1 ) معرفی
Ransomware (باجگیر) بد افزار هایی هستند که برای اخاذی پول از کاربرانی طراحی شده است که کامپیوتر های آن ها به این بد افزار آلوده شده اند . روش های خلاقانه اخیر برای آلوده کردن ، پول درآوردن و هدف گیری پرسود نشان میدهد که مسیر این حمله در حال پیشرفت ماهرانه از مبتدی های آن تا نسخه های پیشرفته و مؤثر آن است.
در سال های اخیر، جریان رشد Ransomware سرعت زیادی داشته است . که در همه ی وبلاگ های با امنیت بالا ، وبسایت های فنی و حتی در اخبار هم این حمله ها گزارش شده است . در حقیقت به نظر نمیرسد که این روند متوقف شود بلکه روز به روز بدتر می شود و Ransomware هم در توسعه (گسترش) و هم در مهارت پیشرفت میکند .
CryptoLocker اولین Ransomware مشهور است که در سال 2013 مشاهده شد . از سال 2013 تا پایان سال 2015 تنها تعداد کمی از گونه های فعال Ransomware وجود داشتند . تعدادی از این گونه ها به حدی ضعیف بودند که کاربران بدون نیاز به تسلیم در برابر تقاضای باج آن ها میتوانستد فایل های رمز شده را رمز گشایی کنند به همین خاطر این روش های آلوده کننده محدود شدند .
با وجود این که گونه های زیادی از آن پس در همه جا به وجود می آمدند اما تعداد زیادی از آن ها یا اصرار به آلوده کردن کامپیوتر های کاربران داشتند و یا یک نقشه ی کوتاه را اجرا می کردند . یک نمونه خوب Teslacrypt است ، یک Ransomware بد نام که نویسنده های آن یک شاه کلید برای هر کاربر عرضه میکردند .
در موارد دیگر گونه های جدید Ransomware ، حتی آن هایی که به طور گسترده ای منتشر و مشهور شدند به سرعت اشکالات و نقاط ضعف آن ها کشف شد وقتی که آن ها خودشان را رمز دار میکردند ابزار های رمزگشایی نیز برای آن ها منتشر میشد مثل بد افزار Jigsaw که به تازگی ابزار رمز گشایی آن منتشر شده است . این نواقص و باگ ها یا در نسخه های جدید بد افزار اصلاح شدند و یا بد افزار از طرف تیم طراحی کنار گذاشته میشد.
2) مؤسس
با وجود این که اولین Ransomware به صورت طبیعی مشاهده نشده است اما نسل آنها همچنان ادامه دارد .
- CryptoLocker
CryptoLocker اولین رهبر برای Ransomware ها بود و به سرعت یک تهدید بزرگ برای اجرای قانون شد . در می سال 2014 ، اجرای قانون چند ملیتی که موجب درگیری صنایع امنیت با افراد دانشگاهی شد به بازداشت به وجود آورندگان بد افزار ها و پایان آلودگی CryptoLocker منتهی شد . رایج ترین Ransomware الگوی CryptoLocker را دنبال میکند که شامل رمز کردن و چیزی که موضوع را پیچیده تر میکند این است که در رسانه ها و اجرای قانون زمانی که اتفاقات مربوط به Ransomware ضبظ و گزارش میشود به طور معمول کلمه CryptoLocker را به عنوان هم معنی برای هر Ransomware جدید یا ناشناخته که از رمز گذاری استفاده میکرد ، به کار می بردند که این موضوع ارزیابی تهدید و خطر را مشکل میکند . - Cryptowall
Cryptowall کار خود را به عنوان همزاد CryptoLocker آغاز کرد اما بعد از شکست حریف خودش (CryptoLocker) یکی از برجسته ترین گونه های به روز Ransomware شد . بعد از آن Cryptowall یکی از پیشگامان Ransomware که تهدیدی برای EU (اتحادیه اروپا) می باشد باقی ماند . نیمی از افراد ایالت مواردی از Cryptowall را گزارش می دادند به طور مثال Cryptowall همراه یک بسته ی سؤاستفاده گر یا ضمیمه ی یک ایمیل روی سیستم ها نصب میشد . - Teslacrypt
تا می سال 2016 ، Teslacrypt یکی از برجسته ترین گونه های Ransomware بود . Teslacrypt به طور عمده با بسته سؤاستفاده گر مشترک به عنوان Angler (ماهی گیر) منتشر میشد ولی در حال حاضر از بین رفته است . نویسنده های آن عملیات جنگی بد افزار را متوقف کرده اند و بازیافت کلید عمومی آن را رها کرده اند . - CTB-Locker
در اواسط سال 2014 مشاهده شد . CTB-Locker (علاوه بر این به عنوان Critroni هم شناخته شده است) یکی از اولین گونه های Ransomware است که از Tor برای مخفی کردن زیر بنای C&C خود استفاده میکرد. با وجود این که CTB-Locker در سال 2015 بسیار فعال بود اما فعالیت آن در سال 2016کم رنگ تر شد . گونه آخر این نوع Ransomware ، وب سرور ها را هدف قرار داده بوده و از Bitcoin blockchain برای رساندن کلید های رمز گشایی شده به هدف ها استفاده میکردند. به طور چشم گیری در EU (اتحادیه اروپا) رسیدگی به اجرای قانون در مورد Cryptowall کم شد . CTB-Locker یکی از بدافزارهای عالی بود که صنعت خدمات مالی را تهدید میکرد .
