تصور کنید یک روز صبح کامپیوترتان را روشن می‌کنید و به جای دسکتاپ معمول، با یک پیام ترسناک روبرو می‌شوید: «تمام فایل‌های شما رمزگذاری شده‌اند. برای بازگرداندن آن‌ها، معادل ۵۰۰۰ دلار بیت‌کوین واریز کنید.» این دقیقاً همان لحظه‌ای است که قربانی کلاهبرداری باج‌افزار شده‌اید.

باج‌افزار (Ransomware) در سال‌های اخیر به یکی از مرگبارترین تهدیدات سایبری برای افراد، شرکت‌ها و حتی بیمارستان‌ها تبدیل شده است. ظهور ارزهای دیجیتال مانند بیت‌کوین این فاجعه را جدی‌تر کرد، چون مجرمان حالا می‌توانند بدون هیچ ردپایی باج دریافت کنند. در این مقاله با زبانی ساده اما کاملاً تخصصی، همه چیز درباره باج‌افزار، انواع رایج آن و روش‌های محافظت از خود را یاد می‌گیرید.

چرا این مقاله برای شما حیاتی است

اگر از ارزهای دیجیتال استفاده می‌کنید، کامپیوتر شخصی دارید یا در یک سازمان کار می‌کنید، باج‌افزار یک تهدید واقعی و جدی برای شماست. آگاهی از روش کار این بدافزارها، اولین و مهم‌ترین سپر دفاعی شماست.

باج‌افزار (Ransomware) چیست و چگونه کار می‌کند؟

باج‌افزار نوعی بدافزار (Malware) است که با رمزگذاری فایل‌های قربانی، دسترسی او را به اطلاعاتش قطع می‌کند و سپس در ازای بازگرداندن دسترسی، درخواست باج (معمولاً به ارز دیجیتال) می‌کند.

مکانیزم کار آن ساده اما مخرب است:

  1. کاربر روی یک لینک مخرب کلیک می‌کند یا فایل آلوده‌ای را باز می‌کند.
  2. باج‌افزار بی‌صدا در سیستم نصب می‌شود.
  3. فایل‌های مهم (اسناد، عکس‌ها، پایگاه‌های داده) با الگوریتم‌های قوی رمزنگاری می‌شوند.
  4. یک پیام روی صفحه ظاهر می‌شود که از قربانی باج می‌خواهد.
  5. قربانی یا باید باج بدهد، یا فایل‌هایش را برای همیشه از دست بدهد، یا سیستم را فرمت کند.
نقش ارز دیجیتال در رشد باج‌افزارها

قبل از بیت‌کوین، جمع‌آوری باج برای مجرمان ریسک بالایی داشت. ارزهای دیجیتال با ارائه روشی ناشناس و غیرقابل ردیابی برای دریافت پول، باج‌افزار را به یک «تجارت» چند میلیارد دلاری در سال تبدیل کردند. این یعنی اگر در حوزه کریپتو فعال هستید، هدف جذاب‌تری برای هکرها محسوب می‌شوید.

معرفی کلاهبرداری باج‌افزار

تاریخچه کوتاه باج‌افزار: از فلاپی دیسک تا بیت‌کوین

شاید باورتان نشود، اما اولین باج‌افزار ثبت‌شده در تاریخ در سال ۱۹۸۹ از طریق فلاپی دیسک منتشر شد! ویروس PC Cyborg (معروف به Trojan AIDS) از قربانیان می‌خواست ۱۸۹ دلار برای آزادسازی فایل‌هایشان بپردازند.

در دهه ۲۰۰۰، این نوع حملات به دلیل مشکل در جمع‌آوری پول بدون ردشدن، رایج نبود. اما با ظهور بیت‌کوین در سال ۲۰۱۰، معادله کاملاً تغییر کرد. امروز باج‌افزارها سالانه میلیاردها دلار خسارت به بار می‌آورند.

