گفتگویی با Anderey Pozhogin در خصوص باج افزارها

به نظر می آید که مشکلات مرتبط با باج افزارها نه تنها کاهش نیافته است بلکه هر روز اوضاع در این باره وخیم تر می گردد. حملات گسترده ی اخیر که به وسیله دو باج افزار CoinVault و CryptoLocker صورت گرفتند نشان داد که مجرمان فضای سایبری نگاه ویژه ایی به انجام حملات خرابکارانه خود با استفاده از باج افزارها دارند. بررسی های اخیر لابراتوار کاسپرسکای نیز نشان داده است که تنها ۳۷ درصد از شرکت ها، باج افزارها را به عنوان خطری جدی تلقی می نمایند.

در این نوشتار گفتگویی را با Andrey Pozhogin درباره باج افزارها خواهیم داشت. آقای Pozhogin یک متخصص امنیت سایبری می باشد که در شرکت کاسپرسکای فعالیت می نماید. او در این گفتگو به ما می گوید که یک باج افزار چگونه عمل می نماید، پیامدهای مرتبط با پرداخت باج چه می تواند باشد و کاربران خانگی و شرکت های بزرگ چه تدابیری را می توانند در خصوص محفاظت از خود بیاندیشند.

 

  • به عنوان نخستین پرسش به ما بگویید که باج افزار چیست ؟

می توان اینگونه گفت که باج افزار یک نوع از بد افزار است که از یک مکانیسم دیجیتالی برای اخاذی بهره می جوید. به عبارت دیگر، باج افزار نوعی نرم افزار است که تا هنگامی که باجی پرداخت نشود اجازه ی دسترسی به یک سیستم کامپیوتری را نمی دهد. CryptoLocker, CryptoWall, CoinVault, TorLocker, CoinVault, TeslaCrypt and CTB-Locker همگی نمونه هایی از باج افزارها هستند.

 

  • قربانیان باج افزارها چه کسانی هستند ؟

به صورت کلی می توان گفت که شرکت های بزرگ و کوچک و مشتریان آنها می توانند جزو قربانیان باج افزارها قرار بگیرند. مجرمان اینترنتی تفاوتی را در هنگام حملات خود میان هیچ شخصی قائل نیستند. آن ها تنها تلاش می نمایند تا آنجا که ممکن است به کاربران بیشتری ضربه بزنند تا بدین وسیله بتوانند سود مالی بیشتری را کسب نمایند.

 

  • چگونه یک حمله ی باج افزاری عمل می نماید ؟

حملات باج افزاری معمولا بدین شکل صورت می گیرند که به وسیله ایمیل، پیامی که دارای پیوستی از نوعی فایل اجرایی، عکس یا … می باشد، به نشانی رایانامه قربانی ارسال می گردد. هنگامی که فایل پیوست ارسال شده بارگیری و باز می گردد، بد افزار مربوطه بر روی سیستم کاربر مستقر می شود. باج افزارها همچنین می توانند بر روی دستگاه قربانیشان در هنگامی که او از تارنمایی که حاوی بدافزاری است بازدید می نماید، استقرار یابند.

هنگامی که دستگاه کاربری آلوده می گردد، هیچ چیز قابل مشاهده ایی در آن لحظه رخ نمی دهد. بد افزار مربوطه به آرامی و بدون هیچ نشانه ایی در پس زمینه ی سیستم کاربر به فعالیت خود ادامه می دهد. از روی دیگر می بینیم که مجرمان اینترنتی هر روزه مهارت های بیشتری را در زمینه ی پخش و اجرای باج افزارها کسب می نمایند. آن ها ابزارها و تکنیک هایی را در اختیار خود دارند که می توانند به وسیله آن ها اطمینان حاصل نمایند که باج افزاراشان هنوز توسط فرد قربانی کشف و مورد شناسایی قرار نگرفته است. اما سرانجام این گونه از حملات آن است که با ظاهر شدن یک کادر گفتگو، به کاربر هشدار داده می شود که اطلاعات موجود در دستگاهش مورد رمزگذاری واقع گشته اند و بدون پرداخت مبلغ مشخص شده او نمی تواند به آن اطلاعات دسترسی بیابد.

