حدود دو هفته پیش بود که باجافزاری به نام «وانا کرای» هزاران کاربر خانگی و کسبوکارها را مورد حمله قرار داد و نگرانی جدی کاربران را در سراسر دنیا به همراه داشت. در واقع حمله این باجافزار آنقدر جدی بود که حتی اگر کاربری چندان هم بهدنبال کردن اخبار حوزه امنیت علاقه نداشت، مجبور بود برای فرار از راههای احتمالی نفوذ این باجافزار اخبار و اخطارها را دنبال کند. دامنه نفوذ این باجافزار حتی به ایران هم رسید و براساس گزارش روابطعمومی سازمان فناوری اطلاعات ایران، بیش از ۲۰۰۰ مورد ابتلا به باجافزار واناکرای در ایران گزارش شده است. بیشترین آلودگی از طریق این باجافزار به ترتیب متعلق به اپراتورهای ارتباطی، سلامت و پزشکی و دانشگاهی بوده و بیشترین استانهای آلوده هم تهران و اصفهان بودهاند. موج افزایش حملات باجافزاری در سالهای اخیر کاملا محسوس بوده است، تا جایی که طبق گزارشهای شرکت کسپرسکی، بیش از 700 هزار کاربر توسط بدافزارهای باجخواهی طی یک سال مورد حمله قرار گرفتهاند.
بخشی از این گزارش که مربوط به باجافزارها است، با زیر نظر گرفتن روند حملات باجافزاری بین سال 2014 و 2016، شکلگیری خاصی از این روندها را کشف کرده است. بین ماه آوریل 2015 تا مارس 2016، بیش از 700 هزار کاربر توسط باجافزارهای قفلگذار مورد حمله قرار گرفتهاند که با از دست دادن فایلهای خود درخواست تبادل پولی از طریق بیتکوین دادهاند. این موضوع نشان از موفقیتآمیز بودن حملات باجافزاری در سطح وسیع دارد که آن را تبدیل به تجارت سودآوری برای هکرها کرده است. این آمار ارائه شده 5/ 5 برابر بیشتر از همین بازه زمانی 2014 تا 2015 بوده که بیش از 131 هزار مورد گزارش شده است. به این ترتیب کسپرسکی لقب «اپیدمی» را به این رشد جهشی داده است. با این اوصاف حالا باجافزارها شکلی جدی و خطرناک پیدا کردهاند تا یک بار دیگر نهتنها توجه کارشناسان امنیتی، بلکه توجه کاربران سراسر دنیا را به خودشان جلب کنند. بنابراین شاید بد نباشد کمی بیشتر درباره باجافزارها، انواع مختلف آنها و البته تاریخچهشان بدانیم.
بدافزارهای بدقلق
باجافزارها نوعی از بدافزارها هستند که دسترسی به سیستم را محدود کرده و ایجادکننده آن برای برداشتن محدودیت درخواست باج میکند. برخی از انواع آنها روی فایلهای هارددیسک رمزگذاری انجام میدهند و برخی دیگر ممکن است به سادگی سیستم را قفل کنند و پیامهایی روی نمایشگر نشان دهند که از کاربر میخواهند مبالغی را واریز کند. جالب است بدانید که باجافزارها ابتدا در روسیه مشاهده شدند، اما اخیرا تعداد حملات باجافزارها به کشورهای دیگر از جمله استرالیا، آلمان و ایالاتمتحده آمریکا هم افزایش یافته است. باجافزارها از راههای مختلفی مانند کرمها منتشر میشوند و پس از نصب و اجرا شروع به اعمالی مانند رمزگذاری هارددیسک میکنند. باجافزارهای پیشرفتهتر با استفاده از کلید عمومی فایلها را رمزنگاری میکنند و کلید خصوصی لازم برای بیرون آوردن فایلها از حالت رمز شده تنها در دستان طراح باجافزار است.
کاربر برای باز کردن فایلهایش مجبور به پرداخت وجه به حساب طراح باجافزار میشود. برخی دیگر از باجافزارها رمزگذاری انجام نمیدهند، بلکه از روشهای دیگری مثل اختصاص پوسته سیستم عامل به خود یا تغییر رکوردهای مربوط به بوت، استفاده از سیستم را مختل میکنند. باجافزارها برای دریافت پول از کاربر پیامهای مختلفی به او نمایش میدهند. بهعنوان مثال پیام فعالسازی سیستم عامل ویندوز را نمایش میدهند که میگوید ویندوز به فعالسازی مجدد نیاز دارد، یا اینکه پیامی مبتنی بر پیدا شدن دادههای غیرقانونی مانند نرمافزارهای کرک شده یا پورنوگرافی کودکان به کاربر نمایش میدهند و کاربر را از پیگرد قانونی میترسانند. در نهایت کاربر جهت بازیابی فایلها و حذف پیامهای باجافزار باید مبلغی را پرداخت کند. این مبلغ اغلب به روشی از کاربر گرفته میشود که قابل بازپسگیری نباشد؛ مثلا از طریق پیام کوتاه شارژی یا سیستم یوکش که به تازگی استفاده از پول الکترونیکی بیتکوین هم برای این کار مرسومتر شده است. در سالهای اخیر باجافزارها بیشتر مورد توجه قرار گرفتهاند و یکی از مهمترین موضوعات رسانهها هستند. با این حال اما این بدافزار چندان هم تازهوارد و جدید نیست. اولین باجافزار در سال 1989 یعنی 27 سال پیش کشف شد که تروجان AIDS بود.