دو نوع اصلی باج‌افزار را بشناسید

تمام باج‌افزارها با وجود تفاوت در جزئیات، به دو دسته اصلی تقسیم می‌شوند:

ویژگی
باج‌افزار Crypto (رمزنگار)
باج‌افزار Locker (قفل‌کننده)
هدف حمله
فایل‌های داخل سیستم
کل دستگاه
روش کار
رمزگذاری فایل‌ها
قفل‌کردن دسترسی به سیستم‌عامل
دسترسی به سیستم
ممکن است داشته باشید
کاملاً مسدود
خطرناک‌ترین نمونه
WannaCry, CryptoLocker
Petya, GoldenEye
راه حل بدون باج
بازیابی از بکاپ
بازیابی از بکاپ یا تعمیر MBR

انواع باج‌افزار Crypto و Locker

معرفی ۲۱ نوع رایج کلاهبرداری باج‌افزار

در ادامه، شناخته‌شده‌ترین و خطرناک‌ترین نمونه‌های باج‌افزار در تاریخ سایبری را با جزئیات بررسی می‌کنیم. دانستن این موارد به شما کمک می‌کند تا اگر روزی با یکی از آن‌ها روبرو شدید، بهترین واکنش را داشته باشید.

انواع رایج کلاهبرداری باج‌افزار

۱. Bad Rabbit (خرگوش بد)

این باج‌افزار بیشتر سازمان‌های روسیه و اروپای شرقی را هدف قرار داد. روش انتشار آن هوشمندانه بود: یک بروزرسانی جعلی Adobe Flash در سایت‌های معتبر آلوده جاسازی شده بود. کاربر با کلیک روی «بروزرسانی»، خودش باج‌افزار را نصب می‌کرد و سپس به صفحه پرداخت هدایت می‌شد.

۲. Cerber (سربر)

باج‌افزار Cerber

Cerber هوشمندانه کاربران مایکروسافت 365 ابری را هدف گرفت. از طریق یک کمپین فیشینگ پیچیده، میلیون‌ها کاربر را آلوده کرد. این باج‌افزار نشان داد که حتی محیط‌های ابری هم از حملات سایبری در امان نیستند و نیاز به پشتیبان‌گیری جداگانه دارند.

۳. CryptoLocker

یکی از پدربزرگ‌های باج‌افزارهای مدرن که در سال ۲۰۱۳ شناسایی شد. از طریق ایمیل‌های آلوده و بات‌نت‌ها گسترش می‌یافت و الگوریتم رمزنگاری RSA را برای قفل‌کردن فایل‌ها به کار می‌برد. نکته مهم: حتی پس از پرداخت باج هم هیچ تضمینی برای بازگشت اطلاعات وجود نداشت. بسیاری از باج‌افزارهای بعدی از مدل CryptoLocker الهام گرفتند.

۴. CryptoWall

جانشین CryptoLocker که از اوایل ۲۰۱۴ فعال شد. نسخه‌های مختلف آن با نام‌هایی مثل CryptoBit، CryptoDefense و CryptoWall 3.0 منتشر شدند. مثل نسخه اصلی، از طریق ایمیل‌های اسپم توزیع می‌شد.

۵. Crysis (کرایسیس)

این باج‌افزار با نام‌های Dharma و Wallet هم شناخته می‌شود. از پروتکل RDP (Remote Desktop Protocol) برای نفوذ به سیستم‌ها استفاده می‌کرد. فایل‌های رمزشده را با پسوند .btc مشخص می‌کرد. بیشترین حملات آن از طریق ارسال ایمیل با پیوست مخرب بود.

۶. CTB-Locker

شاید خطرناک‌ترین باج‌افزار از نظر فناوری رمزنگاری. از رمزنگاری بیضوی (Elliptic Curve Cryptography) استفاده می‌کرد که شکستن آن تقریباً غیرممکن است. با سرور فرمان‌دهی خود از طریق شبکه TOR ارتباط برقرار می‌کرد تا کاملاً ناشناس بماند. مبالغ درخواستی آن بسیار بالا و گاهی تا هزاران دلار بود. اولین بار در جولای ۲۰۱۴ شناسایی شد و همه نسخه‌های ویندوز از XP به بالا را هدف می‌گرفت.

هشدار جدی درباره CTB-Locker

CTB-Locker به دلیل استفاده از رمزنگاری بیضوی و ارتباط از طریق TOR، از نظر فنی یکی از قوی‌ترین باج‌افزارهای شناخته‌شده است. اگر سیستم شما به این بدافزار آلوده شود، بدون داشتن بکاپ، شانس بازیابی اطلاعات تقریباً صفر است.

۷. GoldenEye (چشم طلایی)

باج‌افزار GoldenEye

نسخه پیشرفته‌تر باج‌افزار Petya که بخش‌های منابع انسانی شرکت‌ها را هدف می‌گرفت. ایمیل‌های جعلی حاوی رزومه کاری ارسال می‌کرد و وقتی فایل باز می‌شد، علاوه بر رمزگذاری فایل‌ها، Master Boot Record (MBR) هارددیسک را هم بازنویسی می‌کرد. یعنی سیستم اصلاً بوت نمی‌شد.

۸. Jigsaw

این باج‌افزار از یک تاکتیک روان‌شناختی ترسناک استفاده می‌کرد: حذف تدریجی فایل‌ها. در ساعت اول یک فایل حذف می‌شد، در ساعت بعدی بیشتر، و این روند تا ۷۲ ساعت ادامه داشت. این فشار روانی قربانیان را مجبور به پرداخت سریع می‌کرد.

۹. KeRanger

اولین باج‌افزار کاملاً کارکردی که برای سیستم‌عامل Mac OS X طراحی شد. از طریق یک نرم‌افزار BitTorrent محبوب توزیع شد. این نشان داد که کاربران مک هم در برابر باج‌افزار آسیب‌پذیر هستند.

۱۰. LeChiffre

برخلاف بقیه باج‌افزارها که به صورت خودکار گسترش می‌یابند، LeChiffre باید به صورت دستی توسط هکر روی سیستم قربانی اجرا شود. مجرمان به صورت خودکار شبکه‌ها را برای یافتن دسکتاپ‌های از راه دور با امنیت ضعیف اسکن می‌کردند و سپس وارد می‌شدند.

۱۱. LockerGoga

این باج‌افزار به شرکت‌های صنعتی بزرگ اروپایی از جمله Norsk Hydro ضربه زد. از طریق یک ایمیل فیشینگ وارد شبکه شرکت شد و باعث قطعی جهانی سیستم‌های فناوری اطلاعات شد. Norsk Hydro مجبور شد صدها کامپیوتر جدید خریداری کند.

۱۲. Locky

باج‌افزار Locky

Locky از یک ترفند ساده اما هوشمند استفاده می‌کرد: ایمیل‌های فاکتور جعلی. وقتی قربانی فایل را باز می‌کرد و ماکروها را فعال می‌کرد تا محتوا را ببیند، بدافزار شروع به رمزگذاری طیف گسترده‌ای از فایل‌ها با الگوریتم AES می‌کرد.

۱۳. Maze

باج‌افزار Maze که در سال ۲۰۱۹ کشف شد، یک تاکتیک جدید و خطرناک‌تر معرفی کرد: «اخاذی مضاعف» (Double Extortion). یعنی نه فقط فایل‌ها را رمزگذاری می‌کرد، بلکه تهدید می‌کرد که اگر باج پرداخت نشود، اطلاعات حساس را به صورت عمومی منتشر خواهد کرد. بیش از ۱۰۰ گیگابایت فایل از شرکت زیراکس را به سرقت برد.

تاکتیک اخاذی مضاعف: تهدید جدید باج‌افزارها

مدل Maze یک نقطه عطف بود. حالا حتی اگر بکاپ هم داشته باشید، مجرمان می‌توانند با تهدید به انتشار اطلاعات محرمانه‌تان، شما را مجبور به پرداخت کنند. این روش در باج‌افزارهای مدرن بسیار رایج شده است.

