ITanalyze

رئیس اداره اجتماعی پلیس فتا ناجا با هشدار به تهدید جدید باج افزارnransomwer از کاربران خواست که با مسدود کردن راه‌های نفوذ سیستم‌های خود و جلوگیری از آلودگی آنها به باج‌افزارها باج ندهند.

به گزارش پایگاه خبری پلیس، سرهنگ مصطفی نوروزی رئیس اداره اجتماعی پلیس فتا ناجا با اعلام خبر فوق، اظهار داشت: اخیرا باج افزاری تحت عنوان nransomwer  در فضای مجازی شیوع پیدا کرده که اطلاعات کاربران را رمزنگاری می‌کند و برای دسترسی مجدد و رمز گشایی آن درخواست عکس عریان می‌کند.

وی ادامه داد: این باج افزار پس از نفوذ و رمزنگاری اطلاعات قربانی از وی درخواست می‌کند که یک حساب کاربری در سرویس ایمیل protonmail ایجاد کرده و از طریق آن فایل عکس خود را ارسال کند.

این مقام انتظامی موارد و راه‌های پیشگیری از انواع باج افزارها را به شرح ذیل عنوان کرد:

1- کاربران، کارشناسان و مدیران IT و مدیران امنیتی در خصوص آخرین و جدیدترین نوع باج افزارها و نحوه عملکرد آنها آموزش مداوم و متناوب داشته باشند.

2- اجرا نکردن فایل های ناشناس و ایمیل های مشکوک و لینک های جعلی.

3-غیر فعال کردن ماکرو در آفیس را از طریق Group policy در دامین.

4- نصب آنتی ویروس و آنتی باج افزار بروز شده از منابع اصلی.

5- فعال کردن آنتی اسپم در فایروال سیستم عامل و میل سرورها.

6- آخرین وصله ها و پچ های امنیتی از منابع معتبر و قابل اعتماد شرکت های مربوطه را به روز کنند.

7- تهیه نسخه های پشتیبان رمز نگاری شده در بازه های زمانی مختلف از اطلاعات مهم و ذخیره سازی روی حافظه های مختلف.

8- استفاده از سیستم های تشخیص نفوذ مانند IDS ها و IPS ها که قابلیت شناسایی رفتارهای غیرعادی و مشکوک شبکه و سیستم ها را داشته باشند.

ضمنا با توجه به افزودن قابلیت شناسایی باج افزار در آخرین نسخه ویندوز 10 ترجیحا در صورت استفاده از سیستم عامل ویندوز از آخرین نسخه پیش گفته استفاده شود.

این مقام انتظامی به شهروندان توصیه کرد: در صورت مواجهه با باج افزارها و هرگونه درخواست باج موضوع را از طریق وب سایت پلیس فتا به آدرس  WWW.CYBERPOLICE.IR  منعکس کنند.

کلید اصلی رمزنگاری نسخه اصلی باج افزار Petya توسط سازنده آن انتشار یافت.

به گزارش خبرگزاری فارس، توسط این کلید، فایل‌های خاصی که در سیستم عامل قربانیان مورد هدف قرار گرفته و رمزنگاری شده، بدون پرداخت هیچ گونه هزینه ای قابل بازگشت است. اما توجه داشته باشید که بین باج افزارهای Petya و NotPetya تفاوت وجود دارد.

NotPetya باج افزار بسیار مخربی است که با نام های دیگری همچون ExPetr و یا Eternal Petya هم شناخته می شود و در طول ماه گذشته میلادی، به هدف های مشخصی در کشور اوکراین و بخشی از اروپا حمله کرده بود.

باج افزار Petya دارای سه نسخه است که به بسیاری از سیستم ها در نقاط مختلف دنیا حمله کرده است. در حال حاضر، نویسنده این باج افزار با نام مستعار Janus برای نسخه اصلی آن Master Key جهت رمزگشایی فایل های رمزشده توسط این باج افزار را در اختیار عموم قرار داده است.

  بر اساس توضیحاتی که محققین امنیت سایبری اعلام کردند، قربانیانی که با نسخه اول این باج افزار موسوم به Red Petya آلوده شده اند، همچنین قربانیانی که با نسخه دوم این باج افزار موسوم به Green Petya آلوده شده اند و همچنین قربانیانی که با باج افزار GoldenPetya آلوده شده اند می توانند از این کلید جهت بازگردانی فایلهای رمز شده خود استفاده کنند.

صحت این کلید رمزگشایی توسط محقق مرکز امنیت سایبری Independent Polish Information Security که با نام @hasherezade در توییتر فعالیت می‌کند، تایید شده است. نویسنده این باج افزار، این کلید را به صورت یک فایل رمزنگاری شده بر روی سایت ذخیره فایل معروف mega.co.nz قرار داده است.

کوین شیلد، از کهنه کاران وزارت دفاع آمریکا، روز سه شنبه و بعد از اینکه کشور اوکراین و سپس کشورهای دیگر هدف حمله یک باج افزار مخرب به نام «پتیا» قرار گرفت مسوولیت واحد عملیات های سایبری ناتو را بر عهده گرفت.
Gizmodo- این انتصاب دقیقا بعد از حملات سایبری گسترده ای است که پتیا به بار آورده است و سازمان وزارت دفاع آمریکا را بر آن داشته است که برای جبهه دفاع سایبری خود چاره ای بیندیشد. در واقع این چاره هم کشیده شدن پای یک سیاستمدار به عرصه سایبر است، زیرا این سازمان معتقد است که حملات اخیر بالقوه می توانند اقدام جنگی قلمداد شوند. بیشتر این هیاهوها به ماه مه یعنی زمانی برمی گردد که دونالد ترامپ، رییس جمهور آمریکا به همراه رهبران ناتو، تایید کرد که ماده پنجی وجود دارد که که به موجب آن، اعضای این سازمان موظف می شوند در مواردی که یکی از اعضا هدف حمله قرار گرفت برای دفاع از آن وارد عمل شوند.این در حالی است که در هفته گذشته نیز دبیرکل سازمان ناتو بیان کرد که یک حمله سایبری با پیامدهایی هم اندازه با یک حمله تسلیحاتی عمل به ماده پنج توافقنامه را لازم الاجرا خواهد کرد و واکنش هایی که به آن داده می شوند، می توانند به شکل نظامی باشند. 
اما با بروز حملات سایبری اخیر، ناتو روز جمعه در بیانیه ای اعلام کرد که هنوز منشاء پیتا را پیدا نکرده و نمی داند که پس پرده این ماجرا چیست .
در نتیجه محققان ناتو به این نتیجه رسیدند که بدافزار مورد بحث می تواند احتمالا به یک دولت مربوط باشد و اگر این امر ثابت شود، آنگاه کشورهای هدف می توانند با گزینه های مختلفی مقابله به مثل کنند.
در همین راستا نیز وزارت دفاع انگلستان به صورت کاملا مستقل اعلام کرد که کشورش برای واکنش به حملات سایبری آماده است و برای دفاع و حتی حمله به کشور متخاصم مجازی، این حق را دارد که از هر طریقی شامل هوا، زمین، دریا یا قلمرو مجازی مقابله به مثل کند. 

انگشت اتهام اوکراین به سوی روسیه 
اما در حالی که ناتو هنوز هیچ کشوری را مستقیما در انتشار پتیا مسوول ندانسته، سرویس امنیتی اوکراین موسوم به SBU انگشت اتهام را به سوی روسیه گرفته و به تندی از این کشور انتقاد کرده است.
SBU  اعلام کرده که به اطلاعاتی دست یافته که نشان می دهد روسیه در حملات یاد شده دست داشته است.
کارشناسان SBU معتقدند از آنجایی که باج افزار پتیا فاقد سازوکاری برای کسب اطمینان از پرداخت باج های درخواستی از قربانیان است و بعد از پرداخت باج هم فایل های قفل شده رمزگشایی نشده اند، می توان نتیجه گرفت که طراحی پتیا با هدف تخریب اطلاعات متعلق به نهادهای بخش خصوصی و دولتی صورت گرفته است.
روسیه این اتهامات را رد کرده و آنها را بی پایه و اساس توصیف کرده است. نکته قابل تامل این است که بسیاری از نهادهای دولتی و خصوصی در خود روسیه هم به علت حملات باج افزار پتیا آسیب دیده اند.پیش از این در دسامبر سال 2016 هم سیستم های بخش انرژی و حمل و نقل اوکراین هدف حملات بدافزاری قرار گرفتند و حتی بخشی از شبکه توزیع برق این کشور از کار افتاد. در آن زمان نیز اوکراین انگشت اتهام را به سمت روسیه نشانه رفت. (منبع:فناوران)

مرکز مدیریت امداد وهماهنگی عملیات رخدادهای رایانه ای با اعلام اینکه گزارشی مبنی بر آلودگی کاربران داخل کشور به ویروس باج گیر سایبری پتیا (petya) دریافت نشده، درباره این بدافزار توضیح داد.

