در قسمت قبل به توضیح باج افزار پرداختیم و آناتومی آنرا تشریح کردیم. در این قسمت رمز گذاری فایل ها را برای شما تعریف خواهیم کرد.
رمز گذاری فایل ها
باج افزار ها امروزه از متد های مختلفی برای رمز نگاری فایل ها در سیستم قربانی استفاده می کنند که به دو نوع symmetric , asymmetric تقسیم می شوند .
برای رمز نگاری symmetric باج افزار معمولا از خود سیستم قربانی برای تولید کلید به عنوان یک اهرم در پروسه رمز نگاری استفاده می کند. در این نوع از رمز نگاری معمولا اطمینان حاصل می کند که از حداقل منابع سیستم برای رمز نگاری استفاده کرده است. استفاده حداقلی از منابع فقط به صورت بهینه از CPU در سیستم قربانی استفاده می کند علاوه بر این باج افزار می تواند فایل های بیشتری را در سیستم قربانی رمز نگاری کند. از دیگر مزایای این نوع از رمز نگاری این است که باج افزار برای هر سیستم یک کلید مجزا تولید می کند و مهاجم می تواند تعیین کند که کدام یک از روش هایی که برای رمز نگاری توسعه داده است موثرتر است. این روش رمز نگاری می تواند به صورت offline یا online صورت بگیرد. پس از رمز نگاری فایل ها اگر سیستم به حالت online برود کلید از روی سیستم قربانی پاک خواهد شد و به سمت مهاجم ارسال می شود و تا زمانی که باج پرداخت شود نزد مهاجم نگه داشته می شود.
یکی از معایب این نوع رمز نگاری این است که کلید می تواند شکسته شود. قربانی می تواند با شکستن کلید در حالت offline فایل های خود را رمز گشایی کند و به آنها دسترسی پیدا کند. این بدین معنا است که اگر توسط باج افزاری مورد حمله قرار گرفتیم که از متد symmetric استفاده می کند ممکن است بتوانیم به فایل های خود دسترسی پیدا کنیم. با دسترسی داشتن به حافظه RAM که باج افزار از آن برای رمزنگاری استفاده می کند می توان این عمل را انجام داد و ابزارهای مختلفی برای این کار وجود دارند که یکی از آنها msramdump است که برمبنای سیستم عامل لینوکس می باشد و بر روی یک حافظه USB قرار دارد که باید حافظه USB را به سیستم قربانی متصل شود و سیستم reboot شود و به RAM بتوان دسترسی داشت. این روش خود یک نوع حمله سایبری می باشد که از آن به عنوان cold boot attack یاد می شود. زمانیکه به حافظه دسترسی پیدا کردیم می توانیم با استفاده از ابزارهایی نظیر Volatility به جستجوی key sized message block ها در حافظه بپردازیم. این ابزار می تواند اطلاعات زیادی را از data set این کدها برای ما فراهم کند.
در رمز نگاری asymmetric مهاجم از دو کلید عمومی و خصوصی استفاده می کند طوری که کلید عمومی برای رمز نگاری فایل ها در سیستم قربانی استفاده شده و کلید خصوصی برای رمز گشایی آنها استفاده می شود. با استفاده از این دو جفت کلید امکان شکستن کلید رمزنگاری در حافظه به حداقل می رسد. این نوع از رمز نگاری به دو نوع متد تقسیم می شود که عبارتند از: embedded public key و downloaded public key.
متد embedded public key بسیار سریع رخ می دهد و چه سیستم در حالت offline و چه در حالت online باشد این متد اجرا خواهد شد. اما یکی از معایب استفاده از آن این است که برای هر سیستم باید یک کلید تولید شود. در متد downloaded public key پروسه رمزنگاری تا زمانی که سیستم به حالت online برود و قادر باشد تا با سرور ارتباط برقرار کند انجام نخواهد شد. از مزیت هایی که رمز نگاری asymmetric دارد این است که می توان از الگوریتم های قوی با طول رشته بالا استفاده کرد. برای مثال در این بخش می توان به باج افزار Crypto Defense اشاره کرد که برای رمز نگاری فایل ها در داخل سیستم از الگوریتم AES استفاده می کند و بعد از اتمام عمل رمز نگاری کلید را به صورت local ذخیره کرده و با استفاده از کلید عمومی RSA که از سرور C&C دانلود می شود شروع به رمز نگاری آن می کند. بعد از آنکه قربانی باج را پرداخت کرد کلید خصوصی برای آن از طرف باج افزار ارسال می شود تا با استفاده از آن بتواند فایل های خود را رمز گشایی کند.