باج‌افزار دوستان

محافظت از دستگاه‌ها در برابر بدافزارها بیش از هر زمان دیگری اهمیت دارد، زیرا تهدیدات سایبری مدرن می‌توانند داده‌های ارزشمند را رمزگذاری کنند، عملیات تجاری را مختل کنند و اطلاعات حساس را افشا کنند. باج‌افزار، به ویژه، همچنان یکی از مخرب‌ترین اشکال بدافزار است زیرا رمزگذاری داده‌ها را با تاکتیک‌های اخاذی ترکیب می‌کند که برای تحت فشار قرار دادن قربانیان جهت پرداخت مبالغ هنگفت طراحی شده‌اند. یک نمونه قابل توجه، باج‌افزار Friends است، یک تهدید پیچیده که طیف گسترده‌ای از انواع فایل‌ها را هدف قرار می‌دهد و در عین حال از سرقت داده‌ها برای افزایش احتمال پرداخت استفاده می‌کند.

باج‌افزار Friends: یک تهدید سایبری با دو هدف اخاذی

باج‌افزار Friends یک برنامه مخرب است که توسط محققان امنیت سایبری کشف شده است. این باج‌افزار فایل‌ها را در سیستم‌های آسیب‌دیده رمزگذاری می‌کند و در ازای دریافت کلید رمزگشایی، درخواست باج می‌کند. فراتر از رمزگذاری فایل، اپراتورهای پشت این تهدید ادعا می‌کنند که قبل از قفل کردن داده‌های قربانیان، اطلاعات محرمانه آنها را می‌دزدند. این تاکتیک که معمولاً به عنوان اخاذی مضاعف شناخته می‌شود، به مهاجمان اجازه می‌دهد تا هم از دست دادن داده‌ها و هم افشای عمومی اطلاعات حساس را تهدید کنند.

باج‌افزار Friends پس از اجرا روی سیستم، انواع فایل‌های متعدد را اسکن کرده و آنها را رمزگذاری می‌کند. در طول این فرآیند، پسوند '.friends124' را به فایل‌های آسیب‌دیده اضافه می‌کند. به عنوان مثال، فایلی با نام '1.png' به '1.png.friends124' تبدیل می‌شود، در حالی که '2.pdf' به '2.pdf.friends124' تبدیل می‌شود. این پسوند به عنوان یک نشانگر واضح عمل می‌کند که فایل‌ها توسط بدافزار پردازش شده‌اند و دیگر از طریق روش‌های معمول قابل دسترسی نیستند.

فرآیند رمزگذاری و درخواست‌های باج

پس از تکمیل روال رمزگذاری، باج‌افزار فایلی با نام 'RANSOM_NOTE.html' ایجاد می‌کند که حاوی دستورالعمل‌هایی برای قربانی است. این یادداشت به کاربران اطلاع می‌دهد که فایل‌های آنها رمزگذاری شده است و اطلاعات تماس را برای شروع مذاکرات باج‌خواهی ارائه می‌دهد. به قربانیان دستور داده می‌شود تا از طریق آدرس‌های ایمیل 'recovery1@salamati.vip' و 'recovery1@amniyat.xyz' با مهاجمان ارتباط برقرار کنند. همچنین به یک روش تماس جایگزین از طریق شبکه Tor اشاره شده است.

در یادداشت باج‌خواهی ادعا شده است که اطلاعات محرمانه و شخصی جمع‌آوری و در یک سرور خصوصی تحت کنترل مهاجمان ذخیره شده است. طبق این پیام، در صورت امتناع قربانی از اجابت درخواست‌های باج، این اطلاعات منتشر یا به اشخاص ثالث فروخته خواهد شد. برای متقاعد کردن قربانیان مبنی بر امکان بازیابی فایل‌ها، مجرمان پیشنهاد رمزگشایی رایگان دو یا سه فایل غیرضروری را می‌دهند. در این یادداشت همچنین هشدار داده شده است که در صورت عدم برقراری ارتباط ظرف ۷۲ ساعت، مبلغ باج افزایش می‌یابد و به قربانیان توصیه می‌شود قبل از برقراری ارتباط، یک حساب کاربری ProtonMail ایجاد کنند.