این باجافزار که PC Cyborg هم نامیده میشد، کامپیوترهای شخصی زیادی را آلوده کرد. این باجافزار جایگزین فایل Autoexec.bat شده و تعداد دفعات بوتشدن کامپیوتر را حساب میکرد. زمانی که تعداد دفعات این بوتها به نود میرسید، AIDS دایرکتوریها را مخفی و نام فایلها را روی هارد رمزنگاری میکرد تا به این ترتیب سیستم غیرقابل استفاده شود. نود روز مدت زمانی بود که کاربر فرصت داشت تا لایسنس برنامه PC Cyborg را که اعتبارش خاتمه یافته بود، تمدید کند و برای این کار باید با PC Cyborg Corporation تماس گرفته و 189 دلار پرداخت میکرد. این مبلغ باید به یک جعبه پستی در پاناما ارسال میشد. AIDS در چندین نسخه وجود داشت و با اولین بوت کامپیوتر نصب شده و به کاربر قرارداد لایسنس برنامه را نمایش میداد. در این قرارداد آمده بود که کاربر کل هزینه استفاده از آن را باید به شرکت PC Cyborg بپردازد و در صورت نقض این قرارداد این شرکت میتواند تدابیر قانونی لازم برای پرداخت دین کاربر به این شرکت را اتخاذ کند.
همچنین هشدار داده شده بود که در صورت پرداخت نکردن مبلغ لایسنس، کامپیوتر شخصی کاربر دیگر کار نخواهد کرد. جالبتر اینکه در این قرار داد قید شده بود که کاربر حق ندارد این برنامه را با اشخاصی دیگر به اشتراک بگذارد. در چند سال اخیر این برنامههای باجگیری رواج زیادی پیدا کردهاند و اغلب کاربران کموبیش با نام و روش آنها توسط رسانهها آشنا شدهاند. باجافزارها انواع بسیاری دارند. هر چند نمیتوان همه آنها را نام برد، اما میتوان آنها را به سه دسته تقسیم کرد که عبارتند از: باجافزارهایی که برنامهها را مسدود میکنند، باجافزارهایی که فایلها را رمزنگاری میکنند و در نهایت باجافزارهایی از طریق وبسایتها عمل کرده و محتوا را قفل میکنند. باجافزارهای دسته اول بهخصوص از پنجرههای پاپاپ روی برنامههایی دیگر استفاده میکنند و به این ترتیب برنامه را مسدود ساخته و مانع کار کاربر میشوند. معمولا این باجافزارها کاربر را متهم به جرمی که مرتکب نشده میکنند؛ مانندFBI Moneypak. اغلب پیامهای نمایش داده شده در پاپاپ توسط این باجافزارها با غلطهای املایی هم همراه هستند. دسته دوم یا باجافزارهایی که فایلها را رمزگذاری میکنند، بیشتر از دسته اول دردسرساز هستند.
این باجافزارها مخفیانه اقدام به رمزنگاری فایلها کرده و سپس پیامی را به کاربر نمایش میدهند که در آن گفته شده است فایلهایشان رمزنگاری شده و برای آزاد کردن آنها باید کلید رمز را خریداری کنند. بعضی از این باجافزارها کنتوری را هم نمایش میدهند که وقتی به صفر برسد، تمام رمز فایلها منهدم خواهد شد و در نتیجه کاربر دیگر هرگز قادر به دسترسی به فایلهای خود نخواهد بود. با همین تهدید است که اغلب کاربرانی که پیشگیریهای لازم را برای آلوده نشدن به چنین بدافزارهایی نکردهاند، نگران شده و باج مطالبه شده را پرداخت میکنند. پرداخت باج درخواستی معمولا با بیتکوین انجام میشود، چون پول مجازی است و در عین حال ناشناس بودن را تضمین میکند. سومین دسته باجافزارها شاید نوعی است که راحتتر کاربران را به دام انداخته و کاربران بیشتر احتمال مواجه شدن با آن را دارند. این باجافزار در واقع به صورت ثبتنامی اجباری و غیر رایگان برای یافتن اجازه دانلود یک فایل است.