به گزارش خبرنگار مهر، هفته گذشته گسترش باج افزار جدیدی به نام پتیا (Goldeneye/Petya) در نقاط مختلف جهان بازتاب وسیعی داشته است. گفته می شود که نحوه گسترش این باج افزار و نیز عملکرد آن بسیار مشابه به باج افزار واناکرای ( WannaCry) است که بیش از یک ماه پیش، آسیب گسترده ای به سیستم های ویندوزی بسیاری از سازمانهای مهم در کشورهای مختلف وارد کرد.

۳۲ سیستم قربانی حمله «پیتا»

تاکنون بالغ بر ۳۲ قربانی توسط «پتیا» آسیب دیده و فایلهایشان رمرگذاری شده که قربانیان مبلغی معادل ۸۱۵۰ دلار به صورت بیت کوین(پول مجازی) برای بازپس گیری اطلاعاتشان پرداخت کرده اند.

بیشترین آسیب پذیری مربوط به کشور اوکراین است به نحوی که گفته شده است که کمپانی بزرگ نفتی روسی به نام Roseneft ، کمپانی های تولیدکننده برق اوکراینی، بانکهایی مانند NBU و کمپانی استخراج معدن Evraz هدف این حمله قرار گرفته اند.

مرکز مدیریت امداد وهماهنگی عملیات رخدادهای رایانه ای (ماهر) در اطلاعیه ای درخصوص این باج افزار جدید توضیح داد.

این مرکز اعلام کرد: این باج افزار نیز همانند واناکرای (WannaCry)، توسط آسیب پذیری SMB سیستم عامل ویندوز، گسترش پیدا می کند. درحال حاضر این باج افزار شرکتهای کامپیوتری، کمپانی های تولید کننده برق و نیز بسیاری از بانک ها را در کشورهای روسیه، اکراین،اسپانیا، فرانسه،انگلیس و هند را آلوده کرده است.

نکته حایز اهمیت در خصوص این باج افزار، انتشار آن با سواستفاده از همان آسیب پذیری پروتکل SMB مورد استفاد باج افزار واناکرای (WannaCry) است. راهکارهای پیشگیری و مقابله با آن نیز مشابه راهکارهای ارائه شده برای پیشگیری از آلودگی به WannaCry شامل به روزرسانی سیستم های عامل ویندوز و غیرفعال سازی پروتکل SMB,V۱ و همچنین راهکارهای امنیتی عمومی نظیر تهیه و نگهداری نسخه های پشتیبان آفلاین از اطلاعات مهم است.

در واقع سیستم هایی که پیش از این اقدام به به روزرسانی سیستم های عامل برای مقابله با باج افزار WannaCry کرده اند نیاز به اقدام جدیدی ندارند.

تخریب اطلاعات هدف اصلی «پتیا»

آخرین بررسی های تحلیلی نشان داده است که این باج افزار اساسا تخریب گر اطلاعات بوده و حتی مهاجمین دسترسی به کلیدهای رمزنگاری و امکان بازگردانی اطلاعات رمز شده را ندارند؛ علاوه بر این، ایمیل ارتباطی با مهاجمان نیز توسط سرویس دهنده مربوطه مسدود شده است.

مرکز ماهر با اعلام اینکه تاکنون گزارشی مبنی بر آلودگی کاربران داخل کشور به این باج افزار دریافت نشده است، از کاربران خواست درصورت مواجهه با این حمله باج افزاری، از پرداخت هرگونه وجهی به مهاجمان خودداری کنند.

عدم امکان بازگشت فایلهای سرقت شده

برخلاف توصیه های انجام شده در راستای باج افزار wannaCry  در ماه مه سال ۲۰۱۷  میلادی (کمتر از ۲ماه پیش) بازهم بسیاری از دستگاههایی که از ویندوز استفاده می کردند این آسیب پذیری را جدی نگرفته و برای رفع آن اقدامی نکرده اند.

باج افزار «پتیا» از معدود باج افزارهایی است که علاوه بر کارایی مخرب خود روی سیستم قربانی، برای توسعه و تکثیر از بستر اینترنت و شبکه استفاده می کند و بنابراین همانند کرمهای بسیار خطرآفرین شده است.

مرکز ماهر تاکید کرده است که افرادی که این حمله را سازماندهی می کنند از طریق یک ایمیل از  کاربر درخواست پول می کنند که هم اکنون شرکت آلمانی ارائه دهنده سرویس Posteo این ایمیل را به دلیل جرائم اینترنتی، مسدود کرده است. این ایمیل در سیستم قربانی جهت ارسال پول درخواستی و همچنین دریافت کلید بازگردانی فایلها استفاده می شد که هم اکنون مسدود است.

این مرکز از کاربران خواسته است که از پرداخت پول به این باج افزار خودداری کنند چرا که با پرداخت پول نمی توان فایلهای سرقت شده را بازگرداند.

محققان امنیتی می گویند بدافزار پتیا که در یک هفته اخیر فایل‌های رایانه‌های مختلفی را در دهها کشور جهان گروگان گرفته، با سوءاستفاده از کدهای آژانس امنیت ملی آمریکا طراحی شده است.

به گزارش فارس به نقل از وی تری، نکته قابل تامل این است که این کدها در ماه فوریه گذشته و قبل از افشاشدن توسط گروه شادو بروکرز به سرقت رفته اند.

بررسی ها در این زمینه توسط اندی پتل مشاور امنیتی شرکت اف – سکیور صورت گرفته است. به گفته وی کدهای مورد استفاده در باج افزار پتیا بسیار متنوع هستند و در حالی که برخی از آنها پیچیده هستند، بقیه شان پیچیدگی خاصی ندارند.

به گفته وی کدهای تشکیل دهنده باج افزار پتیا را می توان به سه دسته تقسیم کرد که یک دسته که عامل انتشار باج افزار مذکور محسوب می شود بسیار پیچیده بود و مشخص است که به خوبی آزمایش شده تا کارآیی آن اثبات شود.

پیش از این باج افزار واناکرای هم با سوءاستفاده از کدهای خرابکاری به سرقت رفته از آژانس امنیت ملی امریکا طراحی شده بود. اما این کدها به صورت علنی افشا شده بودند و عموم کاربران از ماه اوریل به آنها دسترسی داشته اند.

کارشناسان امنیتی می گویند باج افزار پتیا در مقایسه با واناکرای بسیار پیچیده تر و حرفه ای تر بوده و به خوبی خود را در رایانه ها جاسازی کرده و فایل های مورد نظر خود را تخریب می کند. منابع خبری غربی مدعی هستند که پتیا در کره شمالی طراحی شده است، اما کره ای ها این موضوع را رد کرده اند.

موج جدیدی از حمله‌های سایبری توسط باج‌افزار پتیا سراسر دنیا را فرا گرفته است.

به گزارش سایبربان، پس از حمله باج‌افزار واناکرای، این بار نوبت باج‌افزار پتیا است تا موجی در ابعاد جهانی ایجاد کند.

سامانه‌های قربانی در سراسر دنیا به این باج‌افزار جدید آلوده شده‌اند که این سامانه‌ها در زیرساخت‌های بانکی، تجارتی و انرژی قرار دارند. کشورهای آلوده شامل روسیه، اوکراین، هند و کشورهای اروپایی هستند. از مهم‌ترین هدف‌های پتیا می‌توان به بانک ملی اوکراین (NBU)، شرکت دولتی رس‌نفت (Rosneft) روسیه، تولیدکنندگان دولتی برق اوکراین به نام‌های Kyivenergo و Ukrenergo اشاره کرد.

باج‌افزار پتیا یا پترپ (Petwrap) پس از آلوده سازی سامانه قربانی از وی 300 دلار بیت‌کوین درخواست می‌کند. نکته قابل تأمل استفاده از آسیب‌پذیری SMBv1 ویندوز است که باج‌افزار واناکرای نیز دقیقاً از همین آسیب‌پذیری استفاده می‌کرد. استفاده از این آسیب‌پذیری سطح پایین امنیت رایانه‌ها را در سراسر دنیا نشان می‌دهد.

باج‌افزار پتیا برخلاف واناکرای فایل‌ها را رمز نمی‌کند؛ بلکه جدول مسترفایل درایو (MFT) و MBR را هدف قرار داده و آن‌ها را غیرقابل استفاده می‌کند. پتیا MFT را رمز کرده و MBR را با کد مخرب خود جایگزین می‌کند، سپس پیغام درخواست پول را نمایش می‌دهد.

با رمزشدن MBR، ویندوز حتی در حالت امن (Safe Mode) نیز بارگزاری نشده و از کار می‌افتد. به‌منظور درخواست پول از قربانی درخواست زیر نمایش داده می‌شود:

در حال حاضر از 61 آنتی‌ویروس ثبت‌شده تنها 15 عدد توانایی شناسایی پتیا را دارند. اگر قربانی‌های فعلی خود را در برابر حمله‌های باج افزار واناکرای مقاوم می‌کردند، نتیجه فعلی را شاهد نبودند.

عاملان مرموز حملات باج افزاری پتیا چه کسانی هستند؟

عاملان مرموز حملات باج افزاری پتیا، مانند واناکرای به درستی مشخص نیست. در این میان، عده‌ زیادی، سازمان امنیت ملی آمریکا را مقصر این حملات می‌دانند.

به گزارش سایبربان؛ در حقیقت همان احتمالاتی که در بحث واناکرای برای عاملان، مطرح کردیم در اینجا هم صدق می‌کند. درواقع چند سناریو را می‌توان ترسیم کرد:

سازمان امنیت ملی آمریکا (NSA): بر اساس اعلام نظر اسنودن، حملات پتیا، کار گروه‌های هکری سازمان امنیت ملی آمریکا بوده است. به نظر ما نیز، بر اساس برخی قراین، این سناریو، به واقعیت نزدیک‌تر است. آمریکا با قرار دادن برخی تسلیحات سایبری خود در اختیار گروه شدوبروکرز، سعی در افزایش قدرت بازدارندگی دارد و می‌کوشد از راه بزرگ‌نمایی توان آفندی خود، به چنین هدفی دست یابد.

روسیه: با توجه به اینکه حملات باج افزاری با انگیزه‌های بیشتر اقتصادی هستند، نمی‌توان این سناریو را محتمل دانست؛ زیرا روسیه، نشان داده است که در حملات سایبری، بیشتر جنبه شناختی و اطلاعاتی را دنبال می‌کند تا اینکه به دنبال کسب سود اقتصادی باشد.

کره شمالی: این سناریو نیز گرچه با برخی توان‌های سایبری کره شمالی سازگار نیست، ولی استبعادی نیز ندارد؛ زیرا این کشور در پی این است تا ارز اقتصادی خود را تقویت کرده و بتواند با وجود تحریم‌های اقتصادی، از فشارهای وارده بکاهد.

چین: درکدهای منتشرشده، در باج افزار واناکرای، برخی کارشناسان مدعی شدند کدهای چینی وجود دارد و به همین دلیل، گمانه‌زنی‌ها درباره چین بالا گرفت. البته برای نزدیک کردن این سناریو به واقعیت، احتمالاتی وجود دارد. یکی اینکه چین، خودش قربانی این باج افزار نیست. البته این دلیل، از قوت کافی برای اثبات مدعا برخوردار نیست.

دوم اینکه، به دلیل اینکه چین قصد دارد تا به یک ابرقدرت اقتصادی در برابر آمریکا تا سال 2050 تبدیل شود، سعی دارد اطلاعات کافی از شرکت‌های تجاری، انرژی، تولیدی و زیرساختی داشته باشد. درنتیجه از طریق باج افزار، حملاتی را انجام داده و در عین اخذ پول از قربانی، نسخه‌ای از اطلاعات را هم نزد خود نگه می‌دارد. البته بر اساس سابقه‌ای که چین در انجام حملات سایبری دارد، روش باج افزاری، از سوی این کشور، متداول نیست. معمولاً روش حملات چینی‌ها، روش جاسوسی سایبری با استفاده از APT (حملات پایدار پیشرفته) است.

البته فرض اینکه این حملات، اقدام گروه‌های سازمان نیافته و غیر وابسته به دولت‌ها باشند نیز بعید نیست، اما با توجه به گستردگی و مقیاس حملات یادشده، گروه‌های کوچک هکری معمولاً به‌تنهایی این قابلیت را ندارند. درعین‌حال، برخی دولت‌ها سعی می‌کنند با اجیر کردن این هکرها، فعالیت‌های سایبری خود را انجام دهند و همزمان، ردی نیز از خود برجای نگذارند و از این طریق، همه اتهاماتی را که متوجه آن‌ها است، از خود دور می‌کنند. باید افزود که یکی از نگرانی کشورها و سازمان‌ها، افزایش گروه‌های هکری سازمان نیافته است که به علت منسجم نبودن، یافتن و ردیابی آن‌ها نیز بسیار دشوار است.

حمله بزرگ هکری "پتیا" به بانک‌ها و فرودگاه‌ها و شرکت‌های نفتی اروپا

رسانه های مشهور دنیا از حمله باج افزاری دیگری به نام پتیا به زیرساختهای کشورهای اروپایی خبر دادند.

به گزارش خبرگزاری تسنیم، بعد از باج افزار واناکرای، این بار باج افزار دیگری به نام پتیا، رایانه‌هایی را در بزرگ‌ترین شرکت نفتی روسیه، بانک‌های اروپایی و فرودگاه‌های اوکراین، هدف قرار داد.

برخی از قربانیان این باج افزار در اوکراین اعلام کردند هکرها بعد از قفل‌کردن رایانه‌ها درخواست 300 دلار باج کردند.

همچنین از قربانیان دیگر این باج افزار می‌توان به شرکت کشتیرانی دانمارک، شرکت سازنده فلز ارواز روسیه، شرکت تولید مواد سینت گوبین فرانسه اشاره کرد.

قربانیان دیگر بر اساس اعلام رسانه ها، نیروگاه هسته ای چرنوبیل، سیستم های متروی اوکراین و بانک های اوکراین بوده است.

تمسخر امنیت سایبری جهانی توسط پتیا

باج افزار پتیا شرکت‌های بزرگ جهان را هدف قرار داد و بار دیگر امنیت سایبری را در دنیا به باد تمسخر گرفت.

به گزارش واحد هک و نفوذ سایبربان؛ این باج افزار قدیمی که ظاهراً مجدداً آغاز به فعالیت کرده و شباهت‌هایی نیز با باج افزار واناکرای دارد، صنایع و زیرساخت‌های گسترده‌ای را در اوکراین، روسیه، انگلستان و تعدادی دیگر از کشورهای جهان هدف قرار داد.

بنا به گزارش‌های اولیه، شرکت‌های معتبری در این حمله، مورد تهاجم قرار گرفته‌اند و همین موضوع، نشان از اهمیت بالای این باج افزار دارد. بسیاری از شرکت‌هایی که در گزارش‌های اولیه، نام آن‌ها در لیست قربانیان قرار گرفت، وقوع این حمله سایبری را تائید کرده و اعلام کرده‌اند که اطلاعات آن‌ها، مورد نفوذ واقع شده است.

در میان بزرگانی که موردتهاجم این باج افزار واقع شده‌اند، شرکت‌هایی نظیر روس نفت، بزرگ‌ترین تولیدکننده نفت روسیه، مائرسک، یکی از غول‌های کشتی‌رانی اتریشی، شرکت Wpp به‌عنوان یکی از بزرگ‌ترین شرکت‌های تبلیغاتی انگلیسی، بانک روسیه، حجم بالایی از بانک‌های اوکراینی، فرودگاه بین‌المللی اوکراین و بسیاری از شرکت‌های آلمانی و فرانسوی به چشم می‌خورند که البته آمار این شرکت‌ها نیز در حال افزایش است.