چرا پرداخت باج یک تصمیم پرخطر است؟

قربانیان اغلب وقتی فایل‌های حیاتی‌شان غیرقابل دسترس می‌شود، پرداخت باج را در نظر می‌گیرند. با این حال، پرداخت باج به مجرمان سایبری تضمینی برای بازیابی موفقیت‌آمیز نیست. عملیات‌های باج‌افزاری متعددی بدون ارائه ابزارهای رمزگشایی کارآمد، مبالغی را جمع‌آوری کرده‌اند یا ابزارهایی را ارائه داده‌اند که نتوانسته‌اند تمام داده‌های آسیب‌دیده را بازیابی کنند.

حتی زمانی که مهاجمان ابزار رمزگشایی را ارائه می‌دهند، پرداخت وجه، فعالیت‌های مجرمانه را پشتیبانی می‌کند و حملات آینده علیه افراد و سازمان‌های دیگر را تشویق می‌کند. به همین دلایل، متخصصان امنیت سایبری به شدت از پرداخت باج خودداری می‌کنند. در بیشتر حوادث، فایل‌های رمزگذاری شده بدون کلید رمزگشایی مهاجمان قابل بازیابی نیستند، مگر اینکه باج‌افزار حاوی نقص‌های پیاده‌سازی قابل توجهی باشد که محققان می‌توانند از آن برای توسعه یک رمزگشای رایگان استفاده کنند.

بازیابی و واکنش به حادثه

اولویت فوری پس از آلودگی، حذف باج‌افزار Friends از سیستم آسیب‌دیده است. حذف بدافزار به جلوگیری از رمزگذاری فایل‌های اضافی کمک می‌کند و خطر فعالیت‌های مخرب بیشتر را کاهش می‌دهد. با این حال، حذف بدافزار به تنهایی داده‌های رمزگذاری شده قبلی را بازیابی نمی‌کند.

قابل اعتمادترین روش بازیابی شامل بازیابی فایل‌ها از نسخه‌های پشتیبان ایجاد شده قبل از وقوع آلودگی است. نسخه‌های پشتیبان باید جدا از سیستم اصلی ذخیره شوند تا در طول حمله دست نخورده باقی بمانند. اگر نسخه‌های پشتیبان به همان شبکه متصل باشند یا به طور مداوم در دسترس باشند، باج‌افزار ممکن است سعی کند آنها را نیز رمزگذاری کند و قربانیان را بدون گزینه بازیابی رها کند.

نحوه انتشار باج‌افزار Friends

مانند بسیاری از خانواده‌های باج‌افزار، باج‌افزار Friends برای دسترسی به قربانیان بالقوه به کانال‌های توزیع متعددی متکی است. ایمیل‌های فیشینگ همچنان از مؤثرترین روش‌های ارسال هستند. این پیام‌ها اغلب حاوی پیوست‌های مخرب یا لینک‌هایی هستند که هنگام باز شدن، دانلود بدافزار را آغاز می‌کنند. مهاجمان معمولاً از فایل‌های سند حاوی ماکروهای مخرب، بایگانی‌های فشرده، فایل‌های اجرایی، PDFها و کدهای مخرب مبتنی بر جاوا اسکریپت استفاده می‌کنند.

از دیگر عوامل آلودگی می‌توان به تروجان‌هایی که بی‌سروصدا باج‌افزار نصب می‌کنند، سازوکارهای به‌روزرسانی جعلی نرم‌افزار، تبلیغات مخرب، وب‌سایت‌های آلوده و دانلودهای به‌دست‌آمده از منابع غیرقابل اعتماد اشاره کرد. پورتال‌های نرم‌افزار رایگان، شبکه‌های اشتراک‌گذاری فایل نظیر به نظیر و سایر پلتفرم‌های توزیع غیررسمی اغلب میزبان فایل‌های مخربی هستند که در قالب نرم‌افزارهای قانونی پنهان شده‌اند. درایوهای USB آلوده نیز می‌توانند گسترش باج‌افزار بین سیستم‌ها را تسهیل کنند.

