روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛jornt عضو تیم تحقیقات جهانی و آنالیز و متخصص باج افزار و رمزگذاری می باشد. او در هلند زندگی می کند و بیش از دو سال است که برای لابراتوار کسپرسکی کار می کند. ما به خوانندگان این شانس را دادیم تا هرگونه سوالی در مورد باج افزار ها و رمزگذاری دارند از Jornt بپرسند و پاسخ ها در این مورد کاملا شگفت انگیز بود. حقیقتا سوالات زیادی در پست گذاشته شده وجود داشت، بنابراین ما آن ها را به دو دسته تقسیم کردیم. در این پست Jornt به سوالات متعدد در مورد باج افزار پاسخ می دهد و در پست بعدی وی در مورد رمزگذاری صحبت خواهد کرد.
آیا شما فکر می کنید که باج افزارها در آینده ما را نسبت به دیگر بدافزارها مثل ویروس های قدیمی تر و تروجان ها بیشتر و بیشتر نگران خواهند کرد؟
بله مطمئننا همینطور است. ما شاهد افزایش خانواده های جدید آنها هستیم و تهدیدات هرروزه در حال بزرگتر شدن هستند. دلیل رشد باج افزارها بخاطر درآمد زایی آنها است. مجرمی که افراد را آلوده می کند، درخواست باج کرده و قربانی باج می پردازد. در این صورت است که قربانی کلید را دریافت کرده و قادر به رمز گشایی فایل هایش می شود. معمولا مجرمان با قربانیان توسط چت صحبت می کنند و برای این کار نیازی به هیچ گونه ارتباط اضافی و فعل و انفعالات دیگری نیست زیراکه کار آنها فقط درخواست باج است وبس! و افراد به طور واقعی در مقابل باج افزار بانکی قرار می گیرند.
چگونه می توانم از تاثیرات باج افزارها دوری کنم؟
. همیشه آخرین آپدیت نرم افزار خود را نصب کنید.
. هرگز بر روی لینک و فایل پیوست در ایمیل های مشکوک کلیک نکنید.
. پسوند فایل ها را در ویندوز فعال کنید (به طوری که شما به جای دیدن فایلpdf.exe.invoice، pdf. را ببینید.)
. یک راهکار امنیتی به روز کانفیگ شده با فن آوری هوشمند داشته باشید.
. و برای زمانی که دچار مشکل می شوید یک بک آپ داشته باشید و آنها را به صورت آفلاین ذخیره داشته باشید یا فایل های خود را در یک اپلیکیشن ابری با نسخه نامحدود ذخیره کنید. (بنابراین حتی اگر فایل های رمزگذاری شده شما در یک درایو ذخیره شده باشند، زمانی که شما آنها را در یک ابر ذخیره کنید می توانید به راحتی آنها را بازیابی کنید).
به عنوان یک شخص، من بیشتر درگیر باج افزار ها می شوم یا شرکت ها؟
هدف باج افزارها تمامی افراد است. گاهی اوقات شرکت خاصی را مورد حمله قرار می دهند. اما اغلب، ما شاهد درگیری افراد با ایمیل های اسپم شده هستیم. از سویی دیگر، شرکت های بزرگ حاضر به پرداخت باج نمی شوند: آنها معمولا برای بک آپ های خود جایی را در نظر می گیرند. احتمال پرداخت باج در شرکت های کوچک بیشتر است زیراکه بازگردانی توسط بک آپ برای آنها هزینه بیشتری را نسبت به پرداخت باج به همراه خواهد داشت.
چه زمانی ممکن است فایل هایی که رمزگزاری شده اند، رمزگشایی شوند؟
در موارد زیر چنین چیزی امکان پذیر است:
- سازندگان نرم افزارهای مخرب گاهی اشتباه مرتکب می شوند و قفل را می شکنند. که در دو مورد باج افزار Petya و CryptXXX شاهد رمزگشایی توسط سازندگان آن بودیم. متاسفانه نمی توانم به شما لیستی از اشتباهاتی که سازندگان باج افزار به آن دچار شده اند را بدهم زیراکه این لیست به آن ها کمک می کند تا دوباره درگیر آن اشتباهت نشوند. اما به طور کلی، رمزگشایی فایل ها کار راحتی نیست. اگر تمایل دارید در مورد رمزگذاری فایل ها و اشتباهات افراد در این موارد بیشتر بدانید، من توصیه می کنم چالش رمزگذاری Matasano را سرچ کنید.
- سازندگان نرم افزارهای مخرب بعد از ابراز تاسف کلید یا کلید مستر را منتشر می کنند. کلید باج افزار تسلا کریپیت نمونه ای است که نظاره گر آن بودیم.
