باج‌افزار چیست:

باج‌افزار یک تکه کد مخرب است که دسترسی قربانیان به فایل‌هایشان را مسدود می‌کند و تنها راه دسترسی به آن فایل‌ها پرداخت هزینه است.

دو نوع از باج‌افزار رواج دارد:

۱- باج‌افزارهای رمزگذار: این نوع از باج‌افزار، شامل الگوریتم‌های رمزنگاری پیشرفته‌ای است. در این حالت فایل‌ها و اسناد قربانی رمزگذاری می‌شوند و قربانی تنها در ازای پرداخت هزینه تعیین شده، کلید رمزگشایی فایل‌ها را می‌تواند داشته باشد. از این باج‌افزارها می‌توان به CryptoLocker, Locky و CrytpoWall اشاره کرد.

۲- باج‌افزارهای قفل کننده : این نوع از باج‌افزار دسترسی قربانی به سیستم عاملش را قفل می‌کند، یعنی دسترسی کاربر به دسکتاپ، منو‌ها و برنامه‌های دیگر را امکان ناپذیر می‌کند. توجه کنید که در این حالت فایل‌ها رمزنگاری نمی‌شوند، با این حال مهاجم برای بازگرداندن دسترسی، درخواست پول می‌کند. نمونه‌ای از این نوع باج‌افزارها Winlocker است. 

برخی از نسخه‌های باج‌افزار قفل کننده، MBR را هم تحت تاثیر قرار می‌دهند. MBR بخشی از دیسک سخت کامپیوتر است که امکان بوت شدن سیستم عامل را فراهم می‌کند. در این حالت سیستم عامل نمی‌تواند بوت شود و پیغام باج‌افزار روی صفحه نمایش داده می‌شود. نمونه‌ای از این باج‌افزارها Satana و Petya هستند.

ویژگی‌های کلیدی باج‌افزار که آن را از انواع دیگر نرم‌افزار مخرب متمایز می‌کند: 

• رمزگذاری‌ای که فقط با کلیدی که مهاجم می‌دهد قابل رمزگشایی است.
• قابلیت رمزگذاری کلیه فایل‌ها را دارد.
• پسوند متفاوتی به فایل شما اضافه می‌کند
• پیغام یا تصویری را مبنی بر اینکه سیستم شما آلوده به باج‌افزار شده است، نمایش می‌دهد و درخواست مبلغ مشخصی می‌کند تا فایل‌‌هایتان دوباره قابل دسترسی باشند.
• نوع پول معمولا بیت‌کوین است، زیرا قابل ردگیری نیست.
• معمولا محدودیت زمانی دارند، به این معنی که اگر در زمان تعیین شده، هزینه پرداخت نشود، فایل‌های بیشتری مسدود می‌شوند یا کلا از بین می‌روند.
• در شبکه داخلی از یک کامپیوتر به کامپیوتر دیگر گسترش می‌یابد.
• غیره

چگونه دستگاهی آلوده به باج‌افزار می‌شود؟

آلوده شدن به باج‌افزار برای تمام دستگاه‌ها یکسان نیست. اما مراحل کلیدی به شرع زیر است:

۱- در ابتدا قربانی ایمیلی دریافت می‌کند که شامل لینک مخرب یا ضمیمه بدافزار است. از طرفی این آلودگی می‌تواند از طریق وب‌سایت مخرب وارد دستگاه قربانی شود.

۲- اگر قربانی روی لینک کلیک کند یا ضمیمه را دانلود و باز کند، downloader روی دستگاه قربانی نصب می‌شود.

۳- این برنامه یعنی downloader از لیستی از دامنه‌ها و سرورهای C&C که توسط مجرمان کنترل می‌شود استفاده می‌کند تا برنامه باج‌افزار را روی دستگاه نصب کند.

۴- سرور C&C وصل شده با برگرداندن داده‌های خواسته شده، جواب می‌دهد.

۵- سپس بد‌افزار شروع به رمزنگاری فایل‌های روی حافظه دستگاه قربانی می‌کند. حتی می‌تواند داده‌های روی فضای ابری‌ای که با دستگاه قربانی همگام سازی شده است را رمزنگاری کند.

۶- سپس یک پیغام یا عکس مبنی بر اینکه داده‌های شما رمز یا قفل شده‌اند و نحوه انتقال پول روی صفحه نمایش ظاهر می‌شود.

تمام این‌ها در عرض چند ثانیه اتفاق می‌افتد.

بنابراین می‌بینیم که یکی از راه‌های موثر این است که مطمئن شویم فایل پشتیبان داریم.