وضعیت سرورها

وبــلاگ

وضعیت سرورها
  • باج افزارهای رمزگذاری کننده چه هستند؟

    ایران‌سرور پنج شنبه ۱۱ آذر ۱۳۹۵ امنیت

    ansome

    باج افزار ها نوعی از برنامه های مخرب هستند که از پیغام های فریبنده(مانند برنده شدن در قرعه کشی) و هشدار دهنده(مانند هشدار پر شدن ایمیل) برای اخاذی کردن استفاده می کنند. عملکرد مخرب باج افزارها و پیغام های آن ها عموما در کامپیوتر و موبایل کاربر، به عنوان مثال با قفل کردن و عدم اجازه استفاده معمولی از دستگاه، اتفاق می افتد و کاربر را تحت فشار قرار داده و اخاذی صورت می گیرد.
    باج افزارهای رمزگذاری کننده، نمونه ای از باج افزارها هستند که فایل های ذخیره شده در کامپیوتر و یا دستگاه موبایل کاربر را رمزنگاری می کنند. این باج گیرها به سادگی و با استفاده از روش‌های جدید رمزنگاری، فایلهای مهم کاربر را رمزگذاری می‌کنند و با این کار دسترسی به اطلاعات توسط کاربر و یا نرم افزارها نا ممکن می‌شود.
    هنگامی که یک باج افزار فایل‌های کاربر را رمزگذاری می کند، اساسا این فایل ها نقش گروگان را ایفا می‌کنند و بر همین اساس توزیع کننده‌ی باج گیر از کاربر تقاضای مبلغ مشخصی را برای رمزگشایی آنها می‌نماید. در برخی نمونه‌ها حتی کاربر محدودیت زمانی برای پرداخت مبلغ تعیین شده خواهد داشت، بدین معنی که اگر تا تاریخ گفته شده، مبلغ توسط باجگیر دریافت نشود، اطلاعات کاربر قابل بازیابی نخواهند بود.
    نحوه انتشار باج افزارها
    کاربر ممکن است با روش‌های مختلفی به باج افزارها آلوده شود که معمول ترین و رایج ترین آن ها عبارتند از:
    – فایل آلوده به بدافزار که می تواند از طریق دانلود از یک وب سایت، پیوست ایمیل و فلش مموری منتقل شود.
    – بصورت بخشی از سناریوی آلوده سازی توسط دیگر ویروس‌ها و یا تروجان‌ها (شما یک نرم افزار کرک را از یک سایت دانلود غیرقانونی دریافت می کنید، این فایل در زمان اجرا و بصورت کاملا پنهان و دور از چشم شما ممکن است اقدام به دانلود و اجرای یک باج افزار نماید.)
    آلوده شدن به باج افزار توسط ایمیل
    ایمیل‌ها عموما به عنوان یکی از ساده ترین و پرکاربردترین راه‌های انتشار باج افزارها شناخته می شوند. ایمیل ها ممکن است با عناوین و نام تجاری شرکت های معتبر دریافت شوند و متن آن ها شامل یک موضوع عمومی ، محتوای اسپم و یا مرتبط با منافع خصوصی گیرنده باشد. (به عنوان ایمیل های phishing نیز شناخته می شوند)

    ددا

    تصویر بالا به عنوان نمونه ای از ایمیل های اسپم می باشد که برای انتشار باج افزار CTB-Locker استفاده شده است.
    برخی از ایمیل ها شامل فایل هایی در ضمیمه خود هستند که می توانند با هر یک از فرمت های زیر باشند :