۱۴. NotPetya

گرچه ظاهراً شبیه باج‌افزار بود، محققان دریافتند که NotPetya در واقع یک «پاک‌کننده» (Wiper) است. هدف آن اصلاً دریافت باج نبود، بلکه صرفاً نابودی داده‌ها بود. این بدافزار در سال ۲۰۱۷ میلیاردها دلار خسارت به شرکت‌های جهانی وارد کرد.

۱۵. Petya

برخلاف اکثر باج‌افزارها که فایل‌ها را یکی‌یکی رمز می‌کنند، Petya کل سیستم را هدف می‌گرفت. Master Boot Record را بازنویسی می‌کرد و سیستم‌عامل را کاملاً غیرقابل بوت می‌کرد.

۱۶. Ryuk (ریوک)

یکی از باج‌افزارهای سازمان‌محور و بسیار هدفمند. در سال ۲۰۲۰ مسئول بیش از یک سوم تمام حملات باج‌افزاری بود. بیمارستان‌ها، شرکت‌ها و شهرداری‌های دولتی را هدف می‌گرفت و معمولاً چندین میلیون دلار باج درخواست می‌کرد. حمله Ryuk به بیمارستان‌ها در اوج پاندمی کووید ۱۹ جان انسان‌ها را به خطر انداخت.

۱۷. Spider (اسپایدر)

باج‌افزار Spider

از طریق ایمیل‌های اسپم در سراسر اروپا پخش شد. فایل Word آلوده به صورت اخطار وصول طلب جعلی پنهان شده بود. وقتی ماکروها اجرا می‌شدند، بدافزار شروع به رمزگذاری داده‌ها می‌کرد.

۱۸. TeslaCrypt

این باج‌افزار ابتدا بازیکنان ویدیوگیم را هدف می‌گرفت و فایل‌های save game را رمزگذاری می‌کرد! از الگوریتم AES استفاده می‌کرد و از طریق Angler Exploit Kit که آسیب‌پذیری‌های Adobe را هدف می‌گرفت، توزیع می‌شد.

۱۹. TorrentLocker

اغلب با CryptoLocker اشتباه گرفته می‌شد، اما یک قابلیت اضافی داشت: علاوه بر رمزگذاری فایل‌ها، آدرس‌های ایمیل از دفترچه آدرس قربانی را هم جمع‌آوری می‌کرد تا بدافزار را بیشتر گسترش دهد. از الگوریتم AES برای رمزنگاری استفاده می‌کرد.

۲۰. WannaCry

شاید معروف‌ترین حمله باج‌افزاری تاریخ. در مه ۲۰۱۷، WannaCry بیش از ۱۲۵٬۰۰۰ سازمان در ۱۵۰ کشور را مورد حمله قرار داد. از یک آسیب‌پذیری ویندوز (EternalBlue) برای گسترش خودکار در شبکه‌ها استفاده می‌کرد. بیمارستان‌های بریتانیا، خودروسازی رنو و بسیاری دیگر قربانی شدند.

۲۱. ZCryptor

این بدافزار هوشمندانه ترکیبی از باج‌افزار و کرم (Worm) بود. فایل‌ها را رمزگذاری می‌کرد و همزمان درایوهای USB و خارجی متصل به سیستم را هم آلوده می‌کرد تا بتواند در کامپیوترهای دیگر هم گسترش یابد.

راه‌های جلوگیری از کلاهبرداری باج‌افزار

راه‌های جلوگیری از باج‌افزار

خبر خوب این است که با رعایت چند اصل ساده، می‌توان به شکل چشمگیری از قربانی شدن جلوگیری کرد. این اقدامات را جدی بگیرید:

