Posts

کسپرسکی پرچم دار مبارزه با باج افزارها

کسپرسکی پرچم دار مبارزه با باج افزارها

گردآوری و ترجمه: واحد امنیت شبکه ICTN

منبع: blog.kaspersky.com و  nomoreransom.org

در سال 2015 کسپرسکی با همکاری پلیس هلند اقدام به راه اندازی وبسایت NoRansom نمود، هدف از راه اندازی این وبسایت کمک به قربانیان باج افزار CoinVault برای دسترسی دوباره به اطلاعاتشان بود. پس از آن با توسعه این وبسایت کسپرسکی اقدام به ارائه تعدادی از ابزارهای بازگرداندن فایل های رمزنگاری شده با دیگر باج افزارها نظیر TeslaCrypt، CryptXXX و نظایر آن نمود.

در جولای سال 2016 کسپرسکی قدم بزرگی در راه مبارزه با باج افزارها برداشت. کسپرسکی با همکاری پلیس هلند، پلیس اروپا و بخش امنیت اینتل(مالک McAfee) اقدام به ایجاد وبسایت NoMoreRansom.org برای جمع آوری و ارائه بزرگترین مجموعه از ابزارهای رمزگشای باج افزارها نموده است و برای شروع علاوه بر ابزارهای گذشته، یک ابزار جدید برای مقابله و رفع مخاطرات ایجاد شده توسط باج افزار Shade را ارائه نموده است که مانند ابزارهای گذشته رایگان است.

%da%a9%d8%b3%d9%be%d8%b1%d8%b3%da%a9%db%8c-%d9%be%d8%b1%da%86%d9%85-%d8%af%d8%a7%d8%b1-%d9%85%d8%a8%d8%a7%d8%b1%d8%b2%d9%87-%d8%a8%d8%a7-%d8%a8%d8%a7%d8%ac-%d8%a7%d9%81%d8%b2%d8%a7%d8%b1%d9%87%d8%a7

Shade چیست؟

باج افزار Shade یکی از انواع خانواده باج افزارهای رمزنگاری کننده است که برای اولین بار در اوایل سال 2015 دیده شد. بدافزارهای Shade از هرزنامه های آلوده[1] و یا بسته های نفوذی[2] (مجموعه ای از بدافزارها شامل داده ها و کدهای اجرایی مخرب هستند که از آسیب پذیری های نرم افزارها برای نفوذ بهره می برند) به عنوان روش های اولیه حمله بهره می برند. این روش ها بسیار خطرناکتر از روش های قبلی هستند، زیرا دیگر نیازی نیست قربانی اقدام به باز نمودن فایلی نماید، تنها کافی است یک وبسایت آلوده را مورد مشاهده قرار دهد.

وقتی باج افزار به سیستم قربانی نفوذ می کند، بدافزار Shade اقدام به درخواست یک کلید رمزنگاری از سرور دستور و کنترل[3] خود نموده و یا در صورت عدم امکان ارتباط با سرور از یکی از کلیدهایی از پیش در تعبیه شده در خود را برای رمزنگاری اطلاعات استفاده می کند. این بدین معنی است که حتی اگر کامپیوتر قربانی به اینترنت متصل نباشد، عملکرد باج افزار بر روی سیستم قربانی کامل خواهد شد.

این بدافزار قادر است بیش از 150 نوع فایل شامل فایل های آفیس، تصاویر و بایگانی ها[4] را رمزنگاری کند. پس از رمزنگاری فایل های قربانی به پسوند .xtbl و یا .ytbl تغییر نام داده می شوند. وقتی فرایند رمزنگاری به پایان برسد، یک متن باج گیری مانند شکل زیر برای قربانی به نمایش در می آید.

%da%a9%d8%b3%d9%be%d8%b1%d8%b3%da%a9%db%8c-%d9%be%d8%b1%da%86%d9%85-%d8%af%d8%a7%d8%b1-%d9%85%d8%a8%d8%a7%d8%b1%d8%b2%d9%87-%d8%a8%d8%a7-%d8%a8%d8%a7%d8%ac-%d8%a7%d9%81%d8%b2%d8%a7%d8%b1%d9%87%d8%a7

درادامه به نظر می رسد رمزنگاری فایل ها به اندازه کافی مخرب به نظر نمی رسد، بنابراین باج افزار اقدام به وحشی گرهای بیشتری می کند و درحالی که قربانی وحشت زده در حال جستجو برای یافتن رمزگشا و یا پول برای باجگیری است، باج افزار مشغول بارگیری بدافزارهای دیگر و اجرای آنها بر روی کامپیوتر قربانی است.