- سازمان های اجرای قانون یک سرور را با کلیدهایش بدست می گیرند و آن ها را اشتراک گذاری می کنند. سال گذشته، با استفاده از کلیدهای بازیابی توسط پلیس هلند، ما یک ابزار رمزگشا برای قربانیان CoinVault ایجاد کردیم.
گاهی اوقات پرداخت باج جواب می دهد ، اما هیچ تضمینی برای رمزگشایی فایل های شما هنگام پرداخت باج وجود ندارد. علاوه بر این، اگر شما باج بپردازید، از کسب و کار مجرمان سایبری حمایت کرده اید. در نتیجه شما در برابر افزایش تعداد باج افزار ها و تعداد قربانیان توسط باج افزارها مسئول خواهید بود.
برای دستورالعمل برخورد با CryptXXX، شما می گویید که درکنار فایل های رمزگذاری شده، شما به فایل های رمزگذاری نشده هم نیاز دارید. به چه نرم افزاری اشاره دارد؟ و اگر فایل های رمزگذاری نشده را داشته باشیم دیگر نیازی به ابزار شما نیست؟
سوال بسیار خوبی است و ممنونم از مطرح کردن چنین سوالی! این نشان می دهد که ما باید در آینده واضح تر کار کنیم. این باج افزار تمام فایل های شما را با همان کلید رمزگذاری می کند. بنابراین اگر شما 1000 تا فایل رمزگذاری شده داشته باشید و از بین تمام این فایل ها تنها یک فایل اورجینال را در جایی دیگر ذخیره داشته باشید و شما تنها یک فایل را به ابزار رمزگشای ما بدهید، ما می توانیم با استفاده از کلید بازگشایی فایل ها را بازیابی کنیم و 999 فایل دیگر شما رمزگشایی شود. با این حال وجود فایل اصلی نیاز است.
بدافزاری که فایل ها را رمزگزاری می کند تنها نوع باج افزار ها است؟
خیر، باج افزاری که کامپیوتر را قفل می کند نیز وجود دارد. با این حال، راه دور زدن و یا حذف این نوع آسان تر است. به همین دلیل است که روز به رو از محبوبیت آن کاسته می شود. اگر شما به این موضوع علاقمند هستید و اطلاعات بیشتری در مورد آن می خواهید وبلاگ ما را دنبال کنید.
طبق چیزی که در مطبوعات بین المللی دیده می شود، پیدا کردن باج افزار ها کار بسیار دشواری است و مثل بازی موش و گربه می ماند. شما برای آنها راهکار دارید و به مقابله با آنها می پردازید. این حقیقت دارد؟
حقیقت اینگونه نیست. سیستم ما که نظاره گر رفتار فرآیندهای در حال اجرا است، می تواند بسیاری از حملات جدید باج افزارهای مهاجم را هنگام مواجه شدن، شناسایی کند، حتی اگر آنها باج افزار های ناشناخته باشند. بله مواردی هم تا به حال وجود داشته است که توسط سیستم نظاره گر ما شناسایی نشده اند.
مجرمان تقضای پرداخت در بیت کوین می کنند، که ردیابی آن بسیار دشوار است، آیا ممکن است این مجرمان را ردیابی کرد و به آن ها رسید؟
حقیقتا ردیابی یک معامله بیت کوینی دشوار نیست. معاملات در Blockchain ثبت می گردد. این ماهیت بیت کوین است که بتوانید هرگونه معامله ای را ردیابی کنید. شما نمیدانید که چه کسی در آن سوی معامله نشسته است. اما سازمان های اجرای قانون می توانند رد حساب ها را بگیرند. هرچند که آن ها هم نیاز دارند که بدانند که پول متعلق به چه کسی بوده است.
آمیزنده بیت کویت به خنثی کننده اثر ردیابی معروف است. فکر میکنم که این آمیزنده به عنوان ماشینی است که شما را در بین بیت کوین های زیادی قرار می دهد و این بیت کوین ها چندین بار بین صاحبان رد و بدل می شود و این عملکرد باعث میشود تا شناسایی آن سختتر شود. و در آخر، ما متوجه نخواهیم شد که کدام بیت کوین را باید شناسایی کرد. و شما می توانید فقط حدس بزنید، که این اتفاق زیاد رخ می دهد.
