دایره امن ترجنس

دایره امن ترجنس

کلمات کلیدی

ترجنس

thregence

edu.thregence.ir

thregence.ir

آکادمی ترجنس

windows registry

os

windows10

exploit

وب سرور

web server

pipeline

پروسس

شبکه

security

network

امنیت

API

هش

تابع هشینگ

hash function

websocket

vmware

cmd

shell

gui

command line

cli

wordpress

تروجان

بایگانی
آخرین مطالب
پیوندهای روزانه
پیوندها
  • ۰
  • ۰

باج‌افزار (Ransomware) چیست؟

۱۸ مهر۹۹

ransomware

باج افزارها(Ransomware) را می‌توان نوعی از فایل‌های مخرب (بدافزار) دانست که اطلاعات سیستم قربانی را رمز (Encrypt) می‌کنند تا قربانی نتواند به اطلاعات خودش دست پیدا کند! عموما بعد از رمز شدن تمام اطلاعات قربانی، مهاجم درخواست باج می‌کند.

اولین باج‌افزار(ransomware)

اولین مورد از این نوع حملات، حمله‌ای است که در سال 1989 انجام شد. این حمله توسط Joseph Popp که یک محقق در زمینه ایدز بود صورت گرفت. او 20 هزار فلاپی را در 90 کشور تحت عنوان "برنامه سنجش میزان ریسک ابتلا به ایدز" منتشر کرد! درون فلاپی یک پرسشنامه وجود داشت که با بدافزار دکتر Popp همراه شده بود. به همین دلیل نام این بدافزار را نسخه دیجیتالی ایدز انتخاب کردند. نحوه عملکرد بدافزار به این صورت بود که درون سیستم قرار می‌گرفت و بعد از 90 بار روشن شدن سیستم فعال می‌شد! وقتی برای 91 امین بار سیستم روشن می‌‍شد، یک پیام باج‌گیری برای کاربر نمایش داده می‌شد.

نحوه عملکرد باج‌افزارها(ransomwares)

عموم باج‌افزارها به روش‌های مهندسی اجتماعی (همانند نمونه بالا) به سیستم‌های قربانی دست پیدا می‌کنند. در این حالت قربانی متقاعد می‌شود که یک فایل را برروی سیستم خود دانلود کند. پس از باز کردن آن و طی کردن مراحلی که به‌نظر طبیعی و بدون مشکل هستند، باج‌افزار شروع به رمز کردن فایل‌ها می‌کند. پس در این روش مهندسی اجتماعی اهمیت زیادی دارد. چرا که مهاجم باید در گام اول قربانی را متقاعد کند که یک فایل را دانلود کند و در گام بعدی، آن را اجرا کند.

اما روش دیگری نیز برای انتقال باج‌افزارها به سیستم قربانی وجود دارد. در این روش مهاجم از حفره‌های امنیتی سیستم هدف استفاده می‌کند و از طریق آن بدافزار خود را به سیستم قربانی تزریق می‌کند. در این روش عموما دیگر نیازی به انجام مراحل مهندسی اجتماعی نیست. در این روش بیشتر عملیات به‌صورت اتوماتیک انجام می‌شود و پس از منتقل شدن بدافزار به سیستم هدف، بدافزار به‌صورت اتوماتیک شروع به انجام تنظیمات اولیه و سپس رمز کردن اطلاعات موجود برروی سیستم می‌کند.

یک باج‌افزار(ransomware) چه کارهایی باید انجام بدهد؟

در سال‌های اخیر سیستم‌ها و تجهیزات کامپیوتری پیشرفت زیادی داشته‌ند. این پیشرفت در زمینه امنیت نیز بوده است و سیستم‌های تشخیص حملات پیشرفت زیادی کرده‌‍اند. از این رو، یک مهاجم برای اینکه بوسیله یک باج‌افزار، قربانی خود را به دردسر بیندازد، کار سخت‌تری را نسبت به گذشته دارد. برای مثال یکی از اقداماتی که سازمان‌ها برای به حداقل رساندن تاثیر باج‌افزار انجام می‌دهند، این است که از تمامی اطلاعات مهم خود به‌صورت مرتب بک آپ می‌گیرند. در این صورت اگر سیستمی توسط یک باج‌افزار آلوده شود، فورا نسخه بک آپ (پشتیبان) را جایگزین اطلاعات آلوده می‌کنند.

