رها واعظی: ویروس‌های باجگیر یا Ransomware به ویروس هایی گفته می‌شود، که با نفوذ به سیستم قربانی و با جست و جو در اطلاعات سیستم، فایل‌ها را توسط کدهای رمزی مانند AES، رمزگذاری و سپس با ایجاد پیغام بر روی صفحه نمایش قربانی، از او درخواست مبلغی پول می‌کنند.

پولی که این ویروس از قربانی درخواست می‌کند، واحد پول اینترنتی یا همان Bitcoin است و قابلیت ردگیری ندارد. به عنوان نمونه، این ویروس با نمایش پیغامی برای کاربر از وی می‌خواهد تا مبلغ ۳۰۰ دلار را از طریق سیستم پولی «Bitcoin» پرداخت کند تا بتواند فایل‌های قفل شده‌اش را بازیابی نماید. در صورت توجه نکردن کاربر، این مبلغ بعد از گذشت پنج روز به دو برابر مقدار اولیه، یعنی ۶۰۰ دلار می‌رسد و بعد از گذشت ۱۰ روز به ۱۰۰۰ دلار آمریکا افزایش پیدا می‌کند!

 اروپایی‌ها بیشترین قربانیان

در ظاهر تاکنون تعدادی از سازمان‌ها که بیشتر آن‌ها در اروپا هستند، مورد حمله این باج‌افزار قرار گرفته‌اند. به عنوان مثال در یکی از بیمارستان‌های لندن که اخیراً مورد حمله ویروس‌های باجگیر قرار گرفت، سیستم‌ها از کار افتاد، همه نتایج آزمایش‌ها پرید، گروه‌های خونی ثبت شده، غیرقابل دسترسی شد و تمام عمل‌های جراحی ثبت شده در سیستم‌ها کنسل شد!

براساس گزارش‌های Symantec، تا کنون رمزگشای این باج‌افزار ایجاد نشده است و از همان لحظات نخست فعالیت این ویروس، بیش از ۷۴ کشوری که بیشتر آن‌ها در اروپا و آسیا واقع شده‌اند، مورد حمله قرار گرفتند.

این بدافزار در واقع از نوع نرم افزارهای تروجان بوده و به مجرمان اینترنتی امکان می‌دهد، که رایانه‌های آلوده به این ویروس را از راه دور قفل و دسترسی کاربران به اطلاعات ذخیره شده در سیستم‌ها را قطع کنند.

 چگونه به ویروس باج‌افزار آلوده می‌شویم؟

ایمیل‌ها یکی از اصلی‌ترین روش‌های انتشار باج‌افزار است؛ بنابراین باید مراقب ایمیل‌های اسپم و تبلیغاتی باشیم، بویژه ایمیل‌هایی که ضمیمه آن‌ها فایل‌های مایکروسافتی هستند.

این باج افزار از آسیب پذیری ویندوزی استفاده واقدام به آلوده کردن سیستم‌ها می‌کند، سیستم آلوده نیز سیستم‌های متصل به شبکه را آلوده می‌کند و همین طور این فرایند ادامه خواهد داشت.

این ویروس از روی میزان کار شما با فایل‌ها به میزان اهمیت آن‌ها پی می‌برد. باجگیر در درجه اول فایل‌هایی که بیشتر با آن سر و کار دارید را رمزنگاری می‌کند، تغییر فرمت می‌دهد و بی‌استفاده می‌کند و در تمام درایوها نیز نفوذ می‌کند.

 با باجگیر مقابله کنیم!

پیش‌گیری اولیه در برابر نفوذ، تنها راه چاره ما برای مقابله با سیستم هایی است که ممکن است به ویروس‌های باجگیر آلوده شوند؛ زیرا به محض ورود می‌توانند فعالیت تخریبی خود را آغاز کنند و این زمانی است که دیگر کار از کار گذشته است.

با وجود آنکه ویروس باجگیر فایل‌های همه درایوها را رمزنگاری می‌کند، اما خودش فقط در درایو C می‌نشیند و با فرمت درایو c (درایوی که ویندوز شما در آن نصب است) به نمایش در می‌آید. این ویروس تنها در صورتی از بین می‌رود که ویندوز خود را فرمت کنیم.

همچنین برای جلوگیری از آلوده شدن به باجگیر، با به روز رسانی سیستم عامل و دیفندر آن می‌توان از ابتلای سیستم جلوگیری به عمل آورد. روش دیگر برای جلوگیری از این ویروس باج افزار، بستن Port ۴۴۵ می‌باشد. به علاوه می‌توان برای بستن پورت‌های ۴۴۵ و ۱۳۹ مربوط به پروتکل SMB بر روی فایروال ویندوز اقدام کرد.

بازگرداندن فایل‌های آلوده

متأسفانه ماهیت عملیاتی Ransomwareها طوری است که پس آلوده کردن سیستم و رمزگذاری فایل‌ها، امکان بازیابی یا نجات فایل‌های کدگذاری شده را نیز از بین می‌برد. هر چند که برخی از انواع ویروس، در صورت پرداخت اینترنتی پول درخواستی توسط کاربر، کلید رمزگشایی را در اختیار وی قرارداده و به او کمک می‌کنند تا فایل‌های قفل شده خود را بازیابی کند، اما در هرحال و به احتمال بالاتری، فایل‌های رمز گذاری شده، قابل بازیافت نخواهند بود.

البته تا کنون دو ابزار رایگان (TeslaDecrypt) و (TeslaDecoder) برای رمزگشایی فایل‌های آسیب دیده، پیشنهاد شده است که قادرند فایل‌های رمزگذاری شده را رمزگشایی کنند. یکی از این برنامه‌ها که (TeslaDecrypt) نام دارد متعلق به شرکت سیسکو می‌باشد و تنها قادر است فایل‌های ECC را رمزگشایی کند. اما برنامه نسبتاً جدید دیگری با نام (TeslaDecoder) قادر است تمامی پسوندها را رمزگشایی کند. باید توجه داشت که این برنامه‌ها در حالت بتا قرار دارند و ممکن است نتوانند فایل‌ها را بدرستی رمزگشایی کنند، پس در حال حاضر پیشگیری سیستم‌های رایانه‌ای در برابر باجگیر بهتر از درمان آن‌ها است.