چگونه خود را از شر باج افزار  خلاص کنیم؟

اگر شما یکی از قربانیان بد اقبال باج افزار Shade و یا یکی دیگر از انواع باج افزارها هستید، خبر خوب برای شما این است که وبسایت  NoMoreRansom.org می تواند شما را از وسوسه پرداخت پول برای دریافت کلید رمزگشایی بازگرداندن فایل ها، رها سازد. به آدرس www.nomoreransom.org مراجعه و با توجه به نوع باج افزاری که قربانی آن هستید، اقدام به دانلود ابزار رمزگشای مورد نظر (مانند ShadeDecryptor.exe) نموده و با اجرای آن و اسکن دستگاه خود، از شر باج افزار مورد نظر و مخاطرات ایجاد شده توسط آن خلاص شوید.

از آنجایی که پیشگیری و جلوگیری از مواجهه با تهدیدات همواره بسیار آسانتر از مقابله و مبارزه با آنها در هنگام آلوده شدن سیستم به آنها است، علاوه بر جمع آوری و تولید ابزارهای رمزگشایی، یکی از اهداف اصلی پروژه ایجاد وبسایت NoMoreRansom.org آموزش کاربران در زمینه نحوه عملکرد باج افزارها و اقدامات متقابلی است که می توان در زمینه جلوگیری از آلودگی سیستم ها انجام داد و در این راه کسپرسکی برای رسیدن به نتایج بهتر و کاراتر کلیه نهادهای عمومی و خصوصی دعوت به همکاری می نماید.

[1] malicious spam

[2] exploit kits

[3] command-and-control (C&C)

[4] archives

ابزار ضدباج افزار رایگان برای کسب و کارها

محصول جدید کسپرسکی: ابزار ضدباج افزار رایگان برای کسب و کارها[1]

ترجمه و تدوین: واحد امنیت شبکه ICTN

منبع: kaspersky.com

در جولای 2016 کسپرسکی محصول جدید خود برای مقابله با باج افزارها یعنی ابزار ضدباج افزار کسپرسکی برای کسب و کارها(به عنوان یک نرم افزار مکمل رایگان جهت حفاظت از کاربران سازمانی از باج افزارها) را عرضه نمود. این محصول قادر است الگوی رفتاری باج افزارها را شناسایی نموده و دستگاه های با سیستم عامل ویندوز را مورد حفاظت قرار دهد. این ضدباج افزار از دو تکنولوژی پیشگام کسپرسکی یعنی شبکه امنیت کسپرسکی[2] و ناظر امنیتی سیستم [3] (دارای قابلیت های منحصر به فرد شامل امکان جلوگیری[4] و به عقب بازگرداندن[5] تغییرات مضر) بهره می برد.

برنامه های مخرب نظیر باج افزارها که کامپیوترها را آلوده و اطلاعات حیاتی سازمان ها را رمزنگاری می کنند، مخاطرات جدی را به خصوص برای کسب و کارهای کوچک ایجاد می نمایند. براساس گزارش خطرات احتمالی بخش امنیت فناوری اطلاعات کسپرسکی تزدیک به 42% از کسب وکارهای کوچک در 12 ماه گذشته قربانی باج افزارها بوده اند. 34% از این کسب وکارها مبلغ باج را پرداخت نموده اند در حالی یک پنجم آنها قادر به بازگرداندن فایل های خود حتی با انجام تمامی خواسته های باجگیران[6] نشده اند. همچنین تحقیقات کسپرسکی (برپایه آمارهای شبکه امنیت کسپرسکی) موج عظیمی از حملات باج افزارها به کسب و کارها را نشان می دهد(رشد تقریبا 6 برابری از 27 هزار در سال 2015-2014  به 158.6 هزار در سال 2016-2015).

در هنگامی که کسب و کارها درحال استفاده از مجموعه متنوعی از روش ها و فنآوری های حفاظتی برای دستیابی به امنیتی کارآمد هستند، ابزار ضدباج افزارکسپرسکی می تواند نقش یک مکمل امنیتی را برای آن دسته از سازمان هایی که از راهکارهای پیشرفته و جامع امنیت کسپرسکی بهره نمی برند ایفا کند. ضدباج افزار کسپرسکی یک راهکاری سریع و سبک است که قادر است بخش عظیمی از مشکلات پیش آمده برای کسب و کارهای کوچک در اثر از دست رفتن اطلاعاتشان را حل نماید، مشکلاتی که توسط باج افزارها و مشخصا خطرناکترین آنها یعنی باج افزارهای رمزنگار[7] ایجاد می شود. نتیجه عملکرد این باج افزارها، رمزنگاری غیرقابل بازگشت اطلاعات سازمانی و مجبور نمودن قربانیان به پرداخت باج به باجگیران برای بازگرداندن اطلاعات است.

%d9%85%d8%ad%d8%b5%d9%88%d9%84-%d8%ac%d8%af%db%8c%d8%af-%da%a9%d8%b3%d9%be%d8%b1%d8%b3%da%a9%db%8c

 به منظور شناسایی و حفاظت دستگاه هایی با سیستم عامل ویندوز کسپرسکی دو فن آوری اصلی خود را برای تولید محصول ضدباج افزار با یکدیگر تلفیق نموده است:

  • شبکه امنیت کسپرسکی یک سرویس مبتنی بر رایانش ابری است که به منظور پردازش داده های مرتبط با امنیت که توسط مشترکان داوطلب کسپرسکی از سراسر جهان ارسال می شود، توسعه داده شده است. با استفاده از شبکه امنیت کسپرسکی ارائه راهکارهای هوشمند امنیتی کسپرسکی در چندین ثانیه ممکن می شود و می توان از زمان پاسخگویی کوتاه و برقراری سطوح بالای امنیتی اطمینان خاطر داشت.
  • ناظر امنیتی کسپرسکی یک فنآوری امنیتی پیشرفته و فعال است که تمامی رویدادهای مهم سیستم شامل دستکاری و ایجاد فایل ها و تنظیمات سیستم عاملی، اجرای برنامه ها و تبادل اطلاعات در شبکه را پایش می کند. رویدادها جمع آوری و تحلیل می شوند و اگر مدارکی مبنی بر انجام فعالیت های مخرب توسط یک برنامه به دست آید، به منظور جلوگیری از آلودگی های آتی این فعالیت ها می تواند جلوگیری و یا معکوس گردند.

در سال 2015 میلادی کسپرسکی در حدود 444 هزار کاربر و سازمان را در برابر باج افزارهای رمزنگار محافظت و باجگیران را از دستیابی به نزدیک 53 میلیون دلار محروم نموده است. متخصصان کسپرسکی در حال مشاهده افزایش مخاطرات هستند و به همین منظور این ابزار ساده را برای کمک به مبارزه علیه تهدیدات ایجاد شده توسط باج افزارها برای دارایی های سازمان ها توسعه داده اند. سازمان های کوچک و متوسط عموما دارای خبرگی لازم برای اعتبارسنجی عملکرد و مقایسه ابزارهای پرتعداد امنیتی موجود در بازار نیستند بنابراین ابزار ضدباج افزار کسپرسکی با تمامی انواع راهکارهای امنیتی دیگر سازگار است و می تواند به عنوان یک ابزار مکمل مورد استفاده قرار گیرد.لازم به ذکر است بر طبق آزمایشات انجام گرفته توسط تیم فنی ICTN این ابزار با حداقل سه راهکار امنیتی دیگر شامل Symantec، Nod32 و Avira سازگار است و بدون ایجاد وقفه ای در عملکرد هریک از این ابزارها، به حفاظت سیستم ها می پردازد.

کنستانتین ورنوکوف[8] مدیر بخش محصولات Endpoint کسپرسکی[9] می گوید: “این محصول به منظور ایجاد فرصتی برای سازمان ها جهت مشاهده قدرت فنآوری های کسپرسکی به صورت رایگان عرضه شده است.”