    – پوشه و فایل‌های زیپ شده شامل فایل های JavaScript (در پسوندشان js موجود می باشد)
    برخی از فایل‌ها ضمیمه شده در ایمیل ها ممکن است شامل چندین پسوند باشند – به عنوان مثال <INVOICE#132435>.PDF.js.. این یک تاکتیک رایج برای فریب دادن کاربران است تا باور کنند این فایل نیاز به اجرا با نرم افزار متفاوتی دارد.
    ایمیل ها ممکن است شامل لینکی به فایل مخرب میزبان در cloud(مانند یک لینک به دراپ باکس) و یا حتی به عنوان یک رزومه ساده نمایش داده شوند، اما در واقع یک برنامه اجرایی مخرب می باشد.
    دریافت ایمیل به تنهایی نمی تواند باعث آلودگی شود. چیزی که ما را دچار دردسر می‌کند فایل های ضمیمه در ایمیل و یا لینک های ارسالی(در صورتی که برروی آنها کلیک نمایید) خواهند بود.
    اگر کاربر فایل‌های پیوست شده در ایمیل را باز کند، کد های مخرب آن سعی می‌کنند اجرا شوند، اگر این فایل از نوع JavaScript باشد، سعی می کند که برنامه باج‌افزار(ویروس باجگیر) را از روی سایت و یا یک سرور اینترنتی دانلود و نصب نماید. اگر یک فایلword و یا excel باشد، کدها به عنوان یک ماکرو (که یک امکان پیشرفته در ماکروسافت آفیس برای کد نویسی می‌باشد)و یا مجموعه ای از دستورهای ذخیره شده در یک فایل می باشند که اجرا شدن آن در گرو باز شدن فایل توسط کاربر می باشد.
    برای این که دستگاه کاربر آلوده شود یکی از دو سناریو زیر باید اتفاق بیفتد:
    – در فایل های word ، ماکرو ها باید اجرا شوند ( در نسخه‌های جدید به صورت پیش فرض این امر غیر فعال است مگر شما برروی پیام Enable Editing در زمان باز شدن فایل کلیک نمایید)
    – کاربر فریب داده شود که ماکرو در فایل word را اجرا کند.
    اگر به هر دلیل ماکرو ها در نرم افزار word فعال باشند، کدهای مخرب سریعا اجرا خواهند شد. اما اگر ماکرو ها غیر فعال باشند، فایل یک پیغام برای کسب مجوز کاربر جهت فعال سازی آن ها نمایش خواهد داد. حال اگر کاربر دکمه Enable Editing یا Enable Content در پیغام هشدار را بزند، ماکرو ها فعال شده و کد های مخرب به صورت خودکار فعال می شوند.

    45

    تصویری از صفحه Word که با مجوز کاربر اجازه فعالسازی ماکرو ها را صادر می کند

    انتشار ویروس باجگیر به وسیله Exploit Kit
    عموما باج افزارهای رمزگذار توسط Exploit Kitها ارسال می‌شوند، که توسط مهاجمین در وب سایت‌ها قرار گرفته‌اند. این Exploit Kitها وسیله‌‌ای هستند که به کمک آن هکرها از طریق وب سایت‌ها و با استفاده از نقص و آسیب‌های موجود در کامپیوتر افرادی که سایت را مشاهده می‌کنند به کامپیوتر وی نفوذ کرده و سیستم او را مورد سوء استفاده قرار دهد. تعداد زیادی از این Exploit Kitها مانند Angler, Neutrino و Nuclear وجود دارند که در حال حاضر به گسترش و توزیع باج افزارها کمک می‌کنند. یک Exploit Kit می‌توانند به سرعت دانلود شده و باج افزار را در دستگاه کاربر نصب نماید. باید توجه کرد که این مراحل به سرعت و بصورت کاملا پنها از دید کاربر انجام می‌شود.
    آلودگی به ویروس باج افزار
    هنگامی که بدافزار باجگیر اجرا می‌شود، باج افزار برای رمزگذاری فایل‌ها، سیستم کاربر را بررسی میکند. برخی از باج افزارهای رمزگذار قدیمی مانند انواع مختلف TeslaCrypt ، تنها چند پسوند فایل محدود را رمزگذاری می‌کنند در حالی که نسخه‌ها جدید باج افزارها مانند Cryptolocker تعداد و انواع بسیار بیشتری از فایل‌ها را رمزگذاری می‌کنند. همچنین یک خانواده شناخته شده از باج افزارها مانند Petya وجود دارند که Master Boot Record (MBR) هارددیسک کامپیوتر( یا همان بخشی از هارددیسک که در ویندوز و دیگر سیستم عامل‌ها پس از روشن شدن کامپیوتر از آنجا بوت می‌شوند و در واقع نقطه‌ی شروع روشن شدن سیستم شما پیش از باز شدن ویندوز است!) را رمزگذاری
    می کنند.
    پس از این که رمزگذاری به اتمام رسید، باج افزار پیغامی با محتوای تقاضای باج نمایش می دهد که انواع آن بسیار متنوع و بسته به نوع باج افزار می باشد و مبلغ درخواستی عموما به صورت Bitcoin و دیگر پول های الکترونیکی می باشد که همیشه یک دستورالعمل خاص نیز برای پرداخت آن ارائه می شود.
    باج افزارها عموما در انتها اقدام به حذف خود میکنند تا ردی برای شناسایی باقی نماند.

