پنجشنبه ۹ فروردين ۱۴۰۳ , 28 Mar 2024
جالب است ۰
پاسخ Jornt van der Wiel به سؤالات رایج در مورد باج‌افزارها

درآمد‌زایی دلیل رشد باج‌افزارهاست

با پرداخت باج از کسب‌وکار مجرمان سایبری حمایت کرده‌اید؛بنابراین در برابر افزایش تعداد باج‌افزارها و قربانیان آنها مسئول خواهید‌بود.

با پرداخت باج از کسب‌وکار مجرمان سایبری حمایت کرده‌اید؛ بنابراین در برابر افزایش تعداد باج‌افزارها و قربانیان آنها مسئول خواهید‌بود.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، jornt، عضو تیم تحقیقات جهانی و آنالیز و متخصص باج‌افزار و رمزگذاری ساکن هلند، بیش از دو سال است که برای لابراتوار کسپرسکی کار می‌کند. در ادامه پاسخ‌های او را به برخی سؤالات رایج در مورد باج‌افزارها بخوانید.

آیا شما فکر می‌کنید که باج‌افزارها در آینده ما را نسبت به دیگر بدافزارها مثل ویروس‌های قدیمی‌تر و تروجان‌ها بیشتر و بیشتر نگران خواهند‌کرد؟
بله، مطمئنا همین‌طور است. ما شاهد افزایش خانواده‌های جدید آنها هستیم و هرروزه تهدیدات در حال بزرگ‌تر شدن هستند. دلیل رشد باج‌افزارها به‌خاطر درآمد‌زایی آنها است. مجرمی که افراد را آلوده می‌کند، درخواست باج کرده و قربانی باج می‌پردازد. در این صورت است که قربانی کلید را دریافت کرده و قادر به رمزگشایی فایل‌هایش می‌شود. معمولاً مجرمان با قربانیان توسط چت صحبت می‌کنند و برای این کار نیازی به هیچ‌گونه ارتباط اضافی و فعل و انفعالات دیگری نیست زیرا کار آ‌نها فقط درخواست باج است و بس! و افراد به‌طور واقعی در مقابل باج‌افزار بانکی قرار می‌گیرند.
 
چگونه می‌توانیم از تاثیرات باج‌افزارها دوری کنیم؟
باید همیشه آخرین آپدیت نرم‌افزار خود را نصب کنید. هرگز بر روی لینک و فایل پیوست در ایمیل‌های مشکوک کلیک نکنید. پسوند فایل‌ها را در ویندوز فعال کنید (به‌طوری که شما به جای دیدن فایل pdf.exe.invoice فایل pdf. را ببینید.) 

همچنین همواره یک راهکار امنیتی به‌روز کانفیگ شده با فناوری هوشمند داشته‌باشید و برای زمانی که دچار مشکل می‌شوید بک‌آپ بگیرید و آنها را به‌صورت آفلاین ذخیره داشته‌باشید یا فایل‌های خود را در یک اپلیکیشن ابری با نسخه نامحدود ذخیره کنید؛ بنابراین حتی اگر فایل‌های رمزگذاری‌شده شما در یک درایو ذخیره شده‌باشند، زمانی که شما آنها را در یک ابر ذخیره کنید می‌توانید به‌راحتی آنها را بازیابی کنید. 

اشخاص بیشتر درگیر باج‌افزارها می‌شوند یا شرکت‌ها؟
هدف باج‌افزارها تمامی افراد است. گاهی اوقات شرکت خاصی را مورد حمله قرار می‌دهند؛ اما اغلب، ما شاهد درگیری افراد با ایمیل‌های اسپم‌شده هستیم. از سوی دیگر، شرکت‌های بزرگ حاضر به پرداخت باج نمی‌شوند: آ‌نها معمولاً جایی را  برای بک‌آپ‌های خود در نظر می‌گیرند. احتمال پرداخت باج در شرکت‌های کوچک بیشتر است زیرا بازگردانی توسط بک‌آپ برای آنها  نسبت به پرداخت باج، هزینه بیشتری به همراه خواهد‌داشت. 

چه زمانی ممکن است فایل‌هایی که رمزگذاری شده‌اند، رمزگشایی شوند؟
در موارد زیر چنین چیزی امکان‌پذیر است:
• سازندگان نرم‌افزارهای مخرب گاهی اشتباه مرتکب می‌شوند و قفل را می‌شکنند که در دو مورد باج‌افزار Petya و CryptXXX شاهد رمزگشایی توسط سازندگان آن بودیم. متاسفانه نمی‌توانم به شما لیستی از اشتباهاتی که سازندگان باج‌افزار به آن دچار شده‌اند، بدهم زیرا این لیست به آ‌نها کمک می‌کند تا دوباره درگیر آن اشتباهات نشوند؛ اما به‌طور کلی، رمزگشایی فایل‌ها کار راحتی نیست. اگر تمایل دارید در مورد رمزگذاری فایل‌ها

و اشتباهات افراد در این موارد بیشتر بدانید، من توصیه می‌کنم چالش رمزگذاری Matasano را در اینترنت جست‌وجو کنید. 

