پایگاه اطلاع رسانی پلیس فتا: نرم افزار گروگانگیری عموماً با اجرای ناخواسته برنامه مخرب توسط قربانی آغاز میشود. سپس این نرمافزارها که نرمافزار گروگانگیر خوانده میشوند، هارددرایو کامپیوتر را رمزگذاری و به قربانی پیشنهاد میکنند که در ازای پرداخت مبلغی اندک کلید رمزگذاری را خریداری کند.
طی چند ماه گذشته، متخصصان امنیت با شماری از گروههایی که از این تاکتیک استفاده میکنند وارد بازی موش و گربه شدهاند. نسخههای جدید این نوع بدافزارها که کاربران کامپیوترها را در اتریش، هلند، انگلستان، فرانسه، آلمان و سوییس هدف قرار دادهاند، از همین روش برای قفل کردن کامپیوترها استفاده میکنند: اجرای برنامههای کوچک که در استارتآپ سیستم بارگذاری میشود و کاربر را وادار میکند تا پیش از ورود به سیستم کدی را وارد کند.
برای بازداشتن قربانیان از مراجعه به مسوولان، نرمافزار مذکور اعلام میکند که کامپیوتر را به دلیل نقض قوانین کپیرایت یا – در نسخههای اولیه نرمافزار گروگانگیر- بر اساس قوانین ضد تروریسم و هرزهنگاری قفل کرده است.
نرمافزار گروگانگیر عموماً تهدیدی مهم تلقی نمیشود بلکه صرفاً آن را اتفاقی نامتعارف میدانند. اما افزایش وقوع آن در چند وقت اخیر ممکن است نشانه موفقیت نسبی مجرمان در کاربرد آن باشد.
یکی از مدیران ابیوس.سیاچ (Abuse.ch)، وبسایت ردگیری باتنتها که مقر آن در سوییس است، در مصاحبهای مکتوب گفت: از نظر من، این شیوه بسیار متداول شده است. دلیلش را نمیدانم اما شاید دلیل آن دشوار نبودن نوشتن برنامه نرمافزار گروگانگیر باشد - تلاشی اندک اما بسیار مؤثر.
بر اساس اطلاعات وبسایت سازمان فناوری اطلاعات کشور، وبسایت ابیوس.سیاچ که به دلیل ردگیری باتنتهای مهمی چون زئوس (Zeus) و اسپایآی(SpyEye) معروف شده است، در نوشتهای خاطرنشان کرد که آلودگی مذکور به شیوهای متداول، یعنی استفاده از کیت بلکهول (Blackhole) منتشر میشود.
مجرمان سایبری با استفاده از این ابزار میتوانند وبسایتهایی ایجاد کنند که از نقاط ضعف نرمافزاری موجود در سیستمهای بازدیدکنندگان بهرهبرداری و بدافزارها را نصب میکنند.
نرمافزار گروگانگیر به محض نصب شدن مکان جغرافیایی قربانی را شناسایی و هشداری متناسب با کشور مربوطه ارسال میکند. در این هشدار از کاربر خواسته میشود که برای باز کردن قفل سیستم هزینهای بپردازد. در تحلیل مذکور آمده است که نکته عجیب فرایند مذکور این است که پیش از آن که بدافزار مکان قربانی را شناسایی کند، همه هشدارها به آلمانی نوشته میشوند.
این حملات چنان افزایش یافتهاند که گروه واکنش اضطراری کامپیوتر لهستان (CERT Polska) رهنمودی منتشر کرد که در آن دو راهکار برای باز کردن قفل کامپیوتر آلوده بدون پرداخت پول به باجگیران ذکر شده بود. پیش از انتشار این رهنمود، CERT وسیلهای ابداع کرده بود که میشد به کمک آن کلیدهایی تقلبی برای باز کردن قفل سیستم به وجود آورد اما این ابزار در مورد نسخههای جدیدتر نرمافزار گروگانگیر کارایی نداشت.
در این رهنمود آمده است روشهایی که CERT اعلام کرده به کاربران کمک میکند تا بدافزار مذکور را از روی سیستم پاک کنند، حتی وقتی که بوت کردن سیستم ممکن نباشد.
بنا بر هشداری که CERT داده است، این بدافزار اغلب خود را به فهرست نرمافزارهای کاربردیای میافزاید که هنگام بالا آمدن سیستم شروع به کار میکنند. با این کار، وقتی کاربر هنگام راه افتادن سیستم آن را حذف میکند، بدافزار میتواند دستگاه را در نوبت دیگری آلوده سازد. تنها راه حل این است که جلوی این بدافزار از ابتدای راهاندازی سیستم گرفته شود.
در روشهای اعلام شده، از Safe Mode ویندوز برای راهاندازی دستگاه و حذف دستی بدافزار یا از یک سیدی بازیافت که یکی از سازندگان آنتیویروس ارائه کرده استفاده میشود.
بنا به گفته ابیوس.سیاچ، با وجود چنین راه حلهای سادهای احتمال نمیرود که این مجرمان بتوانند بابت کلید قفلهاشان 100 یورو دریافت کنند اما سادگی این نوع حملات ممکن است به افزایش آنها منجر شود.
