باج افزار ها گونه ای از بدافزارها هستند و زمانی که کامپیوتر شما را در اختیار بگیرند، به شکل مخربی عمل می کنند و معمولا از دسترسی شما به داده های خودتان جلوگیری می نمایند. مهاجم از قربانی باج خواهی می کند و قول می دهد – همیشه صادق نیستند! – که هنگام پرداخت مبلغ، دسترسی به داده ها را برای فرد ممکن سازد.
به کاربران دستورالعملی نشان داده می شود که چگونه پس از پرداخت مبلغ، داده های خود را رمزگشایی کنند. مبلغ باج می تواند از چند صد تا هزاران دلار تعیین شود و به صورت بیت کوین به مجرمین سایبری پرداخت می گردد.
روشهای شناسایی باجافزارها مانند بدافزارها به دو دسته اصلی تقسیم میشوند: شناسایی بر پایه امضا و شناسایی بر پایه آنومالی.
در روشهای شناسایی بر پایه امضا، خصوصیات شناخته شده از باجافزارهای موجود مبنای تصمیمگیری است. در حال حاضر برای تولید یک امضا که نشاندهنده تمامی رفتارهای بدخواهانه باجافزار است، نیازمند تخصص و مهارتهای انسانی هستیم. دخالت انسان و تجربه آن باعث بهوجود آمدن اشکالاتی در تولید امضا شده است. یکی دیگر از مشکلات این روش عدم توانایی آن در شناسایی باجافزارهای جدید است، زیرا هنوز امضایی برای آنها ساخته نشده است. در این روش برای نگهداری امضاهای تولید شده نیاز به فضای ذخیرهسازی داریم و با افزایش تعداد امضاها، نگهداری و دستیابی به آنها به مشکلی بزرگ تبدیل شده است.
اما در روشهای بر پایه آنومالی دانش تصمیمگیری بر اساس اینکه رفتار و ساختارهای بیخطر چگونه هستند، شکل میگیرد. در واقع در این روش، در مرحله نخست شناساگر تلاش میکند با بررسی نمونههای مختلف نرمافزار، رفتار معتبر و عادی نرمافزارها را یاد بگیرد و در مرحله بعد با استفاده از دانش بهدست آمده در مرحله یادگیری و مقایسه آن با رفتارهای نمونههای مورد بررسی، رفتار غیر معتبر را تشخیص دهد. یکی از مزیتهای این روش توانایی آن در تشخیص رفتارهای بدخواه ناشناخته است. دو اشکال جدی این روش نرخ بالای شناسایی اشتباه و پیچیدگی در تشخیص رفتارهای معتبر در مرحله یادگیری است.
روشهای تحلیل باجافزار مانند بدافزارها با توجه به اینکه قبل از اجرای باجافزار یا در حین اجرا انجام شوند، به دو دسته ایستا و پویا تقسیم میشوند.
روشهای مبتنیبر تحلیل ایستا برای تشخیص ساختار داخلی نرمافزارها نیاز به اجرای باجافزار ندارند. این روش به طور معمول از طریق دیساسمبلرها و دیکامپایلرها صورت میگیرد. در تحلیل ایستا میتوان اطلاعات مختلفی از جمله جزییات سطح بالا از باجافزار مانند حجم فایل، کتابخانهها و توابع وارد شده، کامپایلر استفاده شده، رشتههای خوانا و معنیدار باجافزار بهدست آورد. همچنین با استفاده از دیساسمبلی فایل باینری میتوان اطلاعات سطح پایینتر و کاملی از رفتار باجافزار را استخراج کرد.
روشی که در آن با اجرای باجافزار رفتار آن مشاهده میشود تحلیل پویا نامیده میشود. در سادهترین روش میتوان با اجرای باجافزار وضعیت قبل و بعد از اجرای سیستم را ثبت و تحلیل کرد و یا در روشهای دیگر با ردیابی و مشاهده رفتار باجافزار در حال اجرا آن را تحلیل کرد.