• سازندگان نرم‌افزارهای مخرب بعد از ابراز تأسف، کلید یا کلید مستر را منتشر می‌کنند. کلید باج‌افزار تسلا کریپیت نمونه‌ای است که نظاره‌گر آن بودیم.
 
• سازمان‌های اجرای قانون یک سرور را با کلیدهایش به‌دست می‌گیرند و آ‌نها را اشتراک‌گذاری می‌کنند. سال گذشته با استفاده از کلیدهای بازیابی توسط پلیس هلند، ما یک ابزار رمزگشا برای قربانیان CoinVault ایجاد کردیم. 

گاهی اوقات پرداخت باج جواب می‌دهد، اما هیچ تضمینی برای رمزگشایی فایل‌های شما هنگام پرداخت باج وجود ندارد. علاوه‌بر این اگر شما باج بپردازید از کسب‌وکار مجرمان سایبری حمایت کرده‌اید؛ درنتیجه شما در برابر افزایش تعداد باج‌افزارها و تعداد قربانیان توسط باج‌افزارها مسئول خواهید بود. 

شما می‌گویید که برای دستورالعمل برخورد با CryptXXX درکنار فایل‌های رمزگذاری‌شده به فایل‌های رمزگذاری‌نشده هم نیاز دارید. به چه نرم‌افزاری اشاره دارد؟ و اگر فایل‌های رمزگذاری‌نشده را داشته‌باشیم دیگر نیازی به ابزار شما نیست؟
سؤال بسیار خوبی است و ممنونم از مطرح کردن چنین سوالی! این نشان می‌دهد که ما باید در آینده شفاف‌تر کار کنیم. این باج‌افزار تمام فایل‌های شما را با همان کلید رمزگذاری می‌کند؛ بنابراین اگر شما ۱۰۰۰ فایل رمزگذاری‌شده داشته‌باشید و از بین تمام این فایل‌ها تنها یک فایل اورجینال را در جایی دیگر ذخیره داشته‌باشید و شما تنها یک فایل را به ابزار رمزگشای ما بدهید، ما می‌توانیم با استفاده از کلید بازگشایی فایل‌ها را بازیابی کنیم و ۹۹۹ فایل دیگر شما رمزگشایی شود. با این حال وجود فایل اصلی نیاز است. 

بدافزاری که فایل‌ها را رمزگذاری می‌کند تنها نوع باج‌افزارها است؟
خیر، باج‌افزاری که کامپیوتر را قفل می‌کند نیز وجود دارد. با این حال، راه دور زدن و یا حذف این نوع آسان‌تر است. به همین دلیل است که روز به روز از محبوبیت آن کاسته می‌شود. 

طبق چیزی که در مطبوعات بین‌المللی دیده می‌شود، پیدا کردن باج‌افزارها کار بسیار دشواری است و مثل بازی موش و گربه می‌ماند. شما برای آنها راهکار دارید و به مقابله با آنها می‌پردازید. این حقیقت دارد؟
حقیقت این‌گونه نیست. سیستم ما که نظاره‌گر رفتار فرآیندهای در حال اجرا است، می‌تواند بسیاری از حملات جدید باج‌افزارهای مهاجم را هنگام مواجه‌شدن شناسایی کند، حتی اگر آنها باج‌افزارهای ناشناخته باشند. بله، تا به حال مواردی هم وجود داشته‌است که توسط سیستم نظاره‌گر ما شناسایی نشده‌اند. 

مجرمان تقاضای پرداخت در بیت کوین می‌کنند که ردیابی آن بسیار دشوار است، آیا ممکن است این مجرمان را ردیابی کرد و به آنها رسید؟
ردیابی یک معامله بیت کوینی حقیقتاً دشوار نیست. معاملات در Blockchain ثبت می‌شوند. این ماهیت بیت کوین است که بتوانید هرگونه معامله‌ای را ردیابی کنید. شما نمی‌دانید که چه کسی در آن سوی معامله نشسته‌است؛ اما سازمان‌های مجری قانون می‌توانند رد حساب‌ها را بگیرند. هرچند که آنها هم نیاز دارند که بدانند پول متعلق به چه کسی بوده‌است.
 
آمیزنده بیت کوین به خنثی‌کننده اثر ردیابی معروف است. فکر می‌کنم که این آمیزنده به‌عنوان ماشینی است که شما را در بین بیت کوین‌های زیادی قرار می‌دهد و این بیت کوین‌ها چندین‌بار بین صاحبان رد‌و‌بدل می‌شود و این عملکرد باعث می‌شود تا شناسایی آن سخت‌تر شود. در آخر، ما متوجه نخواهیم شد که کدام بیت کوین را باید شناسایی کرد و
شما می‌توانید فقط حدس بزنید که این اتفاق زیاد رخ می‌دهد. 