روش‌های پلیس فتا برای پیشگیری از نفوذ باج‌افزار پتیا
تاکنون هیچ رمزگشای قابل اطمینانی برای بازگردانی فایل‌های آلوده به باج‌افزار پتیا وجود ندارد و فعلا پیشگیری، بهترین راه‌حل است.
 باج‌افزار Petya از سال 2016 شروع به فعالیت کرده است و نسخه تغییر یافته این باج‌افزار از تاریخ 27 ژون 2017 شروع به انتشار کرده که تعداد زیادی از سازمان‌ها را آلوده کرده است. این باج‌افزار مانند باج‌افزار WannaCry از آسیب پذیری SMB، برای گسترش خود استفاده می‌کند. شرکت Symantec و Norton ادعا کرده‌اند که محصولات آن‌ها از گسترش این باج‌افزار در استفاده از آسیب پذیری مذکور محافظت می‌کند. هم‌چنین Symantec این باج‌افزار را تحت عنوان Ransom.Petya شناسایی می‌کند.
شرکت Avast نیز اعلام کرده است که آنتی‌ویروس آن‌ها قادر به شناسایی و حذف این باج‌افزار است به این صورت که اگر  سیستم توسط این باج‌افزار آلوده شد، آن را شناسایی، قرنطینه و از بین می‌برد و همچنین از ورود آن به سیستم هم جلوگیری می‌کند.

تفاوت این باج‌افزار با سایر باج‌افزارها در این است که علاوه بر رمز نگاری فایل‌ها، جدول boot record یا همان MBR را نیز رمز  نگاری می‌کند. در حملات روز گذشته، این باج‌افزار متن زیر در سیستم آلوده شده نمایش داده می‌شود که در آن درخواست 300 دلار به صورت بیت کوین برای رمزگشایی فایل‌ها شده است:
به گزارش پایگاه اطلاع رسانی پلیس فتا، باج‌افزار Petya از آسیب پذیری MS17-010 (که به عنوان Eternal Blue نیز شناخته می‌شود) برای انتشار خود استفاده می‌کند.   تا زمان تدوین این گزارش، عمدتا کشورهای اروپایی درگیر این باج‌افزار شده‌اند و در این میان کشور اوکراین بیشترین میزان آلودگی تا کنون را داشته است ازجمله مترو کیِف، بانک ملی اوکراین، چندین فرودگاه و... و. تاکنون 36 تراکنش بیت کوین برای آدرس بیت کوین مربوط به این باج‌افزار ثبت شده است و مبلغ آن حدود 3.63676946 بیت کوین معادل حدود 8900 دلار است.
 تعدادی از کمپانی های چند ملیتی مانند Nivea،  Maersk،  WPP،  Mondelez نیز خبر از آلودگی به این باج‌افزار داده اند. تا این  زمان مشخص نشده است که اهداف این باج‌افزار سازمان‌ها و ارگان‌های خاصی باشد اما نسخه قبلی این باج‌افزار به منظور حمله به سازمان‌ها طراحی شده بود.
اگر فایل‌های یک سیستم توسط این باج‌افزار رمز شود روشی برای بازگرداندن آن‌ها وجود ندارد و متاسفانه تا کنون هیچ رمزگشای قابل اطمینانی برای بازگردانی فایل‌ها وجود ندارد و فعلا پیشگیری، بهترین راه‌حل است. حتی پرداخت وجه مورد درخواست تضمینی برای رمزگشایی فایل‌ها نیست.
باج‌افزار Petya به منظور آلودگی گسترده طراحی شده است و برای این منظور از آسیب پذیری EternalBlue استفاده می‌کند. زمانی که استفاده از آسیب پذیری با موفقیت انجام شد، باج‌افزار خود را در سیستم هدف در شاخه C:\Windows کپی کرده و با بکارگیری rundll32.exe شروع به اجرای خود می‌کند. سپس این باج‌افزار شروع به رمزنگاری فایل‌ها و MBR کرده و یک زمانبند برای ریبوت کردن سیستم بعد از یک ساعت به کار می‌گیرد.
رمزنگاری مورد استفاده این باج‌افزار AES-128 with RSA است. فایل‌های با فرمت زیر مورد حمله این باج‌افزار قرار می‌گیرد:
.3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip
همچنین سعی می‌کند که Event log را نیز به منظور مخفی کردن اثرات خود پاک کند. پس از ریبوت شدن سیستم پیغام زیر مبنی بر چک کردن سیستم و سپس صفحه اصلی درخواست باج ظاهر می‌شود:

روش‌های پیشنهادی به منظور پیشگیری از ابتلا به باج‌افزار:
سیستم ویندوز باید توسط آخرین وصله‌های امنیتی بروزرسانی شود.
قبل از بازکردن فایل‌های پیوست ایمیل، باید از فرستنده آن مطمئن شد.
پروتکل SMB غیر فعال شود  و patch  MS17-010 از سایت ماکروسافت دریافت و نصب شود.
پورت های 445 و 139 بر روی فایروال بسته شود.
غیر فعال کردن اسکریپت‌های ماکرو از فایل‌های آفیسی که از ایمیل دریافت می‌شود. (به جای باز کردن فایل‌های آفیس با استفاده از نسخه کامل آفیس، از office viewer استفاده شود)
فراهم کردن فیلترینگ مناسب و قوی برای فیلترکردن اسپم و جلوگیری از ایمیل‌های فیشینگ.
اسکن تمامی ایمیل‌های ورودی و جروجی برای شناسایی تهدیدات و فیلتر کردن فایل‌های اجرایی برای کاربران.
Patch کردن سیستم عامل ها، نرم‌افزار،  firm ware، و تجهیزات.

ملاحظات:

بک‌آپ‌گیری دوره‌ای از اطلاعات حساس
اطمینان از اینکه بک‌آپ‌ها به صورت مستقیم به کامپیوتر و شبکه‌ای که از آن بک‌آپ گرفته می‌شود وصل نیست.
ذخیره کردن بک‌آپ‌ها بر روی cloud و همچنین فضای ذخیره‌سازی فیزیکی آفلاین؛ بعضی از باج‌افزارها این قابلیت را دارند که  بک‌آپ‌های تحت cloud را نیز lock کنند. (بک‌آپ‌ها  بهترین روش برای بازگرداندن داده‌های رمز شده توسط باج‌افزار هستند. البته با توجه به اینکه سرورهای cloud  در خارج از کشور ما هستند لذا ذخیره بک‌آپ‌ها به این روش در کشور ما نیاز به رعایت  ملاحظات امنیتی دارد و می‌تواند مورد استفاده قرار گیرد.)

علیرضا ثانی (کارشناس ارشد امنیت فناوری اطلاعات) - مدارس، بیمارستان‌ها، سازمان‌های دولتی، از کسب‌وکارهای کوچک گرفته تا کسب‌وکارهای بزرگ؛ هیچ‌یک از این انواع سازمان‌ها از گزند باج‌افزارها در امان نبوده‌اند. بدافزارهای موذی، که با شناسایی دارایی‌های دیجیتالی قربانی و رمز یا قفل کردن آنها، برای آزادسازی دارایی‌های رمزشده باج‌خواهی می‌کنند.

دسترسی نداشتن هر یک از قربانیان فوق به اطلاعات خود، پیامدهای فاجعه‌باری به‌دنبال دارد که به‌وجود آمدن اختلال در انجام عملیات روزانه سازمان، بروز خسارت مالی ناشی از ازدست‌دادن اطلاعات و لطمه‌ای که به اعتبار یک سازمان وارد می‌شود، می‌تواند از جمله این پیامدها باشند.

البته این تهدید فقط متوجه سازمان‌ها و مراکز بزرگ نبوده و میزان آسیب‌پذیری رایانه‌های خانگی نسبت به این باج‌افزارها اگر بیشتر نباشد کمتر نیست؛ از ‌دست‌دادن دسترسی به دارایی‌های شخصی و غیر‌قابل جایگزینی مانند عکس‌های خانوادگی، فیلم‌ها و دیگر اطلاعاتی که برای افراد می‌تواند هزینه‌ای بسیار سنگین و جبران‌ناپذیر به‌دنبال داشته باشد.

با اینکه سال‌ها از پیدایش باج‌افزارها می‌گذرد، اما بر اساس آمار مشخص شده که میزان حملات مبتنی بر این نوع بدافزار در سال 2015 میلادی افزایش چشمگیری داشته است. همچنین سازمان‌ها به‌دلیل توانایی مالی بیشتر برای پرداخت مبالغ گزاف به‌عنوان باج، اهداف جذاب‌تری برای مجرمان این حوزه بوده‌اند. با مطالعه آمار سه ماه ابتدایی سال 2016، روند افزایشی نرخ وقوع این نوع حملات (نسبت به مدت زمان مشابه در سال گذشته) مبین این مطلب است که در سال جدید، این نوع حملات قربانیان بیشتری را به کام خود خواهند کشید و متاسفانه همچنان سازمان‌ها در مقابل این‌گونه حوادث امنیتی بسیار آسیب‌پذیر بوده و از توانایی پاسخ‌دهی بسیار پایینی برخوردارند.

