کلید متقارن به طور تصادفی تولید می شود و به دیگر قربانیان کمک نمی کند. در هیچ مرحله ای کلید خصوصی مهاجم در معرض دید قربانیان قرار نمی گیرد و قربانی فقط باید یک متن رمز بسیار کوچک (کلید رمزگذاری شده متقارن رمزگذاری شده) را برای مهاجم ارسال کند.
حملات Ransomware معمولاً با استفاده از Trojan ، ورود به سیستم از طریق پیوست مخرب ، بد افزار ، پیوند تعبیه شده در یک ایمیل فیشینگ یا آسیب پذیری در سرویس شبکه انجام می شود. این برنامه سپس محموله ای را اجرا می کند که سیستم را به نوعی قفل می کند یا ادعا می کند سیستم را قفل می کند اما این کار را نمی کند (به عنوان مثال ، یک برنامه مخرب ). محموله ها ممکن است هشدار جعلی را ادعا کنند که ادعایی از سوی نهادی مانند یک سازمان اجرای قانون وجود دارد و به دروغ ادعا می کند که این سیستم برای فعالیت های غیرقانونی استفاده شده و مسدود شده است .
برخی از پیلود ها به سادگی با طراحی یک برنامه برای قفل کردن یا محدود کردن سیستم تا زمان پرداخت استفاده می کند ، به طور معمول با تنظیم Windows Shell ، یا حتی اصلاح رکورد اصلی بوت و / یا جدول پارتیشن برای جلوگیری از بوت شدن سیستم عامل تا زمان ترمیم. پیچیده ترین محموله های فایل ها را رمزگذاری می کنند ، بسیاری از آنها از رمزگذاری قوی برای رمزگذاری پرونده های قربانی استفاده می کنند به گونه ای که فقط نویسنده بدافزار کلید رمزگشایی مورد نیاز را دارد. و به راحتی قابل بازگشایی نیست .

پرداخت عملاً همیشه هدف است و قربانی مجبور به پرداخت هزینه برای باج افزار می شود تا یا با تهیه برنامه ای که می تواند پرونده ها را رمزگشایی کند یا با ارسال کد باز کردن قفل که بارهای مورد نظر را لغو کند. در حالی که مهاجم ممکن است به راحتی پول را بدون بازگرداندن پرونده های قربانی بگیرد ، انجام رمزگشایی طبق توافق به نفع مهاجم است ، زیرا اگر مشخص شود که هدف آنها قربانی نیست ، قربانیان پرداخت خود را متوقف می کنند. یک عنصر اصلی در کار باج افزار برای مهاجم ، یک سیستم پرداخت مناسب است که به سختی قابل ردیابی است. طیف وسیعی از این روشهای پرداخت استفاده شده است ، از جمله انتقال وجه ، پیامهای متنی با نرخ برتر ، خدمات کوپن پیش پرداخت مانند paysafecard ، و ارز رمز پایه بیت کوین میباشد .

در ماه مه سال 2020 ، شرکت Sophos گزارش داد كه متوسط هزینه جهانی برای جبران یك حمله باج افزار (با در نظر گرفتن زمان خرابی ، زمان افراد ، هزینه دستگاه ، هزینه شبكه ، فرصت از دست رفته و مبلغ اخاذی پرداخت شده) 761106 دلار است. و تنها 95 درصد داده های قربانیانی که باج پرداخت کرده اند بازیابی شده است .

در ادامه به تعدادی از باج افزارهای موجود اشاره میکنیم و با یکدگیر آنها را آنالیز میکنیم هدف ما از این تحقیق نشان دادن راه حل هایی برای رفع این حملات و رمزگشایی برخی از این باج افزارها میباشد ، با ما همراه باشید .

ادامه دارد ...

رمزگذاری باج افزار

اولین حمله شناخته شده بد افزاری به واسطه اخاذی ، "AIDS Trojan" نام داشت که توسط جوزف پاپ در سال 1989 نوشته شده بود ، از نظر طراحی بسیار شکست خورده بود و پرداخت هزینه باجگیری به هیچ وجه ضروری نبود. محموله بارگیری شده آن فایل ها را بر روی هارد دیسک مخفی کرده و فقط نام آنها را رمزگذاری کرده و پیامی مبنی بر منقضی شدن مجوز کاربر برای استفاده از یک نرم افزار خاص را نمایش می دهد. از کاربر خواسته میشد که 189 دلار به "PC Cyborg Corporation" بپردازد تا بتواند یک ابزار تعمیر را بدست آورد تا کلید رمزگشایی از کد Trojan استخراج شود. تروجان به "PC Cyborg" نیز معروف بود. Popp به دلیل اقدامات خود از نظر روانی محاکمه نشد ، اما قول داد که سود این بدافزار را برای تأمین بودجه تحقیقات ایدز اهدا کند .
ایده اصلی جمع اوری پول از طریق آلوده سازی سیستم ها و رمزگذاری بر روی فایل به واسطه باج افزار در سال 1992 توسط سباستیاان فون سولمز و دیوید ناکا ارائه شد