تحقیقات گوناگونی بر روی این موضوع صورت گرفته ‌است، شما می‌توانید تعداد زیادی از آنها را در گوگل سرچ کنید. این تحقیقات نشان می‌دهد ردیابی گاهی اوقات امکان‌پذیر است. به‌طور مختصر، گاهی اوقات ممکن است تراکنش‌های یک کیف پول را ردیابی کرد، اما این به‌راحتی انجام نمی‌گیرد حتی زمانی‌که شما کیف پول را پیدا کنید، بورس بیت کوین باید از طریق قانون، اعتبار صاحب کیف پول را فاش کند. 

چند سال برای کشف و پیدا کردن سازندگان CoinVault زمان برد؟
داستان CoinVault از زمانی آغاز شد که Bart از تیم آنتی‌ویروس پاندا در توئیتر خود اعلام کرد که نمونه‌های اضافی از CoinVault را یافته‌است. من متوجه‌شدم که دو عدد از این نمونه‌ها CoinVault نیستند اما به‌طور واضحی به آن ربط داشتند. ما تصمیم گرفتیم که بلاگی در این مورد بنویسیم و جدول زمانی از تکامل CoinVault را تهیه کنیم. هنگامی که ما 90درصد از پست را کامل‌ کردیم این آمار را برای  واحد ملی جرائم تکنولوژی (NHTCU) فرستادیم. 

زمانی‌که این مقاله به پایان رسید، ما با توجه به بعضی راهنمایی‌ها به دو چیز مشکوک شدیم. طبیعی است که ما این اطلاعات را با NHTCU در میان گذاشتیم. بیشتر از یک ماه زمان برای کشف آن صرف شد هرچند البته تمام زمان ما صرف تحقیقات و به‌دست آوردن اطلاعات برای نوشتن وبلاگ و کار کردن روی CoinVault نشد. انتشار پست وبلاگ، که NHTCU بیشتر از ۶ ماه بر روی این مورد تحقیق کرده‌بود، سرانجام به دستگیری مجرمان در ماه سپتامبر سال گذشته منجر شد. 

مجرمان تا چه اندازه از طریق باج‌افزارها پول به جیب می‌زنند؟
سؤال بسیار خوبی است، اما پاسخ آن کمی سخت است. ما تنها قادر هستیم آنها را ردیابی کنیم. به‌عنوان مثال، تمام معاملات بیت کوین به یک جیب (حساب) ختم می‌شود یا زمانی که پلیس یک سرور فرماندهی را تصاحب کند، تنها اطلاعات پرداخت بر روی آن دیده‌می‌شود؛ اما این راه یک ایده به شما می‌دهد، اجازه دهید بگوییم مجرمان توانسته‌اند ۲۵۰هزار کاربر را آلوده کنند (این برآورد حاصل گفتگو با کمپانی‌های بزرگ است). فرض می‌کنیم که هرکدام از آنها حدود ۲۰۰دلار برای رمزگشایی فایل‌های خورد پرداخت کرده‌باشند (متوسط پرداخت باج ۴۰۰دلار است). اگر تنها یک درصد از قربانیان آلوده، باج پرداخت کرده‌باشند، مبلغ پولی که عاید مجرمان شده ‌ست حدود ۵۰۰هزار دلار است. 

آیا ممکن است یک کامپیوتر آلوده در یک شبکه محلی به گسترش باج‌افزار از طریق شبکه به دیگر کامپیوترهایی بپردازد که همان سیستم عامل را دارند؟ یک مدل از باج‌افزار می‌تواند سیستم عامل‌های مختلف را تحت‌تأثیر قرار دهد؟
برای قسمت اول سؤال باید بگویم که اگر باج‌افزار دارای قابلیت گسترش (باج‌افزار کِرمی) باشد، می‌تواند در شبکه پخش شود. برای مثال، Zcryptor ، SamSam دو نمونه از خانواده باج‌افزارها هستند که قابلیت گسترش دارند.
 
پاسخ قسمت دوم سؤال را این‌گونه مطرح می‌کنم: بله، یک مدل از باج‌افزارها ممکن است چندین سیستم عامل را آلوده سازد، البته اگر هدف آن وب سرور باشد؛ به‌عنوان مثال: باج‌افزار می‌تواند سیستم مدیریت محتوای یک سرور در حال اجرا را در PHP مورد هدف قرار دهد. پس باج‌افزار می‌تواند ویندوز کامپیوتر را که یک وب سرور با PHP نصب‌شده دارد، آلوده‌کند سپس می‌تواند قسمت‌های دیگر جست‌وجوی اینترنت را به‌منظور آلوده‌سازی کامپیوتر اسکن کند. کامپیوتر بعدی می‌تواند سیستم عامل لینوکس داشته‌باشد اما با وب سرور PHP. اگر بخواهم به‌طور خلاصه مطرح کنم پاسخ‌ام بلی است، باج‌افزار چند پلتفرمی هم وجود دارد.

مرجع: کسپرسکی آنلاین

کد مطلب : 11485
https://aftana.ir/vdciw5az.t1azv2bcct.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی