کمیته رکن چهارم – فناوری بعنوان آخرین خط دفاعی در برابر باج افزارها عمل می کند. Ransomware Vaccine سبب می شود اگر به هر دلیل نرم افزار امنیتی نصب شده بر روی دستگاه موفق به شناسایی باج افزار نشود، بر اساس رفتارهای رایج باج افزارها و همینطور بهره جویی از آسیب پذیری های موجود در این نوع بدافزارها به آن اجازه رمزنگاری فایل های کاربر را ندهد.
به گزارش کمیته رکن چهارم،در سال ۲۰۱۵ میلادی، باج افزارها در مجموع ۳۵۰ میلیون دلار به کاربران و سازمان ها خسارت وارد کردند.
باج افزار یا Ransomware گونه ای بدافزار است که از راه های مختلف دسترسی به فایل های کاربر را محدود ساخته و برای دسترسی مجدد، از او درخواست باج می کند. بطور کلی این نوع بدافزارها را می توان به دو گروه زیر تقسیم بندی کرد:
قفل کننده دستگاه: این نوع باج افزارها دستگاه را با نمایش تصویری تمام صفحه بنحوی که کاربر قادر به انجام هیچ کاری نباشد قفل می کنند. در تصویر نمایش داده شده معمولاً اینطور القاء می شود که بر اثر فعالیت های غیر قانونی کاربر، دستگاه او توسط نهادهای قانونی مسدود شده و کاربر می بایست جریمه ای را پرداخت کند.
باج افزار – قفل کننده صفحه نمایش
رمزنگار (Crypto-Ransomware): این نوع باج افزارها از طریق رمزنگاری اقدام به محدودسازی دسترسی کاربر به فایل ها می کنند. بر اساس آمار، تعداد این باج افزارها بشدت در حال افزایش است. در این نوع محدودسازی، هدف از رمز کردن، تغییر ساختار فایل است؛ به نحوی که تنها با داشتن کلید رمزگشایی بتوان به محتوای فایل دسترسی پیدا کرد. پیچیدگی و قدرت این کلیدها بر اساس تعداد بیت بکاررفته در ساخت کلید است. هر چه تعداد این بیت ها بیشتر باشد شانس یافتن آن هم دشوارتر و در تعداد بیت بالا عملاً غیرممکن می شود. متأسفانه در سال های اخیر تعداد قابل توجهی از سیستم های سازمان ها و شرکت های ایرانی نیز هدف این نوع باج افزارها قرار گرفته اند.
باج افزار رمز کننده فایل
به گزارش شرکت مهندسی شبکه گستر به نقل از Bitdefender Antispam Lab، در سه ماهه نخست سال ۲۰۱۶ تعداد هرزنامه های حاوی پیوست، ۵۰ درصد افزایش داشته که یکی از دلایل این افزایش، استفاده نویسندگان باج افزارهای رمرنگاری نظیر Locky و Petya از هرزنامه ها برای انتشار فایل های مخرب خود بوده است. باج افزار Locky تنها در عرض چند ساعت موفق به آلوده کردن ۴۰۰ هزار دستگاه شد.
هر چند دستگاه های با سیستم عامل Windows، اصلی ترین هدف نویسندگان باج افزارها محسوب می شوند اما این به معنای در امان بودن سیستم های عامل Android،وLinux و حتی Mac OS از گزند این نوع بدافزارها نیست.
برای نمونه بنظر می رسد سیستم عامل Android کاندیدای نسل جدید باج افزارهای موبایلی است. به گزارش شرکت مهندسی شبکه گستر، بر اساس آمار شرکت Gartner، این سیستم عامل بیش از ۸۵ درصد از بازار سیستم های عامل گوشی های هوشمند را در اختیار دارد.
بر طبق آمار Bitdefender باج افزار Android SLocker در سه ماهه سوم سال ۲۰۱۵ میلادی ۴٫۳۵ درصد و در سه ماهه چهارم همان سال،و۳٫۰۸ درصد کل آلودگی های موبایلی را به خود اختصاص داده بود.
سیستم عامل Linux و سرورهای وب مبتنی بر این سیستم عامل نیز از شر باج افزارها در امان نبوده اند. موفقیت در نفوذ در هر یک از این سرورها راه را برای آلوده نمودن دستگاه های بیشتر و در نتیجه افزایش سود ناشی از اخاذی باز می کند.
Bitdefender اولین شرکتی بوده که با شناسایی ضعف امنیتی در باج افزاری تحت سیستم عامل Linux ابزار رمزگشایی آن را به رایگان در اختیار قربانیان قرار داد.
