باج افزار (Ransomware) نوعی نرمافزار مخرب است که دادههای شما را قفل میکند و برای بازگرداندن دسترسی به آنها از شما پول طلب میکند. مثل این است که یک دزد دیجیتال، اطلاعات مهم شما را گروگان بگیرد و تا زمانی که باج ندهید، آنها را آزاد نکند. این روزها باجافزار به یکی از بزرگترین تهدیدات سایبری تبدیل شده و نامش را در اخبار، از حملات به بیمارستانها گرفته تا شرکتهای بزرگ، میشنویم. چرا اینقدر سر و صدا درباره باجافزار وجود دارد؟ چون این حملات دیگر فقط به هکرهای زیرزمینی محدود نمیشود. گروههای سازمانیافته با بودجههای کلان و تکنیکهای پیچیده، از افراد معمولی تا سازمانهای عظیم را هدف قرار میدهند. برای مثال، حمله WannaCry در سال ۲۰۱۷ بیش از ۲۰۰,۰۰۰ کامپیوتر در ۱۵۰ کشور را آلوده کرد و خسارتهای چند میلیارد دلاری به بار آورد. حمله NotPetya هم در همان سال شرکتهای بزرگی مثل Maersk را فلج کرد. این اعداد و ارقام نشان میدهند که باجافزار یک مشکل ساده نیست؛ یک تهدید جهانی است.
باج افزار چیست؟
باج افزار نوعی بدافزار (Malware) است که فایلهای شما را رمزگذاری میکند یا دسترسی به سیستمتان را مسدود میکند تا شما نتوانید از آنها استفاده کنید. هکرها معمولاً در ازای باز کردن قفل، از شما پول (اغلب به شکل ارز دیجیتال مثل بیتکوین) طلب میکنند. دو نوع اصلی باجافزار وجود دارد:
باجافزار رمزگذار (Encrypting Ransomware): فایلهای شما را با الگوریتمهای رمزنگاری قوی (مثل AES یا RSA) قفل میکند.
باجافزار قفلکننده (Locker Ransomware): دسترسی به کل سیستم یا بخشی از آن (مثل صفحه دسکتاپ) را مسدود میکند.
روش کار باج افزار چگونه است؟
باجافزار (Ransomware) نوعی بدافزار است که با هدف اخاذی طراحی شده و با قفل کردن دادهها یا سیستم قربانی، از او باج (معمولاً بهصورت ارز دیجیتال) طلب میکند. در ادامه، مراحل اصلی عملکرد باجافزار بهصورت خلاصه و جامع توضیح داده شده است:
آمار و وضعیت جهانی باجافزار (2025)
بر اساس گزارشهای امنیتی سال ۲۰۲۵:
۸۰٪ از سازمانها در سراسر جهان حداقل یک حمله باج افزاری را تجربه کردهاند.
متوسط مبلغ باج پرداختشده در حملات سازمانی به ۱.۵ میلیون دلار رسیده است.
بیش از ۷۰٪ حملات توسط گروههایی صورت میگیرد که از مدل RaaS استفاده میکنند.
تنها ۳۲٪ از قربانیان پس از پرداخت باج توانستهاند تمام دادههای خود را بازیابی کنند.
۱. نفوذ به سیستم
باج افزار از روشهای مختلفی برای ورود به سیستم قربانی استفاده میکند:
- ایمیلهای فیشینگ: هکرها ایمیلهایی با پیوست یا لینک مخرب ارسال میکنند که به نظر قانونی میآیند (مثل فاکتور یا اطلاعیه بانکی). باز کردن این پیوستها یا کلیک روی لینکها، بدافزار را فعال میکند.
- سوءاستفاده از آسیبپذیریهای نرمافزاری: باج افزار از حفرههای امنیتی در سیستمعاملها یا نرمافزارهای قدیمی (مثل ویندوز یا Adobe) بهرهبرداری میکند.
- دانلودهای مخرب: دانلود فایل از منابع غیرمعتبر (مثل نرمافزارهای کرکشده) میتواند باجافزار را وارد سیستم کند.