تحقیقات گوناگونی بر روی این موضوع صورت گرفته است، (شما می توانید تعداد زیادی از آن ها را در گوگل سرچ کنید) و این تحقیقات نشان می دهد ردیابی گاهی اوقات امکان پذیر است. به طور مختصر، گاهی اوقات ممکن است تراکنش های یک کیف پول را ردیابی کرد، اما این به راحتی انجام نمی گیرد حتی زمانیکه شما کیف پول را پیدا کنید، بورس بیت کوین باید از طریق قانون، اعتبار صاحب کیف پول را فاش کند.
چند سال برای کشف و پیدا کردن سازندگان CoinVault زمان برد؟
داستان CoinVault از زمانی آغاز شد که Bart از تیم آنتی ویروس پاندا در توئیتر خود اعلام کرد نمونه های اضافی از CoinVault را یافته است. من متوجه شدم که دو عدد از این نمونه ها CoinVault نیستند اما بطور واضحی به آن ربط داشتند. ما تصمیم گرفتیم که بلاگی در این مورد بنویسیم و جدول زمانی از تکامل CoinVault را تهیه کنیم. هنگامی که ما 90% از پست را کامل کردیم، برای (NHTCU) واحد ملی جرائم تکنولوژی این آمار را ارسال کردیم.
زمانی که این مقاله به پایان رسید، ما با توجه به بعضی راهنمایی ها به دو چیز مشکوک شدیم. طبیعی است که ما این اطلاعات را با NHTCU در میان گذاشتیم. بیشتر از یک ماه زمان برای کشف آن صرف شد هرچند البته تمام زمان ما صرف تحقیقات و بدست آوردن اطلاعات برای نوشتن وبلاگ و کار کردن روی CoinVault نشد. بعد از منتشر شدن پست وبلاگ، که NHTCU بیشتر از 6 ماه بر روی این مورد تحقیق کرده بود، سرانجام به دستگیری مجرمان در ماه سپتامبر سال گذشته منجر شد.
مجرمان تا چه اندازه از طریق باج افزار ها پول به جیب می زنند؟
سوال بسیار خوبی است، اما پاسخش کمی سخت است. ما تنها قادر هستیم آن ها را ردیابی کنیم. به عنوان مثال، تمام معاملات بیت کوین به یک جیب(حساب) ختم می شود یا زمانی که پلیس یک سرور فرماندهی را تصاحب کند، تنها اطلاعات پرداخت بر روی آن دیده می شود. اما این راه یک ایده به شما می دهد، اجازه دهید بگوییم مجرمان توانسته اند 250000 کاربر را آلوده کنند (این برآورد حاصل گفتگو با کمپانی های بزرگ می باشد). فرض می کنیم که هرکدام از آن ها حدود 200$ برای رمزگشایی فایل های خورد پرداخت کرده باشند (متوسط پرداخت باج 400$ است) . اگر تنها 1% از قربانیان آلوده باج پرداخت کرده باشند، مبلغ پولی که عاید مجرمان شده است حدود 500000$ است.
آیا ممکن است یک کامپیوتر آلوده در یک شبکه محلی به گسترش باج افزار از طریق شبکه به دیگر کامپیوترهایی که همان سیستم عامل را دارند را بپردازد؟ یک مدل از باج افزار می تواند سیستم عامل های مختلف را تحت تاثیر قرار دهد؟
برای قسمت اول سوال باید عرض کنم که اگر باج افزار دارای قابلیت گسترش(باج افزار های کِرمی)باشد، بله می تواند در شبکه پخش شود. برای مثال، Zcryptor ، SamSam دو نمونه از خانواده ی باج افزار ها هستند که قابلیت گسترش را دارند.
پاسخ قسمت دوم سوال را اینگونه مطرح می کنم: بله، یک مدل از باج افزار ها ممکن است چندین سیستم عامل را آلوده سازد، البته اگر هدف آن وب سرور باشد. به عنوان مثال: باج افزار می تواند سیستم مدیریت محتوای یک سرور در حال اجرا را در PHP مورد هدف قرار دهد. پس باج افزار می تواند ویندوز کامپیوتر را که یک وب سرور با PHP نصب شده دارد را آلوده کند. و سپس می تواند قسمت های دیگر سرچ اینترنت را به منظور آلوده سازی کامپیوتر، اسکن کند. کامپیوتر بعدی می تواند سیستم عامل لینوکس داشته باشد اما با وب سرور PHP. اگر بخواهم به طور خلاصه مطرح کنم پاسخم بله است، باج افزار چند پلت فرمی هم وجود دارد.
هفته آینده Jornt به سوالات شما در مورد رمزگذاری پاسخ خواهد داد. پس به گوش باشید.
منبع: کسپرسکی آنلاین(ایدکو)
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.