در حملات باج‌افزارها قربانی یک ایمیل دریافت می‌کند که به ظاهر معمولی به‌نظر می‌آید که دارای پیوستی عادی مانند یک صورت‌حساب یا یک سند الکترونیکی است، ولی پشت این ظاهر معمولی و بی‌خطر، کدهای مربوط به باج‌افزار نهفته است که با باز کردن این پیوست اجرا می‌شوند. حتی ممکن است یک ایمیل که حاوی آدرس یک تارنمای اینترنتی باشد که به‌ظاهر معمولی و بی‌خطر به‌نظر برسد، با کلیک کردن روی آن قربانیان به یک سایت دیگر هدایت شوند و بلافاصله رایانه ایشان توسط نرم‌افزار مخرب آلوده ‌شود.

پس از آلوده شدن، بدافزار شروع به پویش و رمز کردن فایل‌ها و پوشه‌ها و هر گونه درایو متصل به رایانه می‌کند. باج‌افزارها به این حد بسنده نکرده و نه‌تنها درایوها و فایل‌های پشتیبان را رمز می‌کنند، بلکه نسبت به تکثیر و انتشار خود روی شبکه‌ای که رایانه آلوده به آن متصل است اقدام می‌کنند.

معمولا قربانیان تا زمانی که قصد بازکردن فایل‌های خود را نداشته باشند متوجه آلوده‌شدن سیستم خود نمی‌شوند، ولی پس از اولین تلاش برای دسترسی به اطلاعات، متوجه ممکن نبودن دسترسی به اطلاعات مذکور شده و پیامی دریافت می‌کنند که علاوه بر اطلاع‌رسانی در خصوص رمز شدن اطلاعات شخصی آنها، درخواست پرداخت مبلغی را در ازای دریافت کلید رمزگشایی اطلاعات می‌کنند. عموما این پیام‌ها حاوی دستورالعمل و شیوه پرداخت باج به‌وسیله بیت‌کوین (‌به‌دلیل توانایی که در خصوص گمنامی دریافت‌کننده به‌وسیله این پول مجازی فراهم می‌شود) است.

حملات مبتنی بر باج‌افزارها نه‌تنها رو به افزایش بوده، بلکه هر روز به میزان پیچیدگی آنها نیز افزوده می‌شود. چندی پیشتر، باج‌افزارها فقط از طریق هرزنامه‌ها ارسال می‌شدند، اما به‌دلیل بهبود خدمات‌دهندگان ایمیل در خصوص فیلتر کردن هرزنامه‌ها، مجرمان فضای سایبری به حملات اسپیر فیشینگ روی آورده بودند. به‌تازگی بر اساس نمونه‌های شناسایی‌شده از باج‌افزارها، برخی از مجرمان فضای سایبری (برای انجام این حمله) از ایمیل استفاده نمی‌کنند؛ بر اساس گزارش یکی از کارشناسان دایره سایبری پلیس فدرال آمریکا، امروزه با پیشرفت روش حملات، نیاز به کلیک کردن کاربر روی یک آدرس اینترنتی نیز از بین رفته است. در واقع مجرمان با سوءاستفاده از پایگاه‌های اینترنتی مشروع و قانونی که توجهی به امنیت سیستم‌های خود ندارند، به انتشار باج‌افزارها اقدام می‌کنند. به بیان دیگر لزوما دریافت یک ایمیل می‌تواند علت آلوده شدن سیستم شما نباشد، بلکه یکی از پایگاه‌های اینترنتی که معمولا از آن بازدید می‌کنید می‌تواند موجب آلوده شدن سیستم شما به باج‌افزار شود. آنچه موجب به‌وجود آمدن این فرصت برای این مجرمان می‌شود، بی‌توجهی کاربران برای به‌روزرسانی سیستم‌ها و نصب نکردن به‌موقع وصله‌های امنیتی است.

به‌صورت کلی پرداخت مبلغ مورد تقاضای باج‌افزارها توصیه نمی‌شود، زیرا حتی با پرداخت باج خواسته‌شده هیچ تضمینی برای دسترسی شما به اطلاعات رمزشده وجود ندارد. بر اساس برخی از موارد مشاهده‌شده، مجرمان حتی پس از دریافت مبلغ مورد تقاضا کلید رمزگشایی اطلاعات را به سازمان تحویل نداده‌اند. پرداخت باج نه‌تنها موجب جسور‌تر شدن مجرمان کنونی این حوزه می‌شود، بلکه می‌تواند با ایجاد انگیزه برای دیگر مجرمان سایبری آنها را نیز به انجام این نوع حملات ترغیب کند و نهایتا با پرداخت باج، قربانی می‌تواند به‌صورت غیرعمدی نقش سرمایه‌گذار برای دیگر عملیات‌های خلاف قانون مجرمان را بازی کند.

اگر آنچه را تاکنون مورد اشاره قرار گرفت به‌عنوان مقدمه و طرح مساله در خصوص باج‌افزارها در نظر بگیریم، اکنون نوبت به ارایه راه‌حل در این خصوص خواهد بود. با توجه به اینکه تکنیک‌های باج‌افزارها و نرم‌افزارهای مخرب دایما در حال تغییر هستند، شناسایی این حملات پیش از آلوده شدن امری دشوار است، اما سازمان‌ها به ‌شکل خاص می‌توانند دو رویکرد کلی زیر را اتخاذ نکنند:

- برنامه‌ریزی پیشگیرانه شامل افزایش سطح آگاهی کارکنان و پیاده‌سازی کنترل‌های فنی قدرتمند.

- وجود برنامه استمرار کسب‌و‌کار مستحکم و کار به‌منظور استفاده پس از حمله باج‌افزار.

همواره باید این مطلب را در نظر داشت که در این خصوص هیچ راه‌‌حلی به‌تنهایی راهگشا نخواهد بود، بلکه انجام مجموعه‌ای از برنامه‌های پیشگیرانه و همچنین برنامه‌های جبرانی برای حفظ استمرار کسب‌و‌کار ضروری و حیاتی است که این برنامه‌ها باید به‌صورت مداوم مورد آزمون قرار گرفته تا میزان کارایی آنها مشخص و در صورت نیاز به اصلاح مورد بازنگری قرار گیرند.

از جمله اقداماتی که در ارتباط با رویکرد پیشگیرانه می‌تواند در فهرست انجام قرار گیرند، می‌توان به موارد ذیل اشاره کرد:

- پیاده‌سازی برنامه آموزش و ارتقای سطح آگاهی کاربران شبکه. از آنجایی که این نوع حمله با هدف قرار دادن کاربران نهایی صورت می‌گیرد، آموزش کاربران به‌خصوص باج‌افزارها و چگونگی عملکرد آنها‌ امری ضروری است.

- اطمینان از به‌روز بودن و نصب بودن آخرین وصله‌های امنیتی روی سیستم‌های عامل، نرم‌افزار، فریم‌ویرهای دستگاه‌ها. انجام این مهم را با استفاده از سیستم‌های متمرکز مدیریت وصله‌های امنیتی، می‌توان تسهیل کرد.

- مدیریت سطوح دسترسی کاربران، با استفاده از پیاده‌سازی اصل حداقل دسترسی لازم. با این روش می‌توان اطمینان حاصل کرد که سطح دسترسی مدیر سیستم فقط محدود به کاربرانی است که برای انجام وظایف محوله خود به آن نیاز دارند و این کاربران نیز فقط در مواقع لزوم از این سطح دسترسی استفاده خواهند کرد. (معمولا باج‌افزارها برای اجرا روی سیستم‌ها نیاز به سطح دسترسی مدیر دارند.)

- پیکربندی کنترل دسترسی، شامل کنترل اجازه به‌اشتراک‌گذاری شبکه‌ها، فایل‌ها و پوشه‌ها با درنظر داشتن اصل حداقل دسترسی لازم. به این معنی که اگر کاربری برای انجام وظایف محوله خود فقط نیاز به خواندن فایل به‌خصوصی دارد، امکان نوشتن روی آن فایل یا منبع نباید برای آن کاربر وجود داشته باشد.