- پروتکل دسکتاپ راهدور (RDP): هکرها با دسترسی غیرمجاز به سیستم از طریق پروتکلهای ریموت، بدافزار را نصب میکنند.
۲. نصب و گسترش
پس از نفوذ، باج افزار بهصورت مخفیانه نصب میشود:
- بدافزار معمولاً بهعنوان یک فایل اجرایی (مثل .exe) عمل میکند و در پسزمینه شروع به فعالیت میکند.
- در شبکههای سازمانی، باجافزار میتواند از سیستمی به سیستم دیگر گسترش یابد، بهویژه اگر دسترسیهای ضعیفی (مثل رمزهای عبور ساده) وجود داشته باشد.
۳. رمزگذاری یا قفل کردن
باج افزار پس از استقرار، یکی از این دو کار را انجام میدهد:
- رمزگذاری فایلها: در باج افزارهای رمزگذار (مثل WannaCry)، فایلهای مهم (اسناد، تصاویر، پایگاههای داده) با الگوریتمهای قوی (مثل AES-256 یا RSA) رمزگذاری میشوند. کلید رمزگشایی فقط در دست هکر است.
- قفل کردن سیستم: در باج افزارهای قفلکننده (Locker Ransomware)، دسترسی به کل سیستم یا بخشهایی مثل دسکتاپ مسدود میشود و پیامی روی صفحه ظاهر میشود.
۴. نمایش پیام باجخواهی
پس از قفل شدن دادهها یا سیستم، هکرها پیامی به قربانی نشان میدهند که شامل موارد زیر است:
- توضیح اینکه دادهها قفل شدهاند.
- مبلغ باج (معمولاً بین چند صد تا چند میلیون دلار، بسته به هدف).
- دستورالعمل پرداخت (اغلب از طریق بیتکوین یا سایر ارزهای دیجیتال).
- مهلت زمانی (مثلاً ۷۲ ساعت) که در صورت عدم پرداخت، دادهها نابود میشوند یا باج افزایش مییابد.
۵. اخاذی و پیامدهای پس از پرداخت
- پرداخت باج: برخی قربانیان باج را پرداخت میکنند، اما هیچ تضمینی برای دریافت کلید رمزگشایی وجود ندارد. در مواردی، هکرها پس از دریافت پول، ارتباط را قطع میکنند.
- انتشار یا حذف دادهها: بعضی باجافزارها (مثل NotPetya) حتی با پرداخت باج، دادهها را نابود میکنند. گروههای پیشرفتهتر ممکن است دادههای سرقتشده را تهدید به انتشار کنند (دوبل اخاذی).
۶. تکنیکهای پیشرفتهتر
باج افزارهای مدرن گاهی فراتر از رمزگذاری میروند:
- سرقت دادهها: قبل از رمزگذاری، دادههای حساس کپی و به سرورهای هکر منتقل میشوند.
- حملات هدفمند: هکرها سازمانهای خاص (مثل بیمارستانها یا شرکتهای بزرگ) را هدف قرار میدهند.
- باجافزار بهعنوان سرویس (RaaS): هکرها کیتهای آماده باجافزار را به مجرمان دیگر میفروشند و سود را تقسیم میکنند.
تفاوت با ویروس یا تروجان
برخلاف ویروسهای سنتی که ممکن است فقط سیستم را خراب کنند یا دادهها را حذف کنند، باج افزار هدفش کسب درآمد است. تروجانها معمولاً برای جاسوسی یا سرقت اطلاعات استفاده میشوند، اما باجافزار بهصراحت شما را تهدید میکند: «پول بده، وگرنه دادههایت را از دست میدهی.» این ویژگی باجخواهی، آن را از دیگر بدافزارها متمایز میکند.