%d9%85%d8%ad%d8%b5%d9%88%d9%84-%d8%ac%d8%af%db%8c%d8%af-%da%a9%d8%b3%d9%be%d8%b1%d8%b3%da%a9%db%8c-02

این محصول رایگان با دیگر راه حل های امنیتی سازگار است و می تواند به عنوان یک نرم افزار ثانویه برای مقابله با اغلب باج افزارهای رمزنگار مورد استفاده قرار گیرد. بر اساس آزمایشات تیم فنی ICTN این محصول از منابع سیستمی بسیار اندکی (حداکثر 10 مگابایت رم، مقدار ناچیزی پردازنده و پهنای باند اینترنت) به منظور حفاظت از سیستم ها و اتصال به شبکه امنیت کسپرسکی بهره می برد و می تواند به عنوان یک ابزار قابل اتکا برای محافظت از انواع دستگاه ها با سیستم عامل ویندوز در برابر حملات باج افزارها در کنار دیگر ابزارهای امنیتی مورد استفاده قرارگیرد. این محصول از آدرس https://go.kaspersky.com/Anti-ransomware-tool.html قابل دسترسی است.

[1] Kaspersky Anti-Ransomware Tool for Businesses

[2] Kaspersky Security Network

[3] System Watcher

[4] block

[5] Roll-back

[6] cybercriminals

[7] Cryptomalware

[8] Konstantin Voronkov

[9] Head of Endpoint Product Management

چگونه از حملات باج افزارها جلوگیری کنیم

چگونه از حملات باج­ افزارها جلوگیری کنیم؟

­

در این مقاله قصد داریم به چند راهکار ساده ولی بسیار مهم برای حفاظت کاربران و سیستم­ های آنها در برابر حمله باج ­افزارها اشاره کنیم. همانطور که می­دانیم باج­ افزارها یک نوع پیچیده و پیشرفته از نرم افزارهای مخرب هستند که پس از ورود به سیستم قربانی از  طریق هرزنامه­ های آلوده[1] و یا بسته های نفوذی[2](مجموعه­ ای از بدافزارها شامل داده ­ها و کدهای اجرایی مخرب هستند که از آسیب­ پذیری ­های نرم ­افزارها برای نفوذ بهره می­برند)، فایل های قربانی را از دسترس او خارج و برای ایجاد دسترسی مجدد او به اطلاعاتش درخواست پول می­ نمایند. تاکنون دو نوع از باج­ افزارها در فضای مجازی مشاهده شده ­اند:

  • باج ­افزارهای رمزنگار[3] که شامل الگوریتم­ های پیشرفته رمزنگاری (روش ­های تبدیل هش[4]، زیرساخت کلید عمومی و…) هستند و فایل­ های قربانی را رمزنگاری کرده و برای رمزگشایی محتوای رمزنگاری شده از قربانی تقاضای پرداخت وجه می­ نمایند.
  • باج­ افزارهای قفل­ کننده[5] که سیستم عامل قربانی را قفل نموده و دسترسی به سیستم و یا هر برنامه­ ی دیگری را غیر ممکن می­سازند، در این نوع از باج­ افزارها فایل­های قربانی رمزنگاری نمی­شوند، اما حمله کنندگان برای ایجاد دسترسی مجدد درخواست وجه می­ نمایند.

باج افزارها

لازم به ذکر است از آنجایی که از ابتدای سال 2015 میلادی ظهور انواع متعدد باج ­افزارها رشدی چند برابری داشته است (به شکل زیر توجه کنید)، بعید نیست در هنگام نگارش این مقاله نیز انواع جدیدی به گونه­ های باج افزار افزوده شده باشد!!!

اما آنچه مسلم است، همواره پیشگیری بهتر از درمان است، بنابراین ذکر چند نکته بسیار مهم در این حوزه می­تواند کاربران را از  مواجهه با مشکلات آتی مصون نگه دارد:

باج افزار2

  • نسخه پشتیبان! نسخه پشتیبان و باز هم نسخه پشتیبان!