- ماکروها اسکریپت‌ها را در مجموعه مایکروسافت آفیس غیرفعال کنید. در نظر بگیرید برای باز کردن فایل‌هایی که از طریق ایمیل دریافت شده‌اند از نسخه نمایشگر مایکروسافت آفیس به جای نسخه کامل آن استفاده شود.

- پیاده‌سازی خط مشی محدودسازی نرم‌افزارها یا دیگر راهکارهای کنترلی برای پیشگیری از اجرای برنامه‌ها از مکان‌هایی که به‌طور معمول مورد استفاده باج‌افزارها هستند مانند پوشه‌های فایل‌های موقت مرورگرهای اینترنتی یا نرم‌افزارهای فشرده‌سازی و مسیر AppData/LocalAppData.

به همین صورت در ارتباط با رویکرد دوم، یعنی وجود برنامه استمرار کسب‌و‌کار نیز می‌توان به موارد ذیل اشاره کرد:

- به‌صورت منظم از داده‌های خود نسخه پشتیبان تهیه کرده و از صحت و یکپارچگی این نسخ پشتیبان اطمینان حاصل کنید. به این منظور توصیه می‌شود برخی از نسخ پشتیبان را بازیابی کنید تا صحت آنها را مورد آزمون قرار دهید.

- نسخ پشتیبان خود را امن کنید. از اینکه نسخ پشتیبان به رایانه‌ها و شبکه‌های اصلی متصل نیستند اطمینان حاصل کنید. برای مثال می‌توان به ذخیره‌سازی نسخ پشتیبان روی سرویس‌های ذخیره‌سازی ابری یا ذخیره آنها روی دیسک‌های آفلاین اشاره کرد. برخی از نمونه‌های باج‌افزارها توانایی قفل کردن پشتیبان‌گیری ابری به‌صورت همزمان را دارند. در نظر داشته باشید که نسخ پشتیبان پس از زمان آلوده شدن سیستم به باج‌افزار، نقش بسیار حیاتی در بازیابی اطلاعات شما ایفا می‌کنند.

هرچند هیچ‌گاه امنیت را به‌صورت مطلق و صددرصد نمی‌توان درنظر گرفت، اما با رعایت کردن اصول اشاره‌شده فوق (هرچند ابتدایی و ساده) می‌توان میزان آسیب‌پذیری سازمان را در مقابل این نوع حملات کاهش داد. البته اقداماتی که در این راستا می‌‌توان انجام داد، به موارد گفته‌شده محدود نبوده و همواره می‌توان به این فهرست افزود. در پایان به برخی اقدامات دیگر که می‌توان به این فهرست اضافه کرد اشاره می‌کنیم.

- اجرای خط‌مشی فهرست سفید برای برنامه‌های مجاز به اجرا روی شبکه. شما می‌توانید با استفاده از این خط‌مشی اطمینان حاصل کنید که فقط نرم‌افزارهای شناخته‌شده توانایی اجرا روی اجزای شبکه شما را دارند.

- اجرای برنامه‌های عملیاتی یا برنامه‌های خاص در محیط‌های مجازی.

- طبقه‌بندی اطلاعات بر اساس میزان اهمیت آنها برای سازمان و جداسازی منطقی و فیزیکی شبکه و اطلاعات بر اساس واحدهای مختلف سازمانی. (منبع:عصرارتباط)

علی اصلان شهلا - باج افزار جدیدی به سازمان ها و کاربران ایرانی حمله کرده و اطلاعات آنها را قفل می کند.
طی دو روز گذشته برخی از سازمان ها و کاربران ایرانی با اشکال در دسترسی به فایل هایشان روبرو شده اند. این اشکال از طریق باج افزار جدیدی پدید آمده که اطلاعات و فایل های کاربران را رمزگذاری کرده و در قبال ارایه کلید رمزگشا، درخواست بیت کوین می کند.
هنوز اطلاعات زیادی از این باج افزار جدید در دست نیست اما به نظر می رسد با توجه به عملکرد آن، نسخه سومی از خاواده باج افزارهای TeslaCrypt باشد.

 نسخه جدید تسلا کریپت؟
هرچند هنوز آزمایشگاه های ضد ویروس در دنیا نظر خود را در مورد این باج افزار جدید اعلام نکرده اند، اما نحوه عملکرد آن به گونه ای است که به نظر می رسد این باج افزار ورژن سوم از خانواده «تسلاکریپت» باشد.
نخستین نمونه از باج افزار تسلاکریپت در بهمن سال گذشته شناسایی شد. این باج افزار نه تنها فایل های معمول مانند عکس ها، ویدئوها و اسناد را مورد حمله قرار می داد، که فایل های مربوط به بازی را نیز شامل می شد و به همین دلیل در بسیاری از رسانه ها از آن به عنوان کابوس گیمرها یاد شد. 
البته نخستین ورژن تسلاکریپت بدافزار ضعیفی به شمار می رفت، به ویژه این که در طول فرایند رمز گذاری، این بدافزار کلید رمزگشایی را در کامپیوتر خود قربانی ذخیره می کرد به این ترتیب امکان دستیابی به کلید بدون پرداخت باج فراهم می شد.
در تابستانی که گذشت نسخه دوم این باج افزار یعنی TeslaCrypt2.0. در حالی شناسایی شد که این باج افزار از راهکار رمزگذاری بسیار پیشرفته تری نسبت به نسخه اول بهره می برد.  در درجه نخست تسلاکریپت 2 از الگوریتم باج افزار معروف دیگری به نام CTB-Locker بهره برد و از سوی دیگر متد ذخیره سازی فایل حاوی کلید رمزگشایی را تغییر داد و به جای استفاده از یک فایل روی دیسک، از System Registry استفاده کرد.
به نظر می رسد باج افزار جدیدی که سازمان های ایرانی را گرفتار خود کرده است را باید ورژن سوم خانواده یعنی TeslaCrypt3.0.  دانست چرا که از همان الگوریتم رمزگذاری نسخه دوم تسلاکریپت استفاده می کند.
در فایل ارسال شده از سوی یکی از سازمان های قربانی به روزنامه فناوران، این باج افزار جدید به قربانی این پیام را می دهد: «چه اتفاقی برای فایل های شما افتاده است؟ همه فایل های شما به وسیله یک رمزگذاری قدرتمند با RSA-4096 محافظت شده است... همه فایل های شما به وسیله یک فایل کلید، رمزگذاری شده و این فایل از طریق اینترنت به کامپیوتر شما ارسال می شود. تنها راه ممکن برای رمزگشایی از فایل هایتان استفاده از این فایل کلید مخصوص و نرم افزار رمزگشایی است که در سرورهای مخفی ما وجود دارد.
شما دو راه پیش رو دارید: یا منتظر یک معجزه بمانید و هزینه ای که باید پرداخت کنید دو برابر شود، یا بیت کوین به ما پرداخت نمایید. اگر واقعا اطلاعات و فایل های باارزشی روی سیستم دارید، بهتر است وقت را تلف نکنید چرا که راه دیگری برای دست یابی به فایل هایتان جز پرداخت به ما وجود ندارد.» در ادامه نیز نحوه پرداخت شرح داده شده است.

 باج افزار چیست؟
باج افزارها نوعی بدافزار هستند که به عنوان مکانیسمی دیجیتالی برای اخاذی مورد استفاده قرار می گیرند. این نوع نرم افزار، دسترسی به کامپیوتر و اطلاعات آن را تا زمانی که باج مورد نظر پرداخت شود، مسدود می کند.
 CryptoLocker، CryptoWall، CoinVault، TorLocker، CTB-Locker و TeslaCrypt  از معروف ترین باج افزارهای فعال در یکی دو سال گذشته بوده اند.
هم مصرف کنندگان عادی و هم کسب و کارهای کوچک و بزرگ از قربانیان باج افزارها به شمار می روند. مجرمان سایبری در استفاده از این نوع باج افزارها، تفاوتی بین قربانی قایل نشده و صرفا به دنبال بالا بردن تعداد کاربران آسیب دیده هستند تا بیشترین سود را به دست آورند.
باج افزار معمولا در قالب یک ایمیل به کاربر ارسال می شود و پیوست این ایمیل ممکن است فایل اجرایی، یک عکس یا یک فایل آرشیو باشد. زمانی که پیوست باز می شود، بدافزار به سیستم کاربر وارد شده و گسترش می یابد. باج افزارها همچنین ممکن است از طریق یک سایت به کامپیوتر کاربر راه یابد. زمانی که کاربر در یک سایت نادانسته یک سند را اجرا می کند (گاهی به وسیله کلیک روی یک لینک یا دانلود یک فایل)، بدافزار به سیستم وارد می شود.
زمانی که سیستم فرد آلوده شد، هیچ اتفاق پیدا و مشخصی بلافاصله نمی افتد. بدافزار به صورت مخفیانه در پس زمینه در حال کار است تا زمانی که به طور کامل اطلاعات مورد نظر را خود را قفل کند. 
مجرمان سایبری در توسعه و گسترش باج افزارها، هر روز مهارت بیشتری پیدا می کنند و در نتیجه این بدافزارها بدون آن که شناسایی شوند، کار خود را انجام می دهند. همچنین این مجرمان از تکنیک ها و ابزارهای زیادی استفاده می کنند تا قربانی متوجه باج افزار نشود. سپس پیغامی روی صفحه نمایش داده شده و به کاربر اطلاع می دهد که اطلاعاتش قفل شده و برای دسترسی مجدد به آنها باید باج بپردازد.
زمانی که کاربر این پیغام را دریافت کند، دیگر برای اقدام متقابل دیر شده است. مبلغ مورد تقاضای مجرمان سایبری در این گونه حملات متفاوت است و می تواند از صدها تا هزاران دلار را در بر گیرد.

