بحث و بررسی روش های مقابله با جرایم سایبری مبتنی بر باج افزار
بررسی روش مقابله با باج افزار
جامعه بسیار مدرن امروزی در حال تغییر به یک جامعه اطلاعاتی بزرگ است. در زمان قدیم کاربران جهت دریافت و انتقال اطلاعات شخصی خود از ابزارهای ذخیره سازی سنتی همچون هارد دیسک و هارد اکسترنال و … بهره می بردند لیکن امروزه محیط های پردازشی و فضای شبکه و همچنین تکنولوژی های ذخیره سازی remote مانند هارد درایو تحت وب و سرویس های مبتنی بر ابر، در حال خدمت رسانی به میلیون کاربر در سراسر جهان است. این تکنولوژی امکان پردازش دیتای بزرگی را فراهم کرده است.
فضاي مجازي با وجود مزاياي فراوانش، به دليل ويژگي هايي مانند امکان تحصيل هويت هاي گوناگون، گمنامي و سهولت انجام اعمال مختلف، موجب مهاجرت بسياري از جرايم به آن شده است و مسوليت ناجا را که متولي برقراري نظم و امنيت است، دشوار مي سازد. هدف اصلي اين مقاله، تبيين شيوه هاي ارتکاب جرايم سايبري و نحوه پيشگيري از آن است. اين تحقيق از نظر نوع و هدف، کاربردي و از نظر روش هاي کمي گردآوري داده ها توصيفي- پيمايشي است.
نتايج اين پژوهش نشان مي دهد که شيوه هاي مبتني بر فناوري اطلاعات شامل رديابي هويت مجازي مهاجمان، گشت فضاي مجازي و کنترل و نظارت بر فضاي مجازي، جمع آوري ادله الکترونيکي جرم و مستند سازي صحنه جرم در پيشگيري از جرايم سايبر تاثير دارد.
مقابله با باج افزارها
مهمترین المان در برخورد با big data اطمینان از حفظ دیتا بدون هیچ گونه تغییر در آن است، لیکن اطمینان از صحت اطلاعات با توجه به انواع حملات ناشی از جعل اطلاعات که نمونه واضحی از حملات سایبری است، مساله ای چالش برانگیز خواهد بود. امروزه حملات سایبری به ابزاری جهت انتقام جویی، اخاذی و جنگ های سایبری تبدیل شده است، بنابراین جرایم سایبری به نوعی سرویس crime as a service) CaaS) تبدیل شده است. یکی از مهمترین نمونه های این نوع از تهدیدات در فوریه سال ۲۰۱۶ در مرکز مراقبت های پزشکی Hollywood Presbyterian اتفاق افتاد، که در این حمله اطلاعات پزشکی بیماران توسط باج افزار رمزنگاری شده و غیر قابل استفاده شدند. بنابراین با توجه اهمیت موضوع در این مقاله به بررسی تکنیک های مقابله با جرایم سایبری مبتنی بر باج افزار پرداخته شده است.
بررسی باج افزار
باج افزار نوعی Trojan horse است که پس از نفوذ به سیستم فایل ها و منابع، سیستم قربانی را رمزنگاری می کند. اغلب هدف از حملات باج افزارها، مسائل مالی است، عناصر پرداخت با توجه به پیچیدگی بدافزار و ضرورت بازیابی سریع اطلاعات، تعیین می شود. تسلط بر داده و روش پرداخت دو عامل مهم در حملات باج افزارها محسوب می شود. از منظر شیوه های پرداخت، حملات در گروه های پرداخت آنلاین، irregular funding و خریدهای آنلاین قرار می گیرد. در گروه پرداخت های آنلاین، از طریق اکانت های آنلاین با استفاده از PayPal, E-Gold, Bitcoin , Webmoney صورت می گیرد. در گروه irregular funding کاربر مبالغ مالی غیر قانونی را از طریق یک سرویس یا کسب و کار قانونی انتقال می دهد.
شکل شماره ۱ سرعت رشد باج افزارها و میزان خسارت هر یک را در بازه های زمانی سه ماهه در سال های ۲۰۱۴ و ۲۰۱۵ نمایش می دهد:
با توجه به اینکه پس از نفوذ باج افزار خطر رمزنگاری فایل ها، قفل سیستم وجود دارد و کاربران، کلیدی جهت بازیابی اطلاعات خود ندارند، علاوه بر این کاربران و آنتی ویروس ها به سختی قادر به شناسایی حملات و فعالیت های باج افزارها هستند، از این رو مهاجمان به سادگی خود را پنهان می کنند و تضمینی جهت بازگشت اطلاعات پس از پرداخت وجود ندارد. این مشکلات مهمترین دلایل اتخاذ رویکرد قاطعانه در برخورد با باج افزارها است.
