کامل‌ترین راهنمای انواع باج افزارهای سال ۲۰۲۵ و روش مقابله با آن‌ها

راه‌های ارتباط با ما:

تعریف کوتاه باج‌افزار

باج‌افزار (Ransomware) نوعی بدافزار است که با رمزگذاری داده‌ها یا قفل کردن سیستم، دسترسی کاربران به اطلاعات یا دستگاه‌هایشان را مسدود می‌کند و در ازای بازگرداندن دسترسی، از قربانیان تقاضای باج می‌کند. این باج معمولاً به‌صورت ارزهای دیجیتال مانند بیت‌کوین درخواست می‌شود تا ردیابی مهاجمان دشوارتر شود.

چرا باید انواع باج افزار را بشناسیم؟

شناخت انواع باج‌افزار به افراد و سازمان‌ها کمک می‌کند تا با روش‌های نفوذ، رفتار و تکنیک‌های این بدافزارها آشنا شوند و اقدامات پیشگیرانه مؤثری را به کار گیرند. آگاهی از این تهدیدات، احتمال قربانی شدن را کاهش داده و به حفاظت از دارایی‌های دیجیتال کمک می‌کند.

رشد حملات در سال‌های اخیر

حملات باج‌افزاری در سال‌های اخیر رشد چشمگیری داشته‌اند. بر اساس گزارش‌های اخیر، در سال 2025، حملات باج‌افزاری نسبت به سال 2024 حدود 30 درصد افزایش یافته و میانگین باج درخواستی به بیش از 4 میلیون دلار رسیده است. این آمار نشان‌دهنده پیچیدگی فزاینده و هدفمند شدن حملات، به‌ویژه علیه سازمان‌های بزرگ و زیرساخت‌های حیاتی است.

دسته‌بندی کلی باج‌افزارها

باج‌افزار رمزنگار (Crypto Ransomware)

این نوع باج‌افزار فایل‌های حساس کاربر را با الگوریتم‌های رمزنگاری پیشرفته (مانند AES-256 یا RSA-2048) رمزگذاری می‌کند و بدون کلید رمزگشایی، دسترسی به آن‌ها غیرممکن است.

WannaCry: در سال 2017 با بهره‌گیری از آسیب‌پذیری ویندوز، بیش از 200,000 سیستم در 150 کشور را آلوده کرد.

CryptoLocker: از سال 2013 با رمزگذاری فایل‌ها و درخواست باج به‌صورت بیت‌کوین، یکی از پیشگامان این دسته بود.

باج‌افزار قفل‌کننده (Locker Ransomware)

تفاوت با رمزنگار: برخلاف رمزنگارها که فایل‌ها را هدف قرار می‌دهند، قفل‌کننده‌ها کل سیستم یا رابط کاربری را قفل می‌کنند و مانع دسترسی کاربر به دستگاه می‌شوند، بدون اینکه لزوماً داده‌ها را رمزگذاری کنند.

WinLocker: با نمایش پیامی جعلی (مثلاً اخطار پلیس) صفحه نمایش را قفل می‌کند و از کاربر درخواست باج می‌کند.

باج‌افزار افشاگر اطلاعات (Leakware/DoXware)

تهدید به انتشار اطلاعات: این نوع باج‌افزار علاوه بر رمزگذاری، داده‌های حساس را سرقت کرده و تهدید به انتشار آن‌ها در صورت عدم پرداخت باج می‌کند.

Maze: از سال 2019 با افشای داده‌های سرقت‌شده، فشار مضاعفی بر قربانیان وارد کرد.
REvil: در سال 2019 با سرقت و افشای اطلاعات سازمان‌ها، شهرت یافت.

باج‌افزار مبتنی بر سرویس (Ransomware as a Service)

ساختار کاری و درآمدی: در این مدل، توسعه‌دهندگان باج‌افزار ابزارها و زیرساخت‌های حمله را به‌عنوان سرویس ارائه می‌دهند و مهاجمان دیگر با پرداخت هزینه یا تقسیم سود (معمولاً 20-30%) از آن استفاده می‌کنند.

LockBit: از سال 2019 به‌عنوان RaaS عمل کرده و به دلیل سرعت و خودکارسازی، محبوبیت زیادی دارد.
BlackCat: از سال 2021 با تمرکز بر حملات هدفمند علیه شرکت‌های بزرگ شناخته می‌شود.

باج‌افزارهای موبایل و IoT

حملات به گوشی‌ها یا تجهیزات خانه‌های هوشمند: این باج‌افزارها دستگاه‌های موبایل یا اینترنت اشیا (IoT) مانند دوربین‌های هوشمند را هدف قرار می‌دهند و با قفل کردن یا رمزگذاری، دسترسی را محدود می‌کنند.

Simplocker: اولین باج‌افزار موبایلی که در سال 2014 دستگاه‌های اندرویدی را هدف قرار داد و فایل‌ها را رمزگذاری می‌کرد.

باج‌افزار تخریبی (Wiper Ransomware)

پاک کردن اطلاعات به‌جای رمزگذاری: این نوع باج‌افزار به‌جای درخواست باج، داده‌ها را به‌طور کامل حذف یا تخریب می‌کند و اغلب برای اهداف سیاسی یا تخریب عمدی استفاده می‌شود.

NotPetya: در سال 2017 با ظاهری شبیه باج‌افزار، داده‌ها را تخریب کرد.
AcidRain: در سال 2022 برای اختلال در زیرساخت‌های اوکراین استفاده شد.

جدول مقایسه انواع باج افزار ها

نام باج‌افزار	نوع	سیستم هدف	روش انتشار	سال فعالیت	پیشگیری خاص
LockBit 3.0	RaaS	Windows/Linux	RDP، فیشینگ، اکسپلویت	2022	MFA، EDR، محدودسازی RDP
BlackCat	RaaS	Windows/Linux	فیشینگ، اکسپلویت، IAB	2021	به‌روزرسانی نرم‌افزار، آموزش فیشینگ
Akira	RaaS	Windows/Cloud	فیشینگ، VPN بدون MFA	2023	VPN امن، پشتیبان آفلاین
Hive	RaaS	Windows/Linux	فیشینگ، آسیب‌پذیری‌ها	2021	پچ امنیتی، فایروال پیشرفته
Maze	Leakware	Windows	ایمیل اسپم، اکسپلویت	2019	رمزنگاری ایمیل، No More Ransom
Ryuk	Crypto	Windows	فیشینگ هدفمند، Emotet	2018	آموزش کارمندان، SIEM
Qilin	Crypto/Leakware	Windows	RDP، نرم‌افزار قدیمی	2022	EKM، به‌روزرسانی سیستم
RansomHub	RaaS	Windows/Cloud	فیشینگ، اکسپلویت	2024	SONAR، پشتیبان آفلاین
WannaCry	Crypto	Windows	کرم شبکه‌ای، SMB	2017	پچ مایکروسافت، غیرفعال‌سازی SMBv1
CryptoLocker	Crypto	Windows	ایمیل فیشینگ	2013	اجتناب از پیوست مشکوک، ابزار Bitdefender

بررسی ۱۰ باج‌افزار شناخته‌شده جهان

LockBit 3.0

فعال از: 2022
روش انتشار: فیشینگ ایمیلی، بهره‌گیری از RDP، اکسپلویت سرورهای آسیب‌پذیر
سیستم‌های هدف: ویندوز، لینوکس، سرورهای VMware ESXi
رفتار خاص: سرعت بالا در رمزگذاری، خودکارسازی حملات، استفاده از اخاذی دوگانه (رمزگذاری و افشای داده‌ها)
روش پیشگیری اختصاصی: فعال‌سازی احراز هویت چندمرحله‌ای (MFA)، محدودسازی دسترسی RDP، استفاده از راهکارهای EDR (تشخیص و پاسخ نقطه پایانی).

BlackCat (ALPHV)

فعال از: 2021
روش انتشار: اکسپلویت نرم‌افزارهای قدیمی، فیشینگ، دسترسی اولیه از طریق IAB (Initial Access Brokers)
سیستم‌های هدف: ویندوز، لینوکس
رفتار خاص: استفاده از زبان برنامه‌نویسی Rust برای عملکرد بهتر، تمرکز بر سازمان‌های بزرگ
روش پیشگیری اختصاصی: به‌روزرسانی منظم نرم‌افزارها، استفاده از آنتی‌ویروس‌های پیشرفته، آموزش کارمندان برای شناسایی فیشینگ.