3) رده بالاهای شایع
بدافزار های این خانواده که به تازگی منتشر شده اند بسیار حرفه ای عمل کرده و در آلودگی سریع عمل میکنند .
Locky
میزان آلودگی Locky که در ماه اول گزارش شد ، بین یک تا پنج کامپیوتر در هر ثانیه بود و در سه روز اول فعالیت خود حدود 250000 کامپیوتر را آلوده کرد Locky بعد از این که یک بیمارستان در USA را وارد شرایط اضطراری کرد مشهور شد با این حال باج گیر Locky تنها در آغاز سال 2016 در اتحادیه اروپا پیگیری شد .
با توجه به یافته های Intsights که ارائه دهنده ی امنیت و متخصص در جاسوسی سایبری میباشد ، بد افزارهایی که اغلب بر اساس ویژگی های Locky طراحی می شدند و بازار آن ها را به عنوان بدافزار های مربوط به Locky میشناخت ، بازیگران را مورد تهدید قرار میدادند . با این وجود Locky با یک مهاجم بسته ی نفوذی و اسپم در سراسر جهان اجرا میشود و اهداف مشخصی ندارد.
روش کار بدافزار ها ارسال یک فایل .doc با ماکرو های مخرب در آن فایل می باشد و از کاربر میخواهد که ماکرو ها را در Microsoft Word فعال کند . وقتی که فعال شد Ransomware فایل ها را رمزگذاری میکند و پسوند .Locky را به آن ها اضافه میکند . آخرین ورژن Locky پسوند .Osiris را به فایل های رمزگذاری شده اضافه میکند و نام آن ها را تغییر میدهد برای مثال فایل test.jpg را به
4f594feb4104a2e1_wpxan7ix--dzy9--jah6--67d63cb8--15140b74ba3a.osiris
تغییر نام میدهد . بعد از رمزگذاری به قربانی یادداشتی حاوی اطلاعاتی درباره نحوه پرداخت باج ارائه میشود . پرداخت باج به طور معمول بین 0.5 تا 1 Bitcoin (BTC) متفاوت است . نام یادداشت های این نوع باج ها به Osiris Locky تغییر کرده است و در حال حاضر نیز desktopOSIRIS.html یا desktopOSIRIS.bmp نامیده می شود . در مبارزه ی دیگری که اخیراً مشاهده شده است ، Locky از طریق پیغام دهنده فیسبوک که به عنوان بخشی از یک حمله دو مرحله ای است ، پخش می شود .
متأسفانه اخیراً هیچ ابزار رایگان قابل دسترس برای رمزگشایی فایل هایی که به وسیله ی Locky Ransomware رمزگذاری شده اند وجود ندارد . تنها راهی که میتوان به وسیله آن فایل های رمزگذاری شده را دوباره به دست آورد ، Backup می باشد یا اگر به طور باور نکردنی خوش شانس باشید ، از طریق Volume shadow copies (نسخه های موقت دیسک) نیز میتوانید رمز نگاری را انجام دهید .اگرچه Locky تلاش میکند که Volume shadow copies را پاک کند اما به ندرت ransomware موفق به انجام این کار نمیشود.
- 19