در اختیار داشتن یک نسخه پشتیبان بدین معنی است که اطلاعات شما برای همیشه از گزند باج­ افزارها در امان می­ماند. بهترین راهکار برای تهیه نسخه پشتیبان، ایجاد دو نسخه همزمان است، نسخه اول بر روی یک فضای ابری (استفاده از سرویسی که به طور خودکار عملیات پشتیبان­گیری را انجام دهد) و نسخه دوم بر روی یک رسانه فیزیکی (مانند هاردهای اکسترنال، حافظه­ های فلش، لپ­تاپ و…). نکته قابل ذکر این است که پس از کامل شدن نسخه پشتیبان این ابزارها را از دستگاه خود جدا کنید. همچنین باید دقت کنید نسخه­ های پشتیبانی نیز به درستی محافظت شوند، زیرا همه ما تجربه پاک شدن اتفاقی فایل­ها و خراب شدن هارد درایوها را داریم.

  • از یک آنتی­ ویروس قدرتمند استفاده کنید.

برای حفاظت سیستم خود دربرابر باج­ افزارها یک آنتی­ ویروس با ثبات و قدرتمند بر روی آنها نصب کنید. دقت کنید که بخش­های اکتشافی آنها که برای کشف و جلوگیری از نمونه­ های جدید و شناسایی نشده باج­ افزارها طراحی شده ­اند را غیرفعال نکنید.

  • سیستم عامل و تمامی نرم­افزارهای خود را به روز نگه دارید.

وقتی برای سیستم عامل شما و یا نرم­ افزارهای نصب­ شده روی آنها نسخه جدیدی منتشر می­شود، این نسخه­های جدید را نصب کنید و اگر نرم­ افزارها بخشی برای به روزرسانی خودکار دارند، آن را غیرفعال نکنید. (البته همانطور که می دانید در کشور ما بهتر است نسخه­ های جدید را خودتان نصب کنید.)

  • به معنای واقعی کلمه، به هیچکس اعتماد نکنید.

هر حساب کاربری به طور بالقوه می ­تواند در معرض خطر باشد. پیوندهای مخرب می­توانند توسط حساب­های کاربری دوستان شما در یک شبکه اجتماعی، همکاران و یا یک همبازی در یک بازی آنلاین ارسال شوند. دقت کنید هرگز فایل های ضمیمه[6] ، ایمیلی که از فرستنده ناشناس ارسال شده است را باز نکنید، مجرمان سایبری معمولا اقدام به انتشار ایمیل­های جعلی که بسیار شبیه ایمیل­های اطلاع ­رسانی و یا اخطار از یک فروشگاه آنلاین، یک بانک، پلیس، یک دادگاه و یا یک نهاد جمع ­آوری مالیات می­ کنند. دریافت کننده ناآگاه با کلیک کردن بر روی پیوند مخرب، بدافزار را بر روی سیستم خود دریافت و به اجرا در می­ آورند. به این عمل فیشینگ[7] می­ گویند.

  • گزینه نمایش پسوند فایل­ها[8] را در سیستم عامل خود فعال کنید.

این کار یافتن فایل­های بالقوه مخرب را بسیار آسانتر می­کند. همچنین مراقب فایل­هایی با پسوندهایی نظیر exe، vbs،scr باشید، کلاهبرداران به راحتی از پسوندهای مختلف برای مخفی کردن فایل­های مخرب خود استفاده می­کنند.

  • اگر یک فرایند[9] ناشناس و یا مخرب را برروی سیستم خود کشف کردید، حتما و حتما، فوراً ارتباط خود را از اینترنت و یا شبکه خود قطع کنید. اینکار از پخش شدن آلودگی جلوگیری می­کند.

در پایان به عنوان یک توصیه، مد نظر داشته باشید که امنیت فرایندی همیشگی و مدت دار است، بنابراین به روز باشید و همواره علاوه برحساسیت نسبت به رویدادهای که در درون شبکه شما اتفاق می­افتد، نسبت به اخبار و اطلاعات حوزه امنیت شبکه هوشیار باشید.

باج افزار3

[1] malicious spam[2] exploit kits[3] Encrypting ransomware[4] Hashing[5] Locker ransomware[6] Attachments[7] Phishing[8] Show file extensions[9] Process

گردآوری و ترجمه: واحد امنیت شبکه ICTN

منبع: nomoreransom.org