یک سناریوی آلودگی رایج شامل کرک‌های نرم‌افزاری و ابزارهای فعال‌سازی غیرقانونی است. مجرمان سایبری اغلب بدافزارها را به عنوان جایگزین‌های رایگان برای نرم‌افزارهای پولی جا می‌زنند و از کاربرانی که مایل به دور زدن کانال‌های توزیع رسمی هستند، سوءاستفاده می‌کنند. پس از اجرا، این برنامه‌های به ظاهر بی‌ضرر می‌توانند بدون هشدار، باج‌افزار نصب کنند.

تقویت دفاع در برابر باج‌افزار

محافظت مؤثر در برابر باج‌افزار نیازمند یک استراتژی امنیتی لایه‌ای است که حفاظ‌های فنی را با رفتار ایمن کاربر ترکیب کند. سازمان‌ها و افراد باید نرم‌افزارهای امنیتی معتبری را نگهداری کنند، اطمینان حاصل کنند که سیستم‌عامل‌ها و برنامه‌ها به‌روزرسانی‌های منظمی دریافت می‌کنند و ویژگی‌های غیرضروری را که ممکن است توسط مهاجمان مورد سوءاستفاده قرار گیرند، غیرفعال کنند. همیشه باید با پیوست‌های ایمیل و لینک‌های دریافتی از منابع ناشناخته یا غیرمنتظره با احتیاط رفتار کرد، حتی زمانی که به نظر مشروع می‌رسند.

پشتیبان‌گیری منظم از داده‌ها از جمله مهم‌ترین اقدامات دفاعی است. نگهداری چندین نسخه پشتیبان در مکان‌های جداگانه، مانند درایوهای خارجی آفلاین و راه‌حل‌های ذخیره‌سازی امن از راه دور، به طور قابل توجهی احتمال بازیابی پس از حمله را بهبود می‌بخشد. آزمایش پشتیبان‌گیری نیز باید به صورت دوره‌ای انجام شود تا تأیید شود که داده‌ها در صورت نیاز می‌توانند با موفقیت بازیابی شوند.

شیوه‌های کلیدی امنیتی عبارتند از:

• سیستم‌عامل‌ها، مرورگرها و برنامه‌ها را با آخرین وصله‌های امنیتی به‌طور کامل به‌روزرسانی کنید.
• از نرم‌افزارهای معتبر محافظت از نقاط پایانی با قابلیت‌های تشخیص تهدید در لحظه استفاده کنید.
• چندین نسخه پشتیبان، از جمله حداقل یک نسخه آفلاین یا جداگانه، نگهداری کنید.
• از باز کردن پیوست‌های ایمیل‌های ناشناس یا کلیک روی لینک‌های مشکوک خودداری کنید.
• نرم‌افزارها را فقط از منابع رسمی و معتبر دانلود کنید.
• از استفاده از نرم‌افزارهای کرک‌شده، نرم‌افزارهای دارای کرک یا ابزارهای فعال‌سازی غیرمجاز خودداری کنید.
• هر زمان که ممکن است، امتیازات مدیریتی را محدود کنید.
• کاربران را در مورد تاکتیک‌های فیشینگ و حملات مهندسی اجتماعی آموزش دهید.

ارزیابی نهایی

باج‌افزار Friends یک تهدید جدی امنیت سایبری است که رمزگذاری فایل‌ها را با سرقت داده‌ها و اخاذی ترکیب می‌کند. اپراتورهای آن با افزودن پسوند «.friends124» به فایل‌ها، ارسال یادداشت باج‌خواهی با عنوان «RANSOM_NOTE.html» و تهدید به افشای اطلاعات سرقت‌شده، تلاش می‌کنند تا فشار بر قربانیان را به حداکثر برسانند. در حالی که گزینه‌های بازیابی اغلب بدون پشتیبان‌گیری‌های قابل اعتماد محدود هستند، اقدامات قوی امنیت سایبری، پشتیبان‌گیری منظم، به‌روزرسانی‌های به‌موقع نرم‌افزار و رفتار محتاطانه آنلاین می‌تواند احتمال حمله موفقیت‌آمیز باج‌افزار را به میزان قابل توجهی کاهش دهد و در صورت بروز آلودگی، تأثیر آن را به حداقل برساند.