هنگامی که کاربر پنجره ی پیغام مبتنی بر پرداخت وجه را می بیند، دیگر خیلی دیر است که بخواهد تلاشی را برای حفظ داده هایش از طریق اقدامات متقابل امنیتی انجام دهد. مبلغ درخواست شده توسط مجرمان اینترنتی در هنگام اجرای این گونه از حملات متفاوت است، اما گاهی شاهد آن هستیم که کاربر باید صدها یا هزاران دلار را برای دسترسی مجدد به داده هایش پرداخت نماید.

 

  • آیا می شود مثالی از این نوع حملات بزنید ؟

بله ، حتما ! برای نمونه می توانم به باج افزار TorLocker اشاره نمایم. این باج افزار از مکانیسم رمز نگاری، با استفاده از یک کلید ۲۵۶-bit AES برای بخش داده های خود استفاده می نماید و سپس بر روی سیستم کاربر راه اندازی می گردد. در مورد این باج افزار می توان گفت که عملا شکستن رمز داده های رمزنگاری شده توسط آن غیر ممکن به نظر می آید. چهار بایت نخست این کلید به عنوان یک نمونه ID منحصر به فرد که به پایان فایل های رمزنگاری شده، افزوده گشته اند مورد استفاده قرار می گیرد. سپس بد افزار مربوطه در درون یک پوشه ی موقتی کپی می شود و یک کلید رجیستری ( registry key ) برای نسخه ی اتوران آن ساخته می گرد. در ادامه نیز بد افزار موارد زیر را انجام می دهد :

◘ به جستجو و پایان فرآیند های مهم سیستم کاربر می پردازد.

◘ تمامی نقاط بازیابی سیستم کاربر را حذف می نماید.

◘ آغاز به رمزگذاری بر روی اسناد آفیس، رخشاره ها ( ویدیو ها )، فایل های صوتی، فرتورها ( تصاویر )، آرشیوها، پایگاه های داده، نسخه های پشتیبان گیری شده، کلیدهای رمزنگاری مجازی دستگاه، گواهینامه ها و دیگر فایل های موجود بر روی سیستم کاربر می نماید.

◘ در پایان نیز پنجره ایی را نمایش می دهد و از قربانی می خواهد تا برای دسترسی دوباره به اطلاعاتش مبلغی را پرداخت نماید.

 

اما آنچه که در مورد این باج افزار آزار دهنده است آن است که TorLocker تمامی سیستم ها را به روشی یکسان آلوده می نماید. بنابراین اگر به نحوی بتوان کلیدی را برای رمزگشایی داده ها یافت، آن کلید برای رمزگشایی داده های موجود بر روی سیستم های دیگر به کار نمی آید. مجرمان اینترنتی مدتی معین ( معمولا ۷۲ ساعت ) را مبنی بر پرداخت وجه برای دریافت کلید رمزگشایی به کاربر ارایه می دهند. اگر کاربر نتواند این مقدار وجه درخواستی را واریز نماید تمامی اطلاعاتش را از دست خواهد داد.

 

  • پس هدف حملات باج افزاری اخاذی است، درست است ؟

بله تا حدی درست است. بیشتر مجرمان اینترنتی از باج افزارها به عنوان وسیله ایی برای اخاذی و دریافت باج استفاده می نمایند. با این حال ما شاهد آن هستیم که یک حمله ی باج افزاری علیه یک کسب و کار تا حدی مالکیت معنوی آن شرکت را نیز تحت آسیب خود قرار می دهد.