اقدامات پیشگیرانه برای افراد

  • روی لینک‌های ناشناس کلیک نکنید: هیچ‌وقت روی لینک موجود در ایمیل‌های ناخواسته، پیام‌های تلگرام یا واتس‌اپ از منابع ناشناس کلیک نکنید. یک کلیک اشتباه می‌تواند دانلود خودکار باج‌افزار را شروع کند.
  • پیوست‌های مشکوک را باز نکنید: اگر ایمیلی ناخواسته با پیوست دریافت کردید، حتی اگر از یک آدرس آشنا بود، قبل از باز کردن، صحت آن را تأیید کنید. ایمیل‌های آلوده معمولاً از شما می‌خواهند ماکروها را فعال کنید.
  • اطلاعات شخصی را افشا نکنید: مجرمان اغلب با تماس، ایمیل یا پیامک اطلاعات شخصی جمع‌آوری می‌کنند تا حملات فیشینگ هدفمند طراحی کنند.
  • از USB ناشناس استفاده نکنید: فلش مموری پیداشده در پارکینگ یا جای عمومی می‌تواند تله باشد. مجرمان عمداً درایوهای آلوده را در مکان‌های عمومی رها می‌کنند.
  • سیستم‌عامل و نرم‌افزارها را به‌روز نگه دارید: WannaCry فقط سیستم‌هایی را آلوده کرد که آپدیت امنیتی ویندوز را نصب نکرده بودند. به‌روزرسانی منظم، جلوی بهره‌برداری از آسیب‌پذیری‌های شناخته‌شده را می‌گیرد.
  • فقط از منابع معتبر دانلود کنید: نرم‌افزار را فقط از سایت‌های رسمی یا فروشگاه‌های تأیید شده (Google Play, Apple App Store) دانلود کنید. به پیشوند https در آدرس سایت توجه کنید.
  • در شبکه‌های عمومی از VPN استفاده کنید: Wi-Fi عمومی کافه‌ها و فرودگاه‌ها محیط ایده‌آلی برای حملات سایبری است. استفاده از VPN معتبر، ارتباط شما را رمزگذاری می‌کند.

اهمیت پشتیبان‌گیری (Backup): مهم‌ترین سلاح شما

پشتیبان‌گیری برای مقابله با باج‌افزار

اگر تنها یک کار امنیتی انجام دهید، این باشد: بکاپ منظم از داده‌هایتان. اگر نسخه پشتیبان سالمی داشته باشید، حمله باج‌افزار صرفاً یک مشکل موقت خواهد بود نه یک فاجعه.

قانون طلایی پشتیبان‌گیری: ۳-۲-۱

۳ نسخه از داده‌ها داشته باشید. روی ۲ نوع حافظه مختلف (مثلاً هارد خارجی و فضای ابری) ذخیره کنید. حداقل ۱ نسخه را آفلاین (جدا از کامپیوتر) نگه دارید. هنگامی که باج‌افزار فعال است، هر هارد خارجی که به سیستم آلوده متصل باشد نیز رمزگذاری می‌شود!

  • از هارد اکسترنال استفاده کنید و بعد از بکاپ، آن را از سیستم جدا کنید.
  • از فضای ابری (مانند Google Drive یا OneDrive) هم استفاده کنید که امکان بازیابی نسخه‌های قدیمی‌تر فایل را دارد.
  • بکاپ‌گیری باید در فواصل منظم و به صورت خودکار انجام شود.
  • اگر از نرم‌افزار بکاپ استفاده می‌کنید، فقط از منابع کاملاً معتبر استفاده کنید؛ برخی «ابزارهای امنیتی» خودشان تروجان هستند.

نرم‌افزارهای امنیتی برای مقابله با باج‌افزار

علاوه بر اقدامات رفتاری، استفاده از نرم‌افزارهای امنیتی مناسب لایه دفاعی مهمی را اضافه می‌کند:

  • آنتی‌ویروس و اسکنر بدافزار: نرم‌افزارهایی مثل Kaspersky Internet Security می‌توانند فایل‌های آلوده را قبل از اجرا شناسایی و مسدود کنند.
  • فیلتر محتوا برای ایمیل: این ابزارها پیوست‌های مخرب و لینک‌های آلوده را قبل از رسیدن به صندوق پستی شما شناسایی می‌کنند.
  • ابزار ضد باج‌افزار اختصاصی: ابزارهایی مثل Kaspersky Anti-Ransomware Tool به صورت تخصصی الگوهای رفتاری باج‌افزار را شناسایی می‌کنند.
  • به‌روزرسانی مستمر: نرم‌افزار امنیتی باید همیشه به‌روز باشد تا با جدیدترین نسخه‌های باج‌افزار مقابله کند.