تاریخچه کوتاه باجافزار
نخستین نمونههای شناختهشدهی باجافزار به اوایل دهه ۲۰۰۰ بازمیگردد. یکی از اولینها، GPCode بود که با استفاده از رمزنگاری ساده فایلها را قفل میکرد. در سالهای بعد، باجافزارهای پیشرفتهتری مانند CryptoLocker (در سال ۲۰۱۳) و سپس WannaCry (۲۰۱۷) باعث خسارات جهانی شدند. این روند با ظهور مدلهای خدماتی مانند Ransomware-as-a-Service (RaaS) ادامه پیدا کرد. امروزه نسخههایی مانند LockBit 3.0، BlackCat (ALPHV) و Royal جزو فعالترین نمونههای حمله هستند.
باجافزارها از دهه ۱۹۸۰ شروع شدند. اولین نمونه شناختهشده، AIDS Trojan در سال ۱۹۸۹ بود که توسط جوزف پاپ ساخته شد. این بدافزار دیسکهای فلاپی را قفل میکرد و از کاربران میخواست برای باز کردن قفل، پول به حسابی در پاناما واریز کنند. البته، به دلیل محدودیتهای فناوری آن زمان، این حملات خیلی فراگیر نشدند.
با ظهور ارزهای دیجیتال و افزایش اتصال جهانی به اینترنت، باجافزارها از سال ۲۰۱۰ به بعد رشد انفجاری داشتند. بدافزارهایی مثل CryptoLocker در سال ۲۰۱۳ با استفاده از رمزنگاری پیشرفته، صدها میلیون دلار از قربانیان اخاذی کردند. این دوره، نقطه عطفی در تاریخ باجافزار بود.
موجهای بزرگ
WannaCry (۲۰۱۷): این حمله با سوءاستفاده از یک حفره امنیتی در ویندوز، بیمارستانها، بانکها و حتی سیستمهای حملونقل را در سراسر جهان مختل کرد. تخمین زده میشود که خسارت آن به ۴ میلیارد دلار رسید.
NotPetya (۲۰۱۷): ابتدا اوکراین را هدف قرار داد، اما به سرعت به شرکتهای جهانی مثل Merck و FedEx سرایت کرد. این حمله نهتنها دادهها را رمزگذاری کرد، بلکه در بسیاری موارد آنها را کاملاً نابود کرد.
انواع باجافزارها
علاوه بر دستهبندی رایج باجافزارها (Scareware، Locker، Encrypting)، در سالهای اخیر نمونههای زیر نیز گسترش یافتهاند:
Doxware / Leakware
نه تنها فایلها را قفل میکند، بلکه تهدید به افشای اطلاعات قربانی نیز میکند.
Wiper Ransomware
در ظاهر باجافزار است اما هدفش حذف دائمی دادههاست (مانند NotPetya).
Mobile Ransomware
گوشیهای اندرویدی را قفل کرده یا دسترسی به آنها را محدود میکند.
Linux Ransomware
مخصوص سرورهای لینوکسی طراحی شده و در حملات سازمانیافته نقش مهمی دارد.
ابزارهای مقابله با باجافزار
یکی از منابع معتبر جهانی برای مقابله با باجافزار، سایت No More Ransom است. در این پلتفرم، میتوانید:
نوع باجافزار خود را شناسایی کنید (با بارگذاری فایل یا پیام).
ابزار رمزگشایی (Decryptor) مخصوص آن را دریافت نمایید.
راهکارهای بازیابی داده و جلوگیری از پرداخت باج را بررسی کنید.
همچنین آنتیویروسهای معتبر مانند Kaspersky، Bitdefender و Emsisoft ابزارهای رایگان برای مقابله با برخی خانوادههای باجافزار منتشر کردهاند.
چرا باجافزار خطرناک است؟
باج افزار خسارتهای هنگفتی به بار میآورد. طبق گزارش Cybersecurity Ventures، تا سال ۲۰۲۵، خسارتهای جهانی باجافزار ممکن است به ۲۶۵ میلیارد دلار در سال برسد. برای مثال:
شرکت Colonial Pipeline در سال ۲۰۲۱ به هکرهای باجافزار DarkSide حدود ۴.۴ میلیون دلار باج پرداخت کرد.