 

  • تا چه حد حملات باج افزاری در میان گوشی های همراه فراگیر هستند ؟

حملات باج افزاری در حوزه ی گوشی های همراه نیز در حال فراگیرتر شدن هستند. از آنجایی که مجرمان فضای مجازی هر روزه بد افزارهای بیشتری را در جهت اخاذی و باج گیری تولید می نمایند به الطبع نرم افزارهای مخرب تلفن های همراه نیز به همین سو حرکت می نمایند. در واقع، لابراتوار Q1 Threat Report شرکت کاسپرسکای طی تحقیقی دریافته است که ۲۳ درصد از تهدیدات بدافزاری جدید که مورد شناسایی قرار گرفته اند به منظور سرقت و اخاذی پولی ایجاد گشته اند.

افزون بر آن، بد افزارهای باج-تروجانی بالاترین نرخ رشد در میان تمامی تهدیدات مرتبط با تلفن همراه را دارا می باشند. تعداد بد افزارهای جدید کشف شده در Q1 به تعداد ۱۱۱۳ عدد رسیده است که رشدی ۶۵ درصدی را نشان می دهد. این یک خطر جدی است، زیرا باج افزارها می توانند با اخاذی و آسیب رساندن به اطلاعات شخصی باعث مشکلات فراوانی برای ما گردند.

 

  • آن دسته از کاربرانی که سیستمشان آلوده شده است باید چه نمایند ؟

شوربختانه، در بسیاری از موارد، قربانی نمی تواند کار زیادی را انجام دهد. در این هنگام اگر کاربر از پیش تر موفق به تهیه ی پشتیبانی از اطلاعات خود شده باشد می تواند از آن استفاده نماید. با این حال، گاهی اوقات این امکان وجود دارد تا بدون آنکه کاربر مجبور باشد تا وجهی را پرداخت نماید به او کمک نماییم تا بتواند داده های خود را با موفقیت رمز گشایی کند. به تازگی لابراتوار شرکت کاسپرسکای توانسته است با واحد جرایم بالا فن (High Tech) پلیس ملی هلند تفاهم نامه ی همکاری را در خصوص ایجاد پایگاه داده ایی از کلید ها و برنامه های رمزگشایی برای قربانیان باج افزار CoinVault امضا نماید.

در اینجا لازم می بینم تا هشداری دهم به آن دسته از کاربرانی که نرم افزارهای نامعتبر موجود در اینترنت را که مدعی هستند می توانند داده های رمزنگاری شده توسط باج افزارها را بازگشایی نمایند آن ها را نصب می نمایند. باید بگویم که در حالت خوشبینانه این نرم افزارها هیچ کمکی را نمی توانند به کاربر نمایند و در حالت بدبینانه نیز این نرم افزارها باعث افزوده شدن یک باج افزار دیگر به سیستم شما می گردند.

 

  • اگر کاربران مورد حمله قرار گرفتند، آیا مجاز هستند تا باج درخواستی را پرداخت نمایند ؟

خب بسیاری از قربانیان مایل هستند تا با پرداخت وجه درخواست شده فایل های خود را پس بگیرند. بنابر نظرسنجی انجام شده توسط مرکز تحقیقات میان رشته ایی در حوزه ی امنیت سایبری دانشگاه کنت، بیش از ۴۰ درصد از قربانیان باج افزار CryptoLocker اظهار داشته اند که حاضر هستند تا مبلغی را به عنوان باج برای باز پس گیری اطلاعاتشان پرداخت نمایند. همانگونه که می دانیم باج افزار CryptoLocker توانسته است تا با آلوده سازی ده ها هزار دستگاه در سراسر جهان سود سرشاری را عاید مجرمان اینترنتی نماید.

اما با این حال پرداخت باج درخواست شده نابخردانه است; نخست آنکه هیچ تضمینی وجود ندارد که داده های شما رمز گشایی گردد. برای نمونه امکان دارد وجود باگی در باج افزار مربوطه داده های رمزنگاری شده ی شما را غیر قابل بازیابی نماید. بنابراین شما نمی توانید با خیال آسوده بگویید که با پرداخت مبلغ درخواست شده می توانم داده هایم را باز پس بگیرم !

