که به آن باج افزار می‌گوییم. در ابتدا باج‌افزارها چندان قوی نبودند یعنی اطلاعات کاربر را رمز می‌کردند اما روش‌های رمزگذاری آنها مبتنی بر روش‌های متقارن رمزگذاری بود، در روش متقارن برای رمز کردن و باز کردن از یک کلید و پسورد استفاده می‌کنند اما در روش غیرمتقارن برای رمز کردن از یک کلید و برای باز کردن از کلید دیگری استفاده می‌شود."

وی ادامه داد: "اگر در رمزگذاری از یک کلید استفاده شود، تیم امدادگر این فرصت را دارد که باج‌افزار را دوباره اجرا و کلید را پیدا کند و یا اینکه حتی اگر شرایط مهیا باشد و سیستم کاربر در زمان آلوده شدن تا زمان امداد ریستارت نشده باشد، احتمال دارد که کلید موردنظر یعنی همان کلیدی که از آن هم برای رمزگذاری استفاده شده و هم می‌شود به‌وسیله آن اطلاعات را بازیابی کرد، در حافظه سیستم موردنظر موجود باشد، در آن صورت می‌توان با ابزارهایی، کلید را یافته و یک ابزار عمومی و کلی برای بازگشایی اطلاعات ارائه کرد. اما امروزه باج‌افزارها مبتنی بر روش‌های نامتقارن هستند یعنی باج‌افزار اطلاعات را با یک کلید رمز می‌کند و کلیدی که قرار است با آن اطلاعات بازگشایی شود، اصلا روی سیستم کاربر وجود ندارد که بتوان از طریق آن اقدام کرد."

کارشناس امنیت سایبری با تاکید بر اینکه امروزه حملات باج افزاری در سطحی پیچیده‌تر اتفاق می‌افتد، اظهار کرد: "در برخی حملات باج‌افزار وارد سیستم قربانی می‌شود، برای رمزگذاری اطلاعات از طریق اینترنت و از طریق سرور فرماندهی خود به سیستم نفوذ می‌کند، در این حالت به ازای هر حمله یک کلید منحصر به فرد برای بازگشایی وجود خواهد داشت، درنتیجه اگر مثلا یک قربانی باج را پرداخت کند و کلید بازگشایی را دریافت کند، کلید موردنظر دیگر برای سایر قربانی‌ها موثر نیست."

باج‌افزارها چگونه وارد سیستم قربانی می‌شوند؟

گرمه‌ای درخصوص این سوال که چگونه باج افزار‌ها وارد سیستم قربانی می‌شوند، گفت: "تمام روش‌هایی که تا امروز برای انتشار بدافزارها مشاهده کرده‌ایم، در این زمینه هم مورد استفاده قرار می‌گیرند، به عنوان مثال نمونه‌های فراوانی از ایمیل‌هایی وجود دارند که مبتنی بر فیشینگ بوده و طی آن پیامی فریبنده به کاربر ارسال می‌شود که کاربر را ترغیب به خواندن آن پیام می‌کند، این پیام حاوی فایلی است که در پس پرده به دنبال آلوده کردن سیستم کاربر و به دست گرفتن کنترل آن است. به طور مشخص این پیام‌های فریبنده که گاهی به صورت ایمیل و گاهی هم به صورت پیام در شبکه‌های اجتماعی برای کاربران ارسال می‌شود، به طور کلی حاوی انواعی از فایل‌ها هستند که در آن امکان قرار دادن کدهای اجرایی هم وجود دارد، مثلا فایل‌های زیپ، فایل‌هایی با استانداردهای قدیمی‌تر مجموعه آفیس، به عنوان مثال فایل‌های با پسوند doc و نه docxکه در دل آنها ماکروهایی وجود دارند که می‌توانند راه را برای ورود باج‌افزار باز کنند، یا خود حمله باج‌افزار را انجام می‌دهند و یا اصطلاحا در نقش دراپر عمل کنند، کار دراپر دانلود باج‌افزار است بنابراین ممکن است که مرحله اول حمله با همین پیام‌ها شروع شود."

این مدرس و عضو هیئت علمی دانشگاه افزود: "در ایران مهاجمین به سراغ برنامه‌هایی که کاربران به وفور بر روی سیستم‌های خود نصب می‌کنند می‌روند، و مثلا خود را به جای درایور جا می‌زنند، یعنی کاربر قصد دارد روی سیستم خود درایور نصب کند غافل از اینکه مهاجم آن درایور را آلوده به باج‌افزار کرده است؛ یا نمونه دیگر آن فیلترشکن‌ها هستند، در مواردی مهاجم از طریق فیلترشکن‌ها برای حمله استفاده کرده است؛ نرم‌افزارهای قفل یا کرک، اینها هم جزء مواردی بودند که در گذشته در کشورمان منشأ ورود باج‌افزارها بودند."

 بعد از ورود باج‌افزارها، چه اتفاقی برای سیستم‌ها رخ می‌دهد؟

این کارشناس امنیت سایبری با اشاره به اینکه باج‌افزار برخلاف انواع دیگر روش‌ها دست به سرقت اطلاعات نمی‌زنند، تصریح  کرد: "در حملات باج افزاری، هیچ اطلاعاتی از سیستم قربانی خارج نمی‌شود بلکه در همان سیستم و با استفاده از منابع موجود، فایل‌های موردنظر، رمزگذاری می‌شود و برای اینکه این باج‌افزار توسط کاربر یا ادمین کانال شناسایی نشود، مهاجم دو فاکتور سرعت و موثر بودن را در نظر می‌گیرد. برای اینکه بتواند کار خود را با سرعت انجام دهد، معمولا فقط قسمتی از فایل‌ها یعنی آن دسته از فایل‌هایی را که ارزش اطلاعاتی بیشتری دارند، رمز می‌کند بنابراین فهرستی از رمزهای مختلف را در نظر دارد و فقط همان فایل‌های منتخب را دچار آسیب می‌کند؛ در این فهرست معمولا فایل‌های متنی، تصویر، ویدئو و فایل‌های متعدد با پایگاه داده، نرم‌افزارهای صفحه گسترده مثل اکسل و غیره وجود دارد. برای آنکه کار را موثر انجام دهد، ابزارهای دفاعی موجود بر سیستم را یا دور می‌زند و یا غیرفعال می‌کند."

وی در پایان تاکید کرد:  "آنتی ویروس‌ها معمولا روش‌های مناسبی برای شناسایی باج‌افزارها نیستند چرا که باج‌افزارها به روز ساخته می‌شوند. آنتی ویروس‌ها برای شناسایی، باید از قبل نمونه فایل مخرب را دیده باشند؛ بنابراین شاهدیم که مهاجمینی که در تولید باج‌افزار دخیل هستند، به وفور در طی روز یا هفته نسخه‌های باج‌افزار و فایل‌های اجرایی خود را بروزرسانی می‌کنند تا آنتی ویروس‌ها آنها را تشخیص ندهند اما ابزارهای دفاعی بومی وجود دارد که می‌تواند برای مقابله با ج افزارها مورد استفاده قرار بگیرد، علاوه بر آن  ابزارهای دیگری مانند ویندوز بر روی سیستم‌ها وجود دارند که امکان لغو یا بازگرداندن  تمام تغییرات را روی سیستم تا مدتی فراهم می‌آورند که آن را از طریق فرآیندی به نام VSS یا همان بکاپ‌گیری انجام می‌دهد. باج‌افزارها معمولا VSS را غیرفعال می‌کنند تا کاربر نتواند فایل‌هایش را از این طریق بازگرداند."