هزینههای غیرمستقیم مثل توقف عملیات، از دست دادن اعتبار و جریمههای قانونی، گاهی چند برابر باج اولیه است.
شرکتها: باجافزار میتواند زنجیره تأمین، خدمات مشتریان و حتی ایمنی عمومی (مثل بیمارستانها) را مختل کند. برای مثال، حمله به NHS (سیستم بهداشت ملی بریتانیا) در ۲۰۱۷، باعث لغو هزاران عمل جراحی شد.
کاربران خانگی: از دست دادن عکسهای خانوادگی، اسناد مهم یا اطلاعات شخصی میتواند برای افراد عادی ویرانگر باشد. هکرها اغلب از این آسیبپذیری عاطفی سوءاستفاده میکنند.
راهکار های مقابله با باج افزار
۱. بکاپ منظم و آفلاین بگیرید
بکاپگیری منظم، مهمترین سلاح شما در برابر باج افزار است. اگر نسخه پشتیبان از دادههایتان داشته باشید، حتی در صورت قفل شدن فایلها، نیازی به پرداخت باج نخواهید داشت.
چگونه انجام دهید؟
- بهطور منظم (مثلاً هفتگی یا روزانه) از فایلهای مهم نسخه پشتیبان تهیه کنید.
- بکاپها را روی دستگاههای آفلاین (مثل هارد اکسترنال جداگانه) یا سرویسهای ابری امن ذخیره کنید.
- مطمئن شوید بکاپها رمزگذاری شدهاند و از دسترسی غیرمجاز محافظت میشوند.
- بکاپها را آزمایش کنید تا مطمئن شوید در مواقع نیاز قابل بازیابی هستند.
۲. سیستمعامل و نرمافزارها را بهروز نگه دارید
باج افزارها اغلب از حفرههای امنیتی در نرمافزارهای قدیمی سوءاستفاده میکنند. بهروزرسانی منظم، این حفرهها را میبندد.
چگونه انجام دهید؟
- بهروزرسانیهای سیستمعامل (مثل ویندوز، macOS یا لینوکس) را بلافاصله نصب کنید.
- نرمافزارهای پرکاربرد مثل مرورگرها، Adobe، Java و Microsoft Office را بهروز نگه دارید.
- از ابزارهای مدیریت بهروزرسانی خودکار استفاده کنید تا هیچ پچی از قلم نیفتد.
۳. از آنتیویروس و فایروالهای معتبر استفاده کنید
یک آنتیویروس قوی میتواند باج افزار را قبل از فعال شدن شناسایی و مسدود کند.
برای دریافت خدمات فایروال به صفحه فایروال در اصفهان ما مراجعه کنید.
چگونه انجام دهید؟
- نرمافزارهای امنیتی معتبر مثل Bitdefender، Kaspersky یا Windows Defender را نصب کنید.
- قابلیت اسکن بلادرنگ (Real-time Scanning) را فعال کنید تا تهدیدات فوراً شناسایی شوند.
- فایروال سیستم را فعال نگه دارید تا از دسترسیهای غیرمجاز جلوگیری شود.
- آنتیویروس را مرتباً بهروز کنید تا با جدیدترین تهدیدات مقابله کند.
۴. ایمیلهای مشکوک را باز نکنید
ایمیلهای فیشینگ یکی از رایجترین روشهای نفوذ باج افزار هستند. هکرها ایمیلهایی با پیوست یا لینک مخرب ارسال میکنند که به نظر قانونی میآیند.
چگونه انجام دهید؟
- از باز کردن ایمیلهای ناشناس یا غیرمنتظره خودداری کنید، حتی اگر از طرف آشنایان باشد.
- روی لینکها یا پیوستهای مشکوک (مثل فایلهای PDF یا Word ناشناخته) کلیک نکنید.
- آدرس فرستنده را بررسی کنید تا مطمئن شوید جعلی نیست.
- فیلترهای ضد هرزنامه (Spam Filter) را در سرویس ایمیل خود فعال کنید.