مفهوم استفاده از رمزنگاری کلید عمومی برای حملات آدم ربایی در سال 1996 توسط Adam L. Young و Moti Yung مطرح شد. یانگ و یونگ نتوانستند Trojan Information AIDS را که فقط به رمزنگاری متقارن متکی بود ، مورد انتقاد قرار دهند ، این نقص مهلک این است که می توان کلید رمزگشایی را از Trojan استخراج کرد ، و یک رمزگذاری ویروسی مفهوم آزمایشی را در Macintosh SE / 30 که از رمز نگاری RSA استفاده می کرد ، پیاده سازی کرد. و الگوریتم رمزگذاری کوچک (TEA) برای رمزگذاری ترکیبی داده های قربانی پدید آمد . از آنجا که در این نوع رمزنگاری کلید عمومی استفاده می شود ، ویروس فقط حاوی کلید رمزگذاری است. مهاجم کلید رمزگشایی خصوصی مربوطه را خصوصی نگه می دارد.
رمزنگاری آزمایشی اصلی یانگ و یونگ باعث شد قربانی متن رمز نامتقارن را به مهاجمی که آن را رمزگشایی می کند بفرستد و کلید رمزگشایی متقارن موجود در آن را با پرداخت هزینه به قربانی بازگرداند. یونگ و یونگ مدتها قبل از وجود پول الکترونیکی پیشنهاد كردند كه پول الكترونیكی از طریق رمزگذاری نیز قابل اخاذی باشد و اظهار داشت كه "نویسنده ویروس می تواند به طور موثر تمام مبلغ اخاذی را تا زمانی كه نیمی از آن به وی داده شود نگه دارد. آنها از این حملات به عنوان "اخاذی رمزنگاری" یاد کردند ، حمله ای آشکار که بخشی از یک کلاس بزرگتر از حملات در زمینه ای به نام کریپتوویرولوژی است ، که حملات آشکار و پنهانی را در بر می گیرد. پروتکل اخاذی رمزنگاری از رابطه انگلی بین چهره R.H.Giger و چهره میزبان آن در فیلم Alien الهام گرفته شده است.

نمونه هایی از باج افزارهای اخاذی در ماه may 2005 شناسایی شد. در اواسط سال 2006 ، تروجان هایی مانند Gpcode ، TROJ.RANSOM.A ، Archiveus ، Krotten ، Cryzip و MayArchive شروع به استفاده از طرح های رمزنگاری پیچیده تر از نوع RSA با اندازه های کلیدی در حال افزایش کردند. Gpcode.AG ، که در ژوئن 2006 شناسایی شد ، با یک کلید عمومی 660 بیتی RSA رمزگذاری شده است. در ژوئن 2008 ، گونه ای معروف به Gpcode.AK شناسایی شد. با استفاده از یک کلید RSA 1024 بیتی ، اعتقاد بر این بود که آنقدر بزرگ است که شکستن بدون تلاش برنامه نویس و توزیع کننده از نظر محاسباتی غیرممکن است.

باج افزار رمزگذاری شده در اواخر سال 2013 با انتشار CryptoLocker - با استفاده از پلت فرم ارز دیجیتال بیت کوین برای جمع آوری پول باج ، شناسایی شد. در دسامبر 2013 ، ZDNet بر اساس اطلاعات معاملات بیت کوین تخمین زد که بین 15 اکتبر و 18 دسامبر ، اپراتورهای CryptoLocker حدود 27 میلیون دلار از کاربران آلوده اخاذی کرده اند. تکنیک CryptoLocker در ماه های بعد به طور گسترده ای کپی شد ، از جمله CryptoLocker 2.0 (تصور می شود مربوط به CryptoLocker نیست) ، CryptoDefense (که در ابتدا حاوی یک نقص مهم در طراحی بود که کلید خصوصی را در سیستم آلوده در یک مکان قابل بازیابی توسط کاربر ذخیره می کرد ، در ژانویه 2015 ، گزارش شد که حملات باج افزار علیه وب سایتهای شخصی از طریق هک کردن و از طریق باج افزارهایی که برای هدف قرار دادن سرورهای وب مبتنی بر لینوکس طراحی شده اند ، رخ داده است.

در برخی از حمله ها ، یک payload دو مرحله ای وجود دارد که در بسیاری از سیستم های مخرب رایج است. کاربر با اجرای یک اسکریپت فریب می خورد که ویروس اصلی را بارگیری کرده و آن را اجرا می کند. در نسخه های اولیه سیستم دو بار ، این اسکریپت را در یک فایل Microsoft Office با VBScript پیوست شده یا در یک فایل WindowsScript (WSF) موجود بود. همزمان با شروع انسداد سیستم های شناسایی برای بارگیری مرحله اول ، مرکز حفاظت از بدافزار مایکروسافت گرایش به سمت فایل های LNK با اسکریپت های Microsoft Windows PowerShell را شناسایی کرد. در سال 2016 ، مشخص شد که PowerShell در تقریباً 40٪ از حوادث امنیتی نقطه پایانی درگیر است.

برخی از باج افزارها از پروکسی های متصل به سرویس های مخفی Tor برای اتصال به سرورهای کنترل خود استفاده کرده اند و این امر دشواری بسیاری برای ردیابی محل دقیق مجرمان را افزایش می دهد. علاوه بر این ، فروشندگان DarkWEB به طور فزاینده ای شروع به ارائه این فناوری به عنوان یک سرویس می کنند. (و در آمد هنگفتی از همین طریق به دست می آورند)

Symantec باج افزار را به عنوان خطرناکترین تهدید سایبری طبقه بندی کرده است.

ادامه دارد ....