از میان چنین سایتهای آلودهای ShareCash و FileIce از همه معروفتر هستند. کاربر با کلیک روی لینکی برای دانلود فایلی با پنجرهای چند گزینهای روبهرو میشود که مسلما همه این گزینهها غیر رایگان هستند، اما کاربر برای دسترسی به فایل مورد نظر و امکان دانلود آن باید در ابتدا روی یکی از این گزینهها کلیک کند و برای دانلود فایل، دادن یک شماره موبایل و مبلغ درخواستی اجباری است. در این دسته سوم میتوان باجافزار Ransom32 که در واقع خالق باجافزارهای درخواستی است و از جاوا اسکریپت برای آلوده کردن کامپیوترها استفاده میکند را مثال زد.
مهمترین و خطرناکترین باجافزارها
تا پیش از شیوع باجافزار وانا کرای، باجافزارهای رایج و خطرناک دیگری هم کاربران را نگران کردهاند. روتون یکی از این باجافزارها بود که در سال ۲۰۱۲ به شکل یک کرم شروع به پخش شدن کرد و پس از اجرا روی سیستم قربانی پیامی به کاربر نشان میداد که از یک منبع قانونی معتبر به نظر میآمد. در این پیام به کاربر گفته میشد که سیستم او برای کارهای غیرقانونی مانند دریافت پورنوگرافی کودکان و نرمافزارهای کرک شده مورد استفاده قرار گرفته است. برای اینکه حس ردیابی شدن سیستم در کاربر بیشتر شود، آدرس IP کاربر و همچنین در صورت وجود وبکم، تصویرهایی به کاربر نمایش داده میشد و کاربر برای استفاده دوباره از سیستم باید جریمه پرداخت میکرد. این جریمهها از سیستمهای انتقال پولی مثل یوکش به طراح روتون منتقل میشد. روتون در اوایل سال ۲۰۱۲ در اروپا انتشار پیدا کرد. این باجافزار با توجه به کشور قربانی، لوگوی پلیس همان کشور را به کاربر نمایش میداد.
مثلا در انگلستان از لوگوی سرویس پلیس شهری این کشور استفاده میشد. همین مساله باعث شد تا سرویس پلیس شهری انگلستان به صورت عمومی اعلام کند که برای بررسی کارهای غیرقانونی هیچوقت سیستم کاربر به این شکل قفل نمیشود. در آگوست ۲۰۱۲، روتون در آمریکا انتشار پیدا کرد و درخواست پرداخت ۲۰۰ دلار به FBI را میکرد. کریپتو لاکر هم یک باجافزار مهم دیگر است که در سپتامبر ۲۰۱۳ با استفاده از کلید عمومی ۲۰۴۸ بیتی شروع به رمزنگاری فایلهای با پسوند خاصی از کاربران آلوده کرد. کریپتولاگر کاربران را به حذف کلید خصوصی این رمز نگاری در صورت پرداخت نشدن هزینه در عرض سه روز تهدید میکرد. البته امکان بهدست آوردن کلید خصوصی بعد از آن نیز با پرداخت هزینه نسبتا زیاد ده بیتکوین وجود داشت. با توجه به کلید بسیار طولانی استفاده شده در رمزنگاری، عملیات رمزگشایی بسیار طولانی میشد و همین باعث خطرناک بودن کریپتولاکر بود.
مقابله با باجافزارها
بهترین کاری که در مواجهه با باجافزارها میتوان کرد، قبل از هر چیز ذخیره کردن دادهها هر چند وقت یک بار یا پشتیبانگیری از دادهها با برنامههایی است که قابلیت هماهنگسازی نسخههای جدیدتر دادهها را دارند. بهتر است این کار را روی دستگاهی غیر از کامپیوتر شخصی انجام شود که مدام به کامپیوتر جز برای انتقال دادهها متصل نیست، چون با این کار نیازی به پرداخت مبلغ باج درخواست شده نیست و میتوان با یک کلیک دوباره آنها را بازگرداند، یا مثلا به صورت مرتب از فایلهای خود نسخه پشتیبان تهیه کرده، آنها را رمزگذاری کرده و در سرویسهای ذخیره آنلاین نگهداری کرد. برای پیشگیری از آلودگی، همه آنچه که همیشه تکرار میشود یعنی بهروز رسانی سیستم و تمام نرمافزارهای نصب شده، کلیک نکردن روی هر لینکی، وارد نشدن به سایتهای مظنون، باز نکردن فایلهای پیوست مشکوک و در نهایت داشتن یک آنتیویروس و آنتیملویر خوب توصیه میشود. فراموش نکنید که اکستنشن فایلها را هم از حالت مخفی بیرون بیاورید. در صورت آلوده شدن کامپیوتر شخصیتان به باجافزار مهمترین اقدام اسکن کامل کامپیوتر و پاکسازی آن است، چون بسیار احتمال دارد که برنامههای مخرب دیگری هم همزمان با باجافزار نصب شده باشند. تنها راه، بازیابی فایلها از یک نسخه پشتیبان یا ذخیره قبلی است که اگر ساخته نشده باشد راه دیگری جز پرداخت باج در صورت اهمیت فایلها باقی نمیماند.