در دسامبر ۲۰۱۵ شرکت Bitdefender در خصوص ظهور باج افزارهای تحت سیستم عامل Mac OS در سال ۲۰۱۶ هشدار داد. سه ماه پس از آن گروهی از محققان شرکت Palo Alto Network، باج افزار KeRanger را که خود را در کلاینت های رایج نرم افزار BitTorrent در سیستم عامل Mac OS تزریق می کرد شناسایی کردند.
راهکارهای دفاعی Bitdefender از سازمان ها در برابر باج افزارها
در تمامی راهکارهای سازمانی Bitdefender موسوم به GravityZone، سیستم ها از طریق سه فناوری مستقل در برابر باج افزارها حفاظت می شوند. این سه در کنار یکدیگر یکی از قدرتمندترین سپرهای حفاظتی را در مقابل باج افزارها تشکیل داده اند.
فناوری شناسایی بر اساس امضاء
در این فناوری شناسایی از طریق فرمول شناسایی بر اساس امضاء صورت می پذیرد. اما بسیاری از گونه های باج افزارها چندریختی (Polymorphic) هستند. بدان معنا که درهم ساز (Hash) هر نمونه با نمونه دیگر آن باج افزار متفاوت است. فناوری شناسایی بر اساس امضاء شرکت Bitdefender توانایی هایی فراتر از شناسایی محدود هر امضاء را دارد. برخی از این توانایی ها عبارتند از:
مسدود نمودن باج افزارهای شناسایی شده
مسدود نمودن گونه های جدید از خانواده باج افزارهای شناسایی شده
مسدود نمودن باج افزارهای با رفتار مشابه با خانواده باج افزارهای شناسایی شده
مسدود نمودن دانلودکنندگان (Dropper) باج افزار
فناوری شناسایی بر اساس رفتار
محصولات شرکت Bitdefender همواره یکی از پیشروترین نرم افزارها در شناسایی خودکار بدافزار ناشناخته بوده اند. برای مثال در آزمون سال ۲۰۱۵ مؤسسه AV-Comparatives، این شرکت موفق شد ۹۹ درصد بدافزارهای ناشناخته را بصورت خودکار شناسایی کند. این در حالی بود که نزدیک ترین رقیب این شرکت با اختلافی زیاد، ۹۳ درصد این بدافزارها را بصورت خودکار شناسایی کرد.
مقایسه ضدویروس ها
بخش رفتارشناسی Bitdefender موسوم به Active Threat Control بی نیاز از امضاء اقدامات زیر را در برابر باج افزارها انجام می دهد:
شناسایی باج افزارهای ناشناخته
تحلیل رفتارهای پیچیده باج افزارهای پیشرفته و واکنش به آنها
حفاظت در برابر باج افزارهایی که دارای پروسه هایی با امضای دیجیتال هستند. استفاده از امضای دیجیتال یکی از روش های مورد استفاده ویروس نویسان حرفه ای برای فرار از سد نرم افزارهای ضدویروس است.
فناوری جدید Ransomware Vaccine
این قابلیت جدید روز سه شنبه ۱۳ مهرماه به تمامی بسته های راهکار سازمانی Bitdefender GravityZone افزوده شد.
این فناوری بعنوان آخرین خط دفاعی در برابر باج افزارها عمل می کند. Ransomware Vaccine سبب می شود اگر به هر دلیل نرم افزار امنیتی نصب شده بر روی دستگاه موفق به شناسایی باج افزار نشود، بر اساس رفتارهای رایج باج افزارها و همینطور بهره جویی از آسیب پذیری های موجود در این نوع بدافزارها به آن اجازه رمزنگاری فایل های کاربر را ندهد.
کاربران سایر نرم افزارهای امنیتی نیز می توانند از Ransomware Vaccine به رایگان استفاده کنند.
علاوه بر Ransomware Vaccine، آخرین نسخه GravityZone حاوی قابلیت های زیر نیز می باشد:
یکپارچگی با VMware NSX
فناوری ضد بهره جو (Anti-Exploit) به منظور شناسایی بهره جو های پیشرفته و روز صفر (Zero-day)؛ همچنین این فناوری قادر به شناسایی و مسدود نمودن بهره جوهایی است که از ضعف های امنیتی شناسایی شده از آگوست ۲۰۱۵ در نرم افزار Flash سوءاستفاده می کنند.
قابلیت جدید Report Builder که به استفاده کنندگان از نسخه Enterprise راهکار GravityZone امکان ایجاد گزارش های سفارشی از وضعیت امنیتی سیستم ها و حملات اجرا شده را می دهد.
تعیین اولویت اعمال به روز رسانی ها بر اساس میزان حساسیت ایستگاه کاری یا سرور
مشترکین Bitdefender GravityZone می توانند با مراجعه به بخش Update در کنسول مدیریتی Control Center آخرین نسخه این راهکار را دریافت کنند.
منبع:Bitdefender