علاوه بر این، سطح دسترسی از اهمیت ویژه‌ای برخوردار است. باج افزار برای اینکه بتواند تمام سیستم را رمز کند، باید دسترسی بالایی نیز داشته باشد، چراکه خیلی از فایل‌های مهم تنها توسط کاربران با سطح دسترسی بالا، قابل خواندن/نوشتن هستند. پس اگر یک کاربر با سطح دسترسی پایین آن بدافزار را اجرا کند، باج افزار تاثیری برروی فایل‌های مهم‌تر نخواهد گذاشت.

پس یک باج‌افزار برای اینکه قربانی را به دردسر بیندازد، باید به موارد زیادی توجه کند. سطح دسترسی و پوشش دادن کل فایل‌ها از مواردی هستند که دارای اهمیت‌ بیشتری هستند.

آیا باج‌افزارها(ransomware) همچنان تهدیدی بزرگ به حساب می‌آیند؟

پاسخ: بله! دلایل زیادی را می‌توان بیان کرد که نشان می‌دهد باج‌افزارها همچنان تهدید بزرگی برای سازمان‌ها و اشخاص به حساب می‌آیند. اما بررسی چند تا از آخرین نمونه‌های این نوع حملات، شاید بتواند بهتر و راحت‌تر ما را با خطر باج‌افزارها آشنا کند.

WannaCry

در سال 2017 یکی از گسترده‌ترین حملات باج‌‎افزاری تحت عنوان WannaCry صورت گرفت و حدود 150 کشور مختلف را درگیر خود کرد. نحوه عملکرد این باج‌افزار استفاده از یک آسیب‌پذیری در ویندوز و سپس رمز کردن تمام داده‌های موجود برروی آن بود. در حالی که مدتی پس از انتشار این باج‌افزار مایکروسافت وصله (Patch) مربوطه را ارائه داد اما همچنان سیستم‌هایی که از آپدیت کردن ویندوز خود امتناع می‌کردند در معرض خطر ابتلا به این باج‌افزار بودند و البته به آن دچار شدند! گزارشات نشان دادند که این باج‌افزار اطلاعات 200هزار سیستم ویندوزی را رمز کرد.

 

Bad Rabbit

یک بدافزار که در سال 2017 شیوع پیدا کرد. BadRabbit بیشتر در روسیه و البته بخش‌هایی از اکراین، ترکیه و آلمان انتشار پیدا کرد. البته این باج‌افزار به سرعت تشخیص داده شد و از آن‌جایی که در بسیاری از قسمت‌ها به‌نظر می‌رسید از یک باج‌افزار قدیمی‌تر به اسم NotPetya استفاده شده است، به سرعت جلوی انتشار آن گرفته شد.

NotPetya/Petya

این دسته از باج‌افزارها اولین بار در سال 2016 منتشر شدند. این باج‌افزارها با با هدف قرار دادن MBR در سیستم‌های ویندوزی، اقدام به اجرا کردن پیلود خود می‌کردند.

این باج‌افزارها، ابتدا MBR را هدف قرار می‌دادند، سپس بوت لودر ویندوز را Overwrite می‌کردند و بعد از آن یک سیگنال ریستارت را شروع (Trigger) می‌کردند. به هنگام بالا آمدن سیستم، پیلود مهاجم، اقدام به رمز کردن MFT از فایل سیستم NTFS می‌کرد.

موارد بالا نشان می‌دهد که اولا یک باج‌افزار چقدر می‌تواند در فلج کردن سیستم قربانی خطرناک باشد و هم‌چنین تا چه اندازه قدرت شیوع در بین سیستم‌ها دارد.

 

آکادمی ترجنس

دایره امن ترجنس

ویدئوهای رایگان امنیت و هک

ویدئوها در آپارات

 

 

  • ۹۹/۰۷/۱۸
  • thregence security

ransomware

باج افزار

بدافزار

ترجنس

رمز

نظرات (۰)

هیچ نظری هنوز ثبت نشده است

ارسال نظر

ارسال نظر آزاد است، اما اگر قبلا در بیان ثبت نام کرده اید می توانید ابتدا وارد شوید.
شما میتوانید از این تگهای html استفاده کنید:
<b> یا <strong>، <em> یا <i>، <u>، <strike> یا <s>، <sup>، <sub>، <blockquote>، <code>، <pre>، <hr>، <br>، <p>، <a href="" title="">، <span style="">، <div align="">
تجدید کد امنیتی
ساخت وبلاگ در بلاگ بیان، رسانه متخصصان و اهل قلم