گسترش حملات باجافزاری در بین کاربران خانگی
مشاهدات صورت گرفته نشان میدهد که در بازه زمانی یکماهه اخیر، با رشد و گسترش باجافزارهایی مانند STOP/Djvu که کابران خانگی را مورد حمله قرار میدهند، شدت این حملات بیشتر شده است.
گزارشهای بهدستآمده از رخدادهای حملات باجافزاری اخیر، خبر از شیوع گسترده باجافزار STOP/Djvu در سطح کشور میدهد. باجافزار STOP برای اولین بار در اواخر سال ۲۰۱۷ میلادی مشاهده شد.
باجافزار Djvu نسخه جدیدتر آن است که از نظر عملکرد شبیه والد خود است و امروزه آنها را با نام STOP/Djvu میشناسند. این باجافزار برای رمزگذاری فایلها از الگوریتم AES-256 استفاده میکند و مبلغی بین ۲۰۰ تا ۶۰۰ دلار (به بیتکوین) را به عنوان باج از قربانی درخواست میکند.
باجافزار STOP/Djvu به محض اجرا در سیستم قربانی با سرور کنترل و فرمان (C&C) خود ارتباط میگیرد و فایلها را با کلید آنلاین رمزگذاری میکند. در صورتی که به هر دلیل موفق به برقراری ارتباط با سرور خود نشود، از روش آفلاین برای رمزگذاری فایلها استفاده میکند.
این باجافزار از روشهای متنوعی برای نفوذ و انتشار خود به سیستم قربانی استفاده میکند. پیوست هرزنامهها، کرکهای آلوده ویندوز و محصولات آفیس، درایورها و آپدیتهای جعلی و همچنین سوء استفاده از پروتکل RDP از روشهای انتشار این باجافزار است.
بررسیها نشان میدهد که از عمده دلایل آلوده شدن رایانههای خانگی به باجافزارها، کلیک روی لینکهای آلوده، دریافت فایلهای اجرایی مخرب، کرکها و نرمافزارهای فعالساز و همچنین ماکروهای آلوده موجود در فایلهای محصولات ادوبی و آفیس با پسوندهای ppt، doc و pdf هستند.
تاکنون تعداد محدودی از نسخههای آفلاین باجافزار STOP/Djvu تحت شرایط خاص قابل رمزگشایی بودند. اما اخیراً با توجه به اینکه توسعهدهندگان این باجافزار در نسخههای جدیدتر، شیوه خود را تغییر داده و از الگوریتم رمزنگاری نامتقارن استفاده کردهاند، از این پس، فایلهای رمزگذاریشده توسط باجافزار STOP/Djvu بدون کلید خصوصی توسعهدهنده باجافزار قابل رمزگشایی نخواهند بود.
برای جلوگیری از آلوده شدن رایانههای شخصی و کاربران خانگی و همچنین کاهش آسیبهای ناشی از حملات باجافزاری، مرکز ماهر توصیه کرده است که کاربران نسبت به تهیه نسخههای پشتیبان از اطلاعات ارزشمند و نگهداری به صورت غیر برخط اقدام کنند.
همچنین از باز کردن پیامهای مشکوک در محیطهای مختلف از جمله ایمیل، پیامرسانها و شبکههای اجتماعی پرهیز کنند، از دریافت فایلهای اجرایی از منابع ناشناس پرهیز به ویژه از دریافت کرک نرمافزارها خصوصاً فعالسازهای ویندوز و محصولات آفیس خودداری کنند.
همچنین لازم است کاربران از بهروز بودن سیستمعامل و محصولات ضدویروس اطمینان حاصل کنند. در بسیاری از موارد، ضدویروسها از تشخیص بههنگام باجافزارها ناتوان هستند. دلیل این موضوع گسترش کاربرد RaaS در بین باجافزارهای امروزی است. مفهوم RaaS یا «باجافزار به عنوان یک خدمت» زمانی به کار برده میشود که گروهی نسبت به تهیه بستر حمله یعنی فایلهای مخرب و بستر ارتباطی اقدام کرده و طیف گستردهای از مهاجمین عموماً با دانش پایینتر با در اختیار گرفتن انواع فایلهای جدید و سفارشیسازیشده که تا آن لحظه توسط هیچ ضدویروسی مشاهده نشده است، اقدام به حمله میکنند.
به علاوه کاربران باید همواره نسبت به علائم آلودگی باجافزار از قبیل تغییر پسوند فایلها، پیغام باجخواهی، کاهش محسوس سرعت سیستمعامل و … حساسیت داشته و در صورت مشاهده موارد مشکوک به آلودگی، قبل از هر اقدامی از خدمات مشاورهای مرکز ماهر در این زمینه استفاده کنند.