۵. از رمزهای عبور قوی و احراز هویت دو مرحلهای استفاده کنید
ایمیلهای فیشینگ یکی از رایجترین روشهای نفوذ باج افزار هستند. هکرها ایمیلهایی با پیوست یا لینک مخرب ارسال میکنند که به نظر قانونی میآیند.
چگونه انجام دهید؟
- از باز کردن ایمیلهای ناشناس یا غیرمنتظره خودداری کنید، حتی اگر از طرف آشنایان باشد.
- روی لینکها یا پیوستهای مشکوک (مثل فایلهای PDF یا Word ناشناخته) کلیک نکنید.
- آدرس فرستنده را بررسی کنید تا مطمئن شوید جعلی نیست.
- فیلترهای ضد هرزنامه (Spam Filter) را در سرویس ایمیل خود فعال کنید.
پرسشهای متداول درباره انواع توپولوژی شبکه
بیشتر باج افزارها از طریق ایمیلهای فیشینگ، لینکهای آلوده، درایوهای USB ناشناس، یا سوءاستفاده از آسیبپذیریهای نرمافزاری وارد سیستم میشوند.
Locker دسترسی کاربر به سیستم را قفل میکند (مثلاً صفحه را قفل میکند)، ولی Crypto فقط فایلها را رمزنگاری میکند بدون قفلکردن کامل سیستم.حتوای تغییر وضعیت
مدلی است که در آن مهاجمان باجافزار را بهعنوان خدمات اجاره میدهند. نویسنده باجافزار بخشی از سود را از عامل اجرایی دریافت میکند.
بله. با وجود اینکه سیستمهای ویندوز هدف اصلی هستند، حملات باجافزار به لینوکس، مک و حتی سیستمهای IoT نیز در حال افزایش است.
معمولاً فایلهای متنی، اکسل، PDF، پایگاه دادهها، تصاویر، پروژههای کدنویسی و فایلهای بکاپ مورد هدف قرار میگیرند.
بله، یکی از روشهای رایج نفوذ به سیستمها، بهرهبرداری از پورت RDP باز یا رمزهای عبور ضعیف RDP است.
با بارگذاری نمونه فایل رمزنگاریشده یا پیام باجخواهی در وبسایتهایی مانند ID Ransomware یا No More Ransom میتوان نوع آن را شناسایی کرد.
هیچ تضمینی وجود ندارد. آمار نشان میدهد تنها حدود ۳۰–۴۰٪ قربانیان پس از پرداخت باج، تمام دادههای خود را بازیابی میکنند.
جداسازی شبکه، بهروزرسانی منظم سیستمعامل و نرمافزارها، استفاده از آنتیویروسهای قوی و پیکربندی صحیح فایروال کمککننده است.
نسخههای پشتیبان باید آفلاین، رمزنگاریشده و غیرقابلنوشتن برای کاربر باشند. نگهداری بکاپ در فضای Cloud فقط در صورتی مفید است که رمزگذاری یا همگامسازی خودکار نداشته باشد.
در برخی موارد بله، اگر کلید رمزگشایی فاش شده باشد یا الگوریتم رمزنگاری ضعیف باشد. سایتهایی مانند NoMoreRansom ابزار رمزگشایی رایگان ارائه میدهند.
در صورتی که باج افزار از الگوریتمهایی مانند AES-256 یا RSA-2048 با کلید خصوصی استفاده کند، بازیابی بدون کلید یا ابزار رمزگشایی عملاً غیرممکن است.
خیر. باج افزارهای جدید یا obfuscated میتوانند آنتیویروس را دور بزنند، بههمین دلیل استفاده از EDR و رفتارشناسی ضروری است.
بله. اگرچه تمرکز اصلی بر کسبوکارهاست، اما کاربران خانگی نیز قربانی میشوند، خصوصاً با باج افزارهایی که بهصورت انبوه توزیع میشوند.
اکثر باج افزارهای RaaS از طریق دارکوب با پنلهای مدیریتی برای اپراتورها عرضه میشوند و پرداختها عمدتاً از طریق ارزهای دیجیتال انجام میشود تا ردگیری دشوار شود.