 چه باید کرد؟
نخستین گام برای محافظت از داده ها در برابر باج افزارها، پشتیبان گیری از فایل های حساس و مهم است تا در صورت قفل شدن فایل ها، نیازی به پرداخت به باج افزارها نباشد. به روز رسانی نرم افزارها و به ویژه به روز رسانی مرورگرها و Pluginهای آن ضروری است. 
همچنین استفاده از آنتی ویروس معتبر و به روز رسانی شده نیز می تواند در این راه به کاربر کمک کند.
کاربران باید از باز کردن ایمیل های ناشناس بپرهیزند و هنگام بازدید از سایت ها هوشیارانه عمل کنند.(منبع:فناوران)

با انتشار بیش از 14 هزار کلید رمزگشایی، شرکت کسپرسکی و پلیس هلند کابوس باج‌افزارهای CoinVault و Bitcryptor را برای 10ها هزار کاربر در 108 کشور جهان از جمله ایران پایان دادند.

شرکت کسپرسکی 14 هزار و 31 کلید رمزگشایی را به مخزن مقابله با باج‌گیری به نشانی noransom.kaspersky.com افزوده است. اکنون این امکان برای تمام قربانیان باج‌افزارهای CoinVault و Bitcryptor فراهم آمده است تا اطلاعات رمزگذاری شده‌شان را بدون پرداخت دانه‌ای بیت‌کوین به مجرمان باج‌گیر، به دست آورند.

کلیدها و نرم‌افزار رمز گشایی، که به وسیله کسپرسکی آماده شده است، به رایگان در این نشانی در دسترس است: https://noransom.kaspersky.com/

از آوریل 2015، مجموع 14 هزار و 755 کلید برای قربانیان فراهم شده است تا آنها بتوانند فایل‌های خود را به وسیله نرم‌افزار رمزگشایی نوشته شده توسط متخصصان کسپرسکی، آزاد کنند. دفتر دادستانی هلند کلیدهای رمزگشایی را از سرورهای کنترل و فرمان  باج‌افزار CoinVault به دست آورده است. در ماه سپتامبر، پلیس هلند دو مرد را در این کشور به اتهام مشارکت در حملات باج‌افزارها دستگیر کرد. با این بازداشت‌ها، و درنظر گرفتن این واقعیت که آخرین بخش کلیدها از سرور به دست آمده است، زمان آن فرار سیده تا پرونده حملات CoinVault را بسته شده تلقی کنیم.

مجرمان سایبری CoinVault تلاش کردند 10ها هزار کامپیوتر در سراسر جهان را آلوده کنند. اکثر قربانیان در کشورهای هلند، آلمان، امریکا، فرانسه و انگلستان قرار داشتند با این حال کاربرانی از 108 کشور تحت تاثیر این حملات قرار گرفتند. مجرمان موفق شدند حداقل 1500 ماشین تحت ویندوز را قفل کرده و از کاربران آنها برای رمزگشایی فایل‌ها، طلب بیت‌کوین کنند.

شرکت کسپرسکی نخستین ورژن CoinVault را در ماه می 2014 کشف کرد و بعد از آن، در قالب تحقیقاتی که از سوی واحد تحقیقات جرایم با فناوری بالای پلیس هلند (NHTCU) و دادستانی هلند راه‌اندازی شده بود، به آنالیز نمونه‌های این بدافزار پرداخت. در طول این تحقیقات مشترک، دادستانی هلند و NHTCU پایگاه داده‌هایی را از سرورهای کنترل و فرمان CoinVault به دست آورد. این سرورها شامل  مقداردهی اولیه، کلیدها و بیت‌کوین بود و به کسپرسکی و NHTCU برای ساخت یک مخزن ویژه برای کلیدهای رمزگشایی کمک کرد: noransom.kaspersky.com.

به گزارش روابط عمومی گروه آتنا، ون‌در ویل، محقق امنیتی تیم آنالیز و تحقیق جهانی کسپرسکی می‌گوید: «داستان CoinVault به پایان رسیده و بقیه قربانیان می‌توانند به بازیابی فایل‌های خود بپردازند. همچنین با همکاری پلیس هلند، شرکت کسپرسکی و شرکت پاندا، مجرمان سایبری دستگیر شده‌اند. تحقیقات CoinVault از این نظر که همه کلیدها را توانستیم به دست بیاوریم، منحصر به فرد است. با کار زیاد ما موفق شدیم کل مدل تجاری این گروه مجرمان سایبری را مختل کنیم.»

چند ماهه گذشته را می‌توان بر اساس گزارشات پلیس فتا دوران آغاز ظهور باج افزار‌ها و استفاده از آن‌ها در عرصه وب ایرانی دانست. هرچند در سالهای قبل نیز موارد معدودی استفاده از باج افزار مشاهده شده بود؛ اما هشدارهای مکرر پلیس فتا در سال ۹۴ نشان دهنده رشد فزاینده این نرم افزار خطرناک و این رفتار ضد اجتماعی در چند ماهه اخیر است.
چنانکه روز گذشته نیز سرهنگ حسین رمضانی معاون امور بین الملل و حقوقی پلیس فتای ناجا در نشست خبری خود در خصوص گسترش باج‌افزار‌ها درفضاهای مجازی و شبکه‌های اجتماعی نیز هشدار داد و گفت: یکی از مواردی که در حال افزایش است، شیوع باج افزار‌ها در فضای مجازی است. وی بر ضرورت اطلاع رسانی به مردم در مورد خطر رو به رشد باج افزار‌ها در ایران تاکید کرد.

باج افزار چیست؟
این روزها ساخت، فروش و سوء استفاده از بدافزارهای Ransom-ware یا باج‌افزارها، تبدیل به یک حرفه و تجارت بزرگ شده است. باج افزار‌ها نوع خاصی از بد افزار‌ها هستند که با ورود به رایانه یا گوشی فرد قربانی آن را قفل می‌کنند و امکان دسترسی فرد را به اطلاعات خود از بین می‌برند، این بدافزار سپس به فرد قربانی پیام می‌دهد که در صورت نیاز به بازیابی اطلاعات خود باید مبالغی به حساب ایجاد کننده آن یا‌‌ همان شخص سودجو و مجرم بپردازد تا اجازه دهد رایانه یا گوشی قفل شده از حالت قفل خارج شود.
مجرمان از طریق ارسال پیامک یا ایمیل، لینکی را به شهروندان ارسال کرده و با عناوین جذاب آن‌ها را فریب می‌دهند که در صورت کلیک بر روی این لینک به مطلب خاصی خواهند رسید. همچنین برخی از آن‌ها با موج‌سواری بر روی واقعه‌های خبری چنین اقدامی را انجام می‌دهند، غافل از اینکه با کلیک کردن بر روی این لینک باج‌افزار پنهان‌سازی شده در آن نیز وارد سیستم تلفن همراه یا رایانه شده و منجر به از بین رفتن یا سوء استفاده از اطلاعات کاربر می‌شود.
در این گونه موارد فرد قربانی جز فرمت کردن دستگاه خود که منجر به از دست رفتن همه اطلاعات می‌شود یا اطاعت از فرد مجرم راه دیگری ندارد، اما توصیه پلیس در چنین مواردی چیز دیگری است.

پلیس چه توصیه‌ای می‌کند؟
پلیس در این گونه موارد توصیه می‌کند که شهروندان بجای همکاری و برآوردن خواست مجرم به دفا‌تر پلیس فتا مراجعه نمایند تا مجرم ره گیری شده و ضمن برخورد انتظامی و قضایی با وی اطلاعات کاربر نیز بازیابی گردد. در هر صورت باید دانست که هیچ‌گاه ابتلا به یک باج افزار به معنای ناچار شدن از پرداخت باج نیست و همیشه با مراجعه به پلیس می‌توان ضمن حل بدون هزینه مشکل مجرمین را نیز به سزای اعمالشان رساند.

نحوه عملکرد فنی باج افزار‌ها چگونه است؟
به گزارش گرداب باج افزار‌ها با روشهای مختلفی مانند کرم‌ها و ویروس‌ها منتشر می‌شوند و پس از نصب و اجرا شروع به اعمالی برای مسدود ساری دسترسی کاربر اصلی مانند رمزگذاری هارددیسک می‌کنند. باج افزارهای پیشرفته‌تر معمولا با بهره گیری از کلیدهای عمومی فایل‌ها را رمزگذاری می‌کنند. در این حالت کلید خصوصی لازم برای خارج کردن فایل‌ها از حالت رمز شده فقط در دست طراح باج افزار است. باج افزار از فرد قربانی می‌خواهد که به حساب طراح خود پول واریز کند. البته لازم به ذکر است بعضی باج افزار‌ها رمزگذاری نمی‌کنند، بلکه از راه‌های دیگری مثل اختصاص پوستهٔ سیستم عامل به خود و یا تغییر رکوردهای مربوط به بوت، استفاده از سیستم را دچار مشکل می‌سازند.

چگونه از گرفتاری به باج افزار پیشگیری کنیم؟
اما کار‌شناسان برای گرفتار نشدن به چنین بلایایی راه کارهای موفقی ارائه نموده‌اند.
نخست: چنانکه برای عدم ابتلا به سایر ویروس‌ها نیز توصیه می‌شود از بازکردن ایمیل‌های مشکوک و لینک‌های نا‌شناس جدا پرهیز گردد.
دوم: در مورد خاص باج افزار‌ها استفاده کاربر از نسخه‌های معتبر نرم افزارهای بک آپ یا پشتیبانی قوی
سوم: استفاده از نسخه‌های معتبر آنتی ویروس‌های قوی
چهارم: نصب اصلاحیه‌های امنیتی سیستم عامل
پنج: استفاده از نرم افزار‌ها و سخت افزارهای ضد هرزنامه (Anti-Spam)
این پنج مورد احتمال آسیب دیدن کاربر از باج افزار را به حداقل ممکن کاهش می‌دهد.

معروف‌ترین باج افزار‌ها
روتون معروف‌ترین باج افزار است که در سال ۲۰۱۲ ظهور کرد. این بدافزار پس از اجرا روی سیستم پیامی به قربانی نشان می‌داد که به نظر می‌آمد از یک منبع معتبر قانونی ارسال شده است. طراح روتون با هوشمندی تمام کاری کرده بود که بد افزار وی در هر کشوری از نماد پلیس‌‌ همان کشور استفاده نماید! این پیام به قربانی اعلام می‌کرد که سیستم وی به دلیل انجام جرایمی همچون استفاده از نرم افزارهای کرک شده و دانلود پورنوگرافی کودکان توقیف شده است!
این باج افزار فوق حرفه‌ای برای واقعی به نظر آمدن عملیات آی پی رایانه فرد را به وی نشان می‌داد و در صورت مجهز بودن به وب کم تصاویری نیز از وی نمایش می‌داد!
باج افزار نهایتا از کاربر یا قربانی می‌خواست که برای استفاده مجدد از رایانه خود و رفع قفل آن جریمه بپردازد و این جریمه‌ها از طریق سیستم‌های انتقال پولی امن مانند یوکش به حساب طراح روتون انتقال می‌یافت.
روتون در اوایل سال ۲۰۱۲ در اروپا و در اواسط همین سال یعنی آگوست در آمریکا منتشر شد. شدت گستره روتون در انگلیس به حدی بود که پلیس شهری این کشور در پیامی عمومی به مردم اطلاع داد؛ اقدام به قفل کردن رایانه‌ها نکرده و نمی‌کند و این کار یک باج افزار است.
روتون در آمریکا از مردم در خواست می‌کرد تا ۲۰۰ دلار به حساب اف بی‌آی واریز کنند!
یک سال بعد باج افزار دیگری به صورت گسترده و البته بدون تظاهر به پلیس بودن منتشر گردید. کریپتولاکر که در سپتامبر ۲۰۱۳ منتشر شد. کریپتولاکر با استفاده از کلید عمومی ۲۰۴۸ بیتی شروع به رمزگذاری فایلهای با پسوند خاصی از کاربران آلوده می‌کرد. این باج افزار سپس کاربران را به حذف کلید خصوصی رمزگذاری در صورت پرداخت نشدن هزینه در عرض سه روز تهدید می‌کرد.
با توجه به عبارت بسیار طولانی استفاده شده در رمزگذاری‌های کریپتولاکر عملیات رمزگشایی زمان بسیار زیادی را می‌طلبید و همین مساله سبب خطرناک بودن این باج افزار بود.

باج افزار به رزو رسانی ویندوز ۱۰
در یکی از جدید ترین انواع باج افزار که در یک ماهه اخیر و پس از آغاز عرضه ویندوز ده شایع شده باج افزار با بهانه به روز رسانی ویندوز نفوذ می کند. کارشناسان امنیتی هشدار دادند که مراقب پیام‌هایی مبتنی بر به‌روزرسانی رایانه و نصب ویندوز ۱۰ باشید تا به‌جای آخرین نسخه سیستم‌عامل رایانه‌ای مایکروسافت، یک بدافزار مخرب را در اختیار نگیرید.
زمانی که یک کاربر ایمیل مذکور را باز می‌کند، اقدام به باز کردن فایل زیپ شده می‌کند و پس از خارج کردن آن از حالت زیپ، یک پیام برای او منتشر می‌شود که در او نوشته شده: «رایانه‌ی او آلوده شده است و فایل‌های او توسط CTB-Locker رمزگذاری شده‌اند.»
سپس به کاربر گفته می‌شود ظرف ۹۶ ساعت آینده مقدار مشخصی پول پرداخت کند تا فایل‌هایش از حالت رمزگذاری شده خارج شوند و در غیر این صورت تمام فایل‌ها پاک می‌شوند.

باج افزارها چقدر درآمد دارند؟
به گزارش سیمانتک، در پی مطالعات انجام شده به وسیله این شرکت بر روی ۱۶ گونه متفاوت از باج‌افزارهایی که هرکدام مستقلاً توسط یک گروه خاص طراحی شده بودند، مشخص شد که مجرمین سایبری سالانه تنها از طریق یکی از این باج افزارها که "Ransomlock Trojan " نام دارد می‌توانند سالانه ۵ میلیون دلار سودآوری مالی داشته باشند.
کارشناسان در طی دو سال تحقیق بر روی این باج‌افزارها دریافتند که آن‌ها اکثرا رایانه‌های شخصی را آلوده نموده و از کار می‌اندازند و حتی می‌توانند فایل‌های مخفی و مهم رایانه قربانی را نیز رمز گشایی کنند. اغلب این باج‌افزارها در بردارنده بدافزاری هستند که طی پیامی از قربانی می‌خواهد؛ مبلغ درخواست شده را به صورت آن‌لاین پرداخت کند تا رایانه او به حالت ابتدایی برگردانده شود.

در صورت ابتلا چه کنیم؟
چنانکه در بالا نیز ذکر شد توصیه‌های رسمی کار‌شناسان پلیس فتا مراجعه مستقیم به این مجموعه از طریق تلفن یا سایت پلیس فتا به آدرسCyberpolice.ir است و به صورت جدی توصیه می‌شود که از همکاری با این گونه افراد پرهیز گردد.
گفتنی است این احتمال به صورت جدی وجود دارد که در صورت همکاری با فرد خاطی و مجرم وی قربانی را طعمه خوبی برای مزاحمت‌های بعدی خود ببیند و ماجرا به یک پرداخت ساده ختم نگردد چنانکه چنین اتفاقاتی در مورد باج افزارهای فاقد گستره عمومی مشاهده شده و قابل تکرار می‌باشد.