سه مرحله یکسان در عملکرد همه باج افزارها

باج افزار بدافزاری است که داده‌های قربانی هدف را رمزگذاری میکند. سپس مهاجم سعی میکند قربانی را وادار به پرداخت باج برای کلید رمزگشایی فایلهای خود کند.

اولین باج افزار به سال 1989 برمیگردد، روی فلاپی دیسک توزیع شد و 189 دلار باج خواست. ر سال 2019، شهر بالتیمور مورد حمله باج افزار قرار گرفت که هزینه بازیابی آن 18 میلیون دلار برآورد شد. اما باج افزار دقیقا چگونه کار میکند؟

در حالیکه جزئیات پیاده سازی از یک نوع باج افزار به باج افزار دیگر متفاوت است، همه سه مرحله یکسان دارند. به شبکه هدف نفوذ میکنند، تا حد امکان داده ها را رمزگذاری میکنند، باج گیری میکنند.

مرحله 1. مسیرهای آلودگی و توزیع – Infection and Distribution Vectors

باج‌افزار، مانند هر بدافزار، میتواند به روشهای مختلف به سیستمهای سازمان دسترسی پیدا کند. با اینحال، اپراتورهای باج افزار تمایل دارند چند ناقل عفونت خاص را ترجیح دهند.

یکی از اینها ایمیلهای فیشینگ است. یک ایمیل مخرب ممکن است حاوی یک لینک به وبسایتی باشد که میزبان دانلود یا پیوستی مخرب است که دارای قابلیت نفوذ داخلی میباشد. اگر گیرنده ایمیل به فیش بیفتد، باج‌افزار در رایانه او دانلود و اجرا میشود.

یکی دیگر از مسیرهای عفونت، باج افزار محبوب از خدماتی مانند پروتکل دسکتاپ از راه دور (RDP) بهره میبرد. با RDP، مهاجمی که اعتبار ورود کارمندان را به سرقت برده یا حدس زده است، میتواند از آنها برای احراز هویت و دسترسی از راه دور به رایانه‌ای در شبکه سازمانی استفاده کند. با این دسترسی، مهاجم میتواند مستقیماً بدافزار را دانلود کرده و آنرا بر روی دستگاه تحت کنترل خود اجرا کند.

مرحله 2. رمزگذاری داده ها – Data Encryption

پس از اینکه باج افزار به یک سیستم دسترسی پیدا کرد، میتواند رمزگذاری فایلهای خود را آغاز کند. از آنجاییکه قابلیت رمزگذاری در یک سیستم عامل تعبیه شده است، این به سادگی شامل دسترسی به فایلها، رمزگذاری آنها با یک کلید کنترل‌شده توسط مهاجم و جایگزینی نسخه‌های اصلی با نسخه‌های رمزگذاری‌شده است.

اکثر انواع باج افزار در انتخاب فایلهای خود برای رمزگذاری برای اطمینان از ثبات سیستم محتاط هستند. برخی از انواع نیز اقداماتی را برای حذف نسخه‌های بکاپ و shadow copies از فایلها انجام میدهند تا بازیابی بدون کلید رمزگشایی دشوارتر شود.

مرحله 3. تقاضای باج – Ransom Demand

هنگامیکه رمزگذاری فایل کامل شد، باج افزار برای درخواست باج آماده میشود. انواع مختلف باج‌افزار اینرا به روشهای متعددی اجرا میکنند، اما تغییر پس‌ زمینه نمایش به یادداشت باج یا فایلهای متنی در هر فهرست رمزگذاری‌شده حاوی یادداشت باج، غیرعادی نیست.

بطور معمول، این یادداشت‌ها در ازای دسترسی به فایلهای قربانی، مقدار مشخصی ارز دیجیتال را طلب میکنند. اگر باج پرداخت شود، اپراتور باج‌افزار یا یک کپی از کلید خصوصی که برای محافظت از کلید رمزگذاری متقارن استفاده میشود یا یک کپی از خود کلید رمزگذاری متقارن ارائه میدهد.

این اطلاعات را میتوان در یک برنامه رمزگشا (که توسط مجرم سایبری نیز ارائه میشود) وارد کرد که میتواند از آن برای معکوس کردن رمزگذاری و بازگرداندن دسترسی به فایلهای کاربر استفاده کند. در حالیکه این سه مرحله اصلی در همه انواع باج‌افزار وجود دارد، باج‌افزارهای مختلف میتوانند شامل پیاده‌سازی‌های متفاوت یا مراحل اضافی باشند.

برای مثال، انواع باج‌افزار مانند Maze، اسکن فایلها، اطلاعات رجیستری و سرقت داده‌ها را قبل از رمزگذاری داده‌ها انجام میدهند و باج‌افزار WannaCry سایر دستگاههای آسیب‌پذیر را برای آلوده کردن و رمزگذاری اسکن میکند.