مورد دوم آنکه، اگر این باج درخواستی پرداخت شود، این اطمینان در دل مجرمان اینترنتی به وجود می آید که این روش کارساز است. در نتیجه، مجرمان فضای مجازی تلاش می نمایند تا راه های جدید تری را برای اکسپلویت و آلوده کردن سیستم ها بیابند.

 

  • کاربران چگونه می توانند از وقوع چنین حملاتی پیشگیری نمایند ؟ آیا پشتیبان گیری از داده ها می تواند کافی باشد ؟

در واقع غیر ممکن است تا بخواهیم به کشف رمز فایل هایی بپردازیم که بسیار ماهرانه توانسته اند رمزنگاری شوند. بنابراین بهترین شیوه آن است که با استفاده از راهکارهای جامع امنیتی در کنار پشتیبان گیری منظم و قوی به مقابله ی این تهدیدات برویم.

از روی دیگر، برخی از انواع باج افزارها به قدری باهوش هستند که می توانند بک آپ های گرفته شده را شناسایی و آن ها را آلوده نمایند. به همین دلیل است که ضرورت دارد حتما به شیوه ی ” سرد ” از داده هایمان پشتیبان تهیه نماییم.

لابراتوار شرکت کاسپرسکی هم یک پادکار امنیتی را در این خصوص طراحی کرده است که ماژول ” System Watcher ” نام دارد. System Watcher قادر است تا نسخه های محافظت شده ی فایل ها را حفظ نماید و بدین ترتیب بد افزار Crypto نمی تواند تغییری را در آن ها به وجود بیاورد.

 

  • چگونه راهکارهای لابراتوار شرکت کاسپرسکای می تواند از کاربران در برابر تهدیدات ناشناخته محافظت نماید ؟

راهکارهای امنیتی ما شامل Kaspersky Security Network (KSN) می گردد. KSN دارای بیش از ۶۰ میلیون داوطلب در سراسر جهان می باشد و این ویژگی امنیت ابری در هر ثانیه بیش از ۶۰۰ هزار درخواست را پردازش می نماید. ضمن آنکه KSN می تواند در مقایسه با روش های سنتی حفاظتی نسبت به تهدیدات مشکوک واکنش بسیار سریع تری را از خود به نمایش بگذارد.

کاربران کاسپرسکی اطلاعات بلادرنگی را درباره ی آخرین تهدیدات شناسایی شده فراهم می آورند. این اطلاعات و دیگر تحقیقات انجام گرفته توسط شرکت کاسپرسکای، توسط جمعی از کارشناسان نخبه ی امنیتی که گروهی به نام “Global Research and Analysis Team ” تشکیل داده اند، مورد واکاوی قرار می گیرد. تمرکز اصلی این کار بر روی شناسایی و آنالیز تهدیدات جدید امنیتی در کنار پیش بینی تهدیداتی که ممکن است در آینده رخ دهد می باشد.

درحالی که تهدیدات امروزی در حال پیچیده تر شدن هستند ما موفق شده ایم تا کاربرانی را پیدا نماییم که می توانند باعث بهبود فضای امنیت سایبری گردند. اما آنچه که دلسرد کننده و خطرناک می باشد آن است که در مقایسه با این کاربران خلاق و مشتاق، عده ایی از روش های قدیمی حفاظتی استفاده می نمایند که می تواند امنیتشان را به خطر بیاندازد.

در پایان این گفتگو می خواهم یادآوری نمایم که انتخاب موثرترین راه حفاظتی بسیار حیاتی می باشد. تنها در سال گذشته کاسپرسکی با شرکت در ۹۳ آزمون جداگانه توانست در میان تمامی تولید کنندگان آنتی ویروس که در این آزمون ها حضور داشتند به بهترین جایگاه دست یابد.

امنیت اطلاعات اصلی ترین هدف شرکت کاسپرسکی است و ما همیشه در تلاش هستیم تا بتوانیم اثربخشی فن آوری های بکار گرفته شده در محصولاتمان را افزایش بخشیم و بدین ترتیب است که کاربران ما می توانند همیشه از موثرترین راهکارهای امنیتی بهره بجویند.

Top