Akira

فعال از: 2023
روش انتشار: فیشینگ، سوءاستفاده از VPNهای بدون MFA
سیستم‌های هدف: ویندوز، زیرساخت‌های ابری
رفتار خاص: هدف‌گیری شرکت‌های کوچک و متوسط، سرقت داده‌ها قبل از رمزگذاری
روش پیشگیری اختصاصی: استفاده از VPNهای امن با MFA، پشتیبان‌گیری منظم آفلاین.

Hive

فعال از: 2021
روش انتشار: ایمیل‌های فیشینگ، سوءاستفاده از آسیب‌پذیری‌های نرم‌افزاری
سیستم‌های هدف: ویندوز، لینوکس
رفتار خاص: استفاده از تکنیک‌های اخاذی دوگانه، هدف‌گیری بخش‌های درمانی و آموزشی
روش پیشگیری اختصاصی: پچ کردن آسیب‌پذیری‌ها، استفاده از فایروال‌های پیشرفته، محدود کردن دسترسی‌های غیرضروری.

Maze

فعال از: 2019
روش انتشار: ایمیل‌های اسپم، اکسپلویت‌های سرور
سیستم‌های هدف: ویندوز
رفتار خاص: پیشگام در اخاذی دوگانه، انتشار داده‌های سرقت‌شده در صورت عدم پرداخت
روش پیشگیری اختصاصی: رمزنگاری ارتباطات ایمیلی، محدود کردن دسترسی به سرورها، استفاده از ابزارهای رمزگشایی مانند No More Ransom.

Ryuk

فعال از: 2018
روش انتشار: فیشینگ هدفمند (Spearphishing)، دسترسی از طریق بدافزارهای دیگر مانند Emotet
سیستم‌های هدف: ویندوز، شبکه‌های سازمانی
رفتار خاص: حملات بسیار هدفمند، تمرکز بر سازمان‌های بزرگ، درخواست باج‌های کلان
روش پیشگیری اختصاصی: آموزش کارمندان برای شناسایی ایمیل‌های مشکوک، استفاده از SIEM برای تشخیص رفتار غیرعادی.

Qilin

فعال از: 2022
روش انتشار: سوءاستفاده از نرم‌افزارهای قدیمی، دسترسی از طریق RDP
سیستم‌های هدف: ویندوز، زیرساخت‌های حیاتی
رفتار خاص: هدف‌گیری زیرساخت‌های حیاتی مانند بیمارستان‌ها، رمزگذاری و سرقت داده‌ها
روش پیشگیری اختصاصی: به‌روزرسانی سیستم‌ها، استفاده از EKM (مدیریت کلید سازمانی) برای پشتیبان‌گیری امن.

RansomHub

فعال از: 2024
روش انتشار: اکسپلویت‌های نرم‌افزاری، فیشینگ
سیستم‌های هدف: ویندوز، سرورهای ابری
رفتار خاص: سرعت بالا در گسترش، تمرکز بر اخاذی دوگانه
روش پیشگیری اختصاصی: استفاده از ابزارهای تشخیص رفتار (مانند SONAR)، پشتیبان‌گیری منظم و آفلاین.

WannaCry

فعال از: 2017
روش انتشار: کرم شبکه‌ای، سوءاستفاده از آسیب‌پذیری SMB ویندوز
سیستم‌های هدف: ویندوز
رفتار خاص: گسترش خودکار بدون نیاز به تعامل کاربر، خسارت 4 میلیارد دلاری
روش پیشگیری اختصاصی: نصب پچ‌های امنیتی مایکروسافت، غیرفعال‌سازی پروتکل SMBv1.

CryptoLocker

فعال از: 2013
روش انتشار: ایمیل‌های فیشینگ با پیوست مخرب
سیستم‌های هدف: ویندوز
رفتار خاص: رمزگذاری با کلید 2048 بیتی، حذف کلید پس از مهلت پرداخت
روش پیشگیری اختصاصی: اجتناب از باز کردن پیوست‌های مشکوک، استفاده از ابزارهای رمزگشایی Bitdefender.