باج افزارها از حیث عملکرد به دو دستهnon-cryptographic ransomware) NCR) و CGR تقسیم می شوند. همان طور که در جدول شماره ۱ نمایش داده شده است، NCR برای محدودسازی تعامل میان کاربر و سیستم طراحی شده است و عمل رمزنگاری فایل ها را انجام نمی دهد. این روش ها شامل قفل صفحه و تغییر جدول پارتیشن MBR است، که در نتیجه این نوع حملات کاربر قادر به استفاده از سیستم خود نخواهد بود. CGR با استفاده از رمزنگاری داده ها دسترسی کاربر را به اطلاعات حیاتی محدود می کند. CGR در دستهprivate-key cryptosystem ransomware) PrCR) و public-key cryptosystem ransomware) PuCR)قرار می گیرد. همان گونه که در جدول شماره ۲ نشان داده است، PrCR از الگوریتم های مبتنی بر کلید خصوصی به منظور رمزنگاری دادهها استفاده می کند، در حالی که همانطور که در جدول شماره ۳ نمایش داده شده است، PuCR از الگوریتم های مبتنی بر کلید عمومی به منظور رمزنگاری بهره می گیرند.
جدول شماره ۱
| Description | Name |
| This ransomware emerged in 1989, and it is the first ransomware. This ransomware replaced the autoexec.bat file; when an infected system boots 90 times, the ransomware encrypts all of the file names of the root directory. | PC CYBORG/AIDS Trojan |
| This ransomware displays the warning message “Your files and the software will be restricted due to violation of the law,” allegedly from a law enforcement agency, to deceive the user and demands money. This ransomware contains the Pony module. | Reveton |
| This ransomware emerged in 2006, and it generates password-protected zip files based on a commercial zip library without the cryptographic operation. This ransomware is a dll file, so it attaches all running processes and stores original files in the zip files protected by password. | CryZip |
| This ransomware emerged in 2006; it demands funds for business not demanding fees from users. This ransomware generates password-protected compressed files without the cryptographic operation. | MayArchive |
| This ransomware is trying to impersonate anti-malware software, and it displays fake scanning results. Users want to clean them, so they pay money for cleaning | Fake AV |
| This ransomware contains malicious JavaScript code and locks the web browser with it. The locked web browser displays a warning massage containing a phone number, so users pay money to recover it. | FastBsod |
جدول شماره ۲
| Description | Name |
| This ransomware encrypts MS office files, document files, compressed files, video files, and picture files except system files and informs the users that their PCs are infected by generating txt or html file. After that, this ransomware displays the screen for payment. Nevertheless, it does not decrypt files even after money is paid, and an attacker demands more money. | CryptoLocker |
| This ransomware emerged in 2005, and there are a lot of variants. The first version contains only one cryptographic algorithm, but the last version contains the RSA algorithm, which is one of the public key cryptographic algorithms. | GPCoder |
| This ransomware is mobile ransomware, and it impersonates a normal app using iGO icon or flash player on the android platform. When the app is installed, it encrypts all of the files on the smart phone, and it demands money. In this process, the app steals the device information as IMEI; after that, it encrypts stored document files, image files, and video files based on a key as jddlasssadxc322323sfo74hr. Finally, the encrypted files are given an .enc extension, and the original files are erased. | SimpleLocker |
| This ransomware is known as RSA-2048 encryption, but it performs encryption based actually on AES-CBC. This ransomware encrypts files with specific extensions such as .doc, .ppt, .js, and .txt on the fixed drive. | TeslaCrypt |
| This ransomware emerged in 2013, and it encrypts the first 512 bytes of a file based on polyalphabetic substitution. | CryptorBit |
| This ransomware performs encryption based on private key-based cryptographic algorithm. Unlike the other private key-based encryption algorithms, however, it uses parts of files as a key instead of generating the key separately. | Trojan.Win32.Filecode |
جدول شماره ۳
| Description | Name |
| This ransomware emerged in March 2016, and it is the first ransomware targeting the OS X operating system. This ransomware generates a random number based on RSA, and a private key is stored in the attacker’s server. The AES key is used to combine a generated random number with IV, and it performs encryption based on the generated AES key. | KeRanger |
| This ransomware emerged in April 2014, and it propagates via spam mail, malicious Ads, infected sites, and so on. This ransomware generates a private key based on RSA-2048 and sends it to the server; after that, it encrypts files based on the generated private key. |