محافظت از شرکت‌ها در برابر باج‌افزار

محافظت شرکت‌ها در برابر باج‌افزار

شرکت‌های کوچک و متوسط اغلب اهداف جذاب‌تری هستند چون سیستم‌های امنیتی ضعیف‌تری دارند. اقدامات زیر برای سازمان‌ها ضروری است:

  • به‌روزرسانی مستمر نرم‌افزارها: WannaCry 2017 نشان داد که غفلت از آپدیت‌های امنیتی چه فاجعه‌ای به بار می‌آورد.
  • آموزش کارکنان: بیشتر حملات از طریق خطای انسانی رخ می‌دهند. کارکنانی که بدانند چه چیزی را باید مشکوک بدانند، اولین خط دفاعی سازمان هستند.
  • برنامه واکنش به حادثه: قبل از اینکه حمله‌ای رخ دهد، باید بدانید دقیقاً چه اقداماتی انجام دهید.
  • استفاده از فناوری ابری: ذخیره‌سازی ابری امکان بازیابی نسخه‌های قبلی فایل‌ها را فراهم می‌کند و گاهی می‌توان بدون پرداخت باج به داده‌ها دسترسی پیدا کرد.
  • بکاپ منظم و تست‌شده: بکاپی که تست نشده باشد، قابل اتکا نیست. مطمئن شوید که بازیابی از بکاپ واقعاً کار می‌کند.

باج‌افزار موبایل: تهدیدی که کمتر از آن می‌دانیم

باج‌افزار موبایل

باج‌افزار فقط مخصوص کامپیوتر نیست. باج‌افزار موبایل معمولاً پیامی نشان می‌دهد که دستگاه شما به خاطر فعالیت غیرقانونی قفل شده و برای بازگشایی باید هزینه بپردازید.

در اغلب موارد، این ادعا کاملاً دروغ است و هدف صرفاً ترساندن شماست. اگر گرفتار باج‌افزار موبایل شدید:

  1. تلفن را در حالت ایمن (Safe Mode) راه‌اندازی کنید.
  2. اپلیکیشن مشکوک که اخیراً نصب کرده‌اید را حذف کنید.
  3. در صورت لزوم، گوشی را به تنظیمات کارخانه بازگردانید.
  4. هرگز باج پرداخت نکنید.
هرگز باج ندهید!

پرداخت باج هیچ تضمینی برای بازگشت اطلاعات نمی‌دهد. در بسیاری از موارد، مجرمان پس از دریافت پول، کلید رمزگشایی را نمی‌دهند یا سیستم را دوباره آلوده می‌کنند. پرداخت باج، این تجارت جنایتکارانه را سودآورتر می‌کند و حملات بیشتری را تشویق می‌کند.

جمع‌بندی: یک قدم جلوتر از باج‌افزار باشید

باج‌افزار یکی از جدی‌ترین تهدیدات دنیای دیجیتال است، اما ابزارهای دفاعی شما ساده و در دسترس هستند. مثل هر تهدید امنیتی دیگری، پیشگیری بسیار ارزان‌تر از درمان است.

سه اصل طلایی را فراموش نکنید:

  1. بکاپ منظم از داده‌هایتان روی هارد آفلاین و فضای ابری
  2. آگاهی و هوشیاری در برابر لینک‌ها، پیوست‌ها و منابع ناشناس
  3. به‌روزرسانی مستمر سیستم‌عامل و نرم‌افزارهای امنیتی

اگر در حوزه ارز دیجیتال فعال هستید، توجه مضاعفی داشته باشید. هکرها می‌دانند که کاربران کریپتو اغلب دارایی‌های دیجیتال ارزشمندی دارند و هدف جذاب‌تری محسوب می‌شوند. امنیت دیجیتال یک سرمایه‌گذاری است، نه یک هزینه.