    پیغام نمایش داده شده توسط ویروس باج افزار CTB-Locker

    99
    عواقب
    تمرکز باج افزار ها بر روی این مسئله است که تصور می‌کنند فایل هایی را به گروگان گرفته‌اند که کاربر بسیار مشتاق به پرداخت وجه برای آزادسازی آن ها می باشد. اگر فایل ها برروی سیستمی باشد که متعلق به سازمان خاصی ، مانند بیمارستان ها، شرکت های امور مالی و مالیاتی و یا یک اداره دولتی باشد، بیشتر از یک نفر توسط فعالیت های باج افزار تحت فشار قرار خواهند گرفت.
    با توجه به اطلاعات موجود در فایل های رمزنگاری شده، تعداد دستگاه های آلوده شده و راه حل بازگرداندن فایل‌های سالم از نسخه های پشتیبان، تاثیر باج افزار می تواند بین بازه خفیف تا شدید اندازه گیری شود. امیدواریم که شما پیش از مبتلا شدن به باج افزار این متن را مطالعه نمایید و اقدام به backupگیری مداوم از اطلاعات مهم خود و سازمانتان در خارج از کامپیوتر اصلی نمایید.
    هشدارها
    به عنوان یک کاربر کامپیوتر، شما می توانید تعدادی از اقدامات ساده برای جلوگیری از تبدیل شدن به یک قربانی رمزنگاری باج افزار را انجام دهید:
    – از کلیه فایل ها به طور منظم پشتیبان تهیه کنید و آن ها را در جایی که به کامپیوتر و یا شبکه متصل نیست ذخیره کنید. این بدان معناست که اگر کامپیوتر شما آلوده شد، شما همیشه یک نسخه پشتیبان سالم(و جدید!) آماده داشته باشید.
    – تمامی Patchهای امنیتی مناسب و مهم را برای کلیه سیستم عامل ها و برنامه ها نصب کنید(ویندوز آپدیت را غیرفعال نکنید!). این کار باعث می شود که بتوان از سناریو حمله توسط فایلهای ضمیمه شده در ایمیل و آسیب پذیری حملات داوطلبانه جلوگیری نمود.
    – تمامی امکانات آنتی ویروس خود را فعال نموده و با آخرین پایگاه داده آن را به روز نگه دارید. پیشنهاد اکید ما استفاده از آنتی ویروس اف سکیور است که برخلاف بسیاری از آنتی ویروس‌های دیگر توانایی شناسایی باج افزارها را دارد.
    – از بازنمودن ایمیل هایی که فرستنده آن ناشناس هستند خودداری نموده به خصوص ایمیل هایی که شامل فایل ضمیمه و لینک به سایتهای متفرقه می باشند.
    – گزینه “Show hidden Files, Folders and Drives” را در My Computer فعال نموده و گزینه “Hide extension of known file types” را غیر فعال نمائید. این گزینه ها ممکن است به فایلهای ویروسی کمک نموده تا چندین پسوند داشته باشند.
    – در Microsoft Office ، مطمئن شوید تنظیمات مرتبط با ‘Macro Settings’ برروی ‘Disable macros with notification’ تنظیم شده است. این گزینه مانع فعال شدن خودکار ماکرو ها در هنگام باز نمودن فایل ها می باشد.
    – در Office 2016، برای تمامی فایل هایی که از اینترنت دانلود می شوند شما می توانید تنظیمات را بر روی Block Macros قراردهید. این قابلیت جدید برای پاسخ به تهدید بدافزارها توسط مایکروسافت افزوده شده است.

    0

    برچسب ها :

با عضویت در خبرنامه شما را از آخرین تجربیات مان و مطالب تخصصی آگاه خواهیم کرد.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *