اقدامات لازم در هنگام مواجه با باج افزارها

اقدامات لازم در هنگام مواجه با باج افزارها
اقدامات لازم در هنگام مواجه با باج افزارها

قبلا در مقاله ((باج افزار چیست)) راجب باج افزارها براتون گفتیم و متوجه شدیم رعایت نکردن ساده ترین نکات ممکنه به قیمت حذف همه اطلاعاتمون بشه

اما اگه به هر دلیلی گرفتار این ویروس های نوظهور شدیم چیکار کنیم؟؟
اقدامات لازم زمانیکه با این مورد مواجه شدیم:
اول باید بگیم ، همیشه همیشه یک بکاپ از اطلاعات مهمتون تو یک هارد یا سیستم دیگه داشته باشین ، اگه بکاپ داشته باشین ، سریع سیستم عامل سیستمتونو عوض میکنین و فایلهاتونو دوباره منتقل میکنین و بدون پرداخت باج مشکلتون حل میشه
در ادامه راهکارهای زیر به ما کمک میکنه تا با سرعت بهتری با باج افزارها مقابله و یا جلوگیری کنیم:
۱- جداسازی کامپیوتر آلوده شده از شبکه سازمان:
اولین قدم به محض آلوده شدن به باج‌افزار این است که هرچه سریع‎تر کامپیوتر آلوده را از شبکه سازمان یا شرکت جدا کنید، شبکه وای فای و بلوتوث را خاموش کنید، تمامی ارتباطات خارجی، خدمات ابری و دیسک سخت خارجی را قطع کنید. با این کارها مطمئن می‌شوید که آلودگی پخش نمی‌شود و از ارتباط بدافزار با رایانه مرکزی شبکه جلوگیری می‌کنید. این کار کمی زمان می‌برد و از زمانی که مهاجم تهدید به افزایش مبلغ باج می‌کند ثانیه‌ها هم ارزشمند می‌شوند.
باج افزار Jigsaw به ازای هر ساعتی که باج را نپردازید، فولدرها و فایلهای بیشتری را در سیستم شما از بین می‌برد و باج‎افزار CryptoLocker نیز اگر در مدت زمان مشخص شده پول پرداخت نشود باج را افزایش می‌دهد.

۲- دانستن نام واقعی بدافزار:
باج افزاری که با آن سروکار دارید را بشناسید. تقریباً ۷۰ خانواده باج‎افزار وجود دارد که برخی از آن‌ها با نسخه‌های جدیدتر ناسازگارند. در بعضی موارد مثل TeslaCrypt پیامی که می‌گوید پرونده‌های شما رمزنگاری شده است حاوی نام باج‎افزار نیز هست. زیرا قربانیان اگر بدانند اشخاص دیگری هم با پرداخت پول توانسته‌اند پرونده‌هایشان را از یک باج‎افزار خاص پس بگیرند، آن‌ها هم ترغیب می‌شوند که باج را بپردازند.
با این حال برخی از باج‎افزارها به نظر می‌رسد که تمایل دارند، ناشناس باقی بمانند. CryptoLocker در روزهای اوجش مشکل بزرگی به حساب می‌آمد و در این مورد پیامی نشان داده و هشدار می‌داد که پرونده‌ها رمزنگاری شده‌‌اند. برخی از باج‎افزارها از پسوند خاصی استفاده می‌کنند. مانند Locky که نامش را به این دلیل انتخاب کرده‌اند که پرونده‌های رمزنگاری شده پسوند Locky را مشخص می‌کنند. اگر باج‎افزار را نمی‌شناسید در اینترنت آدرس‌های پرداخت بیت‎کوین یا پیام‌های واقعی باج را جستجو کنید تا متوجه شوید کدام باج‎افزار یا کدام گروه باج‎افزاری پرونده‌های شما را آلوده کرده است. اگر اصلاً نتوانستید باج‎افزار را شناسایی کنید، این احتمال وجود دارد که باج‎افزار جعلی باشد. یک حمله‌ی مهندسی اجتماعی سطح پایین که می‌توانید به آسانی از آن فرار کنید.
‎سیستم عامل کامپیوتر و نرم افزارهای خود را برای مقابله با ویروس ها و باج افزارها بروز رسانی کنید. من میبینم هنوز خیلی ها از ویندوز XP استفاده میکنن!!!! نرم‎افزارهای بر‎وز نشده احتمالاً اولین راه های نفوذ را برای باج افزارها باز میکنند.

۳- یافتن یک ابزار رمزگشایی:
اگر بدانید که دقیقا با چه باج‎افزاری سرو کار دارید شاید بتوانید راه‌هایی برای رهایی از آلودگی پیدا کنید. مجموعه‌ی کاملی از چنین ابزارهایی موجود و در دسترس عموم است، اما توجه داشته باشید که ممکن است روی بعضی از نسخه‌های خاص باج‎افزار کار نکنند.
بیت ‎دیفندر (BitDefender) یک ضدباج‎افزار رمزنگار ارائه داده است که می‌تواند باج‎افزارهای CTB-Locker ،TeslaCrypt ،Locky و Petya را از رایانه حذف کند. آزمایشگاه Kaspersky به تازگی ابزاری منتشر کرده است که می‌تواند پرونده‌های رمزنگاری شده توسط Crypt XXX. را رمزگشایی کند. همچنین برنامه‌ی رمزگشای Rakhni برای بازگرداندن پرونده‌های آلوده شده توسط باج‎افزار Rakhni و هم خانواده‌اش وجود دارد.
ممکن است مهاجمان در رمزنگاری پرونده‌ها یا بخشی از کد اشتباهی کنند که به محققان امنیتی اجازه دهد با مهندسی معکوس، رمزنگاری را بشکنند. برای مثال، آزمایشگاه Kaspersky، برنامه‌ی رمزگشای Scraper را منتشر کرده است که می‌تواند پرونده‌ها را در صورتی رمزگشایی کند که خطایی هنگام اجرای الگوریتم رمزگذاری Tor Locker رخ داده باشد.
محققان Cisco Talos جدیدترین نسخه‌ی TeslaCrypt را کشف کردند که ادعا می‌کند از استاندارد RSA-۲۰۴۸ نامتقارن برای رمزنگاری پرونده‌ها استفاده می‌کند امّا در حقیقت از امنیت رمزنگاری پیشرفته‌ی متقارن (AES) استفاده می‌کند. کد برای ابزار رمزگشایی برای دسته‌ی خاصی از Tesla Crypt ها روی GitHub موجود است. نسخه‌ی دیگری از Tesla Crypt وجود دارد که هنگام کنترل گذرواژه رمزنگاری خطایی درون آن رخ داده است. بنابراین پرونده‌هایی با پسوندهای خاص از جمله .ecc ،.ezz ،.exx ،.xyz ،.zzz ،.aca ،.abc ،.ccc و .vvv با ابزار رمزگشای TeslaDecoder رمزگشایی می‌شوند. بیت‎دیفندر دستوری برای Linux Encoder که اولین باج افزار Linux است دارد.
فابیان‎ووسار از EmsiSoft برنامه‌ی DecryptInfinite را برای بازگرداندن پرونده‌هایی طراحی کرده است که توسط CryptoInfinite رمزنگاری شده باشند. فابیان وورسا همچنین رمزگشایی برای باز کردن پرونده‌های آلوده شده با Radamant، ارائه کرده ‌است که پسوندهای پرونده‌ها را به .rrk و .rdm تغییر می‌دهد، این برنامه برای Gomasan و LeChiffre نیز مؤثر است.
اویو‎ راف مؤسس و مدیرعامل Seculert گفت: «ساز و کار رمزنگاری برای برخی از باج‎افزارها خیلی پیچیده نیست و می‌توان برای آن‌ها از یک ابزار رمزگشا استفاده کرد».
یک برنامه‎نویس ترک به نام Utku Sen طی بررسی باج‎افزار متن‎باز Eda۲/Hidden Tear فهمید چند حمله‌ی غیر پیچیده و ساده مبنای خود را این باج‎افزار قرار داده‌اند. Sen برای این کد درب-پشتی‌ قرار داده است که به قربانیان کمک می‌کند پرونده‌های رمزنگاری شده را باز کنند.
باج‎افزارهایی که در این پروژه بررسی شدند شامل Magic ،Linux. Encoder و Cryptear هستند که پرونده‌های رمزنگاری شده با تمامی آن‌ها را می‌توان باز کرد.
در بعضی موارد شرکت‌های امنیتی توانسته‌اند با موفقیت گذرواژه‎های پرونده‌های رمزنگاری شده را از کارگزار‌های C&C پیدا کنند، همانند آنچه که آزمایشگاه Kaspersky برای قربانیان باج‎افزارهای Com Vault و Bit Cryptor انجام داد.
ابزارهای رمزگشایی راهی طولانی در پیش رو دارند!
متخصصان امنیتی از بازده این ابزارهای رمزگشایی راضی نیستند. نرمن گاداگنو مشاور ارشد در Carbonite گفت: «این ابزارها بی‎تاثیر هستند. مهاجمان سریع‌تر از آنکه بتوانیم در برابر آن‌ها از خود دفاع کنیم و کد رمزگشایی را استخراج کنیم، باج‎افزار خود را ارتقا می‌دهند».
این گفته ممکن است صحیح باشد اما توجه داشته باشید که تعدادی از محققان برنامه‌ها و ابزارهای امنیتی را به تازگی طراحی کرده‌اند، بنابراین پیش از پرداخت باج جستجوی راه چاره‌ در اینترنت می‌تواند مفید واقع شود. اما هنگام جستجو در اینترنت روی همان پیوند اول کلیک نکیند. اول مطمئن شوید که از منبع معتبری مثل یک شرکت امنیتی یا یک شرکت شناخته شده (مثل Bleeping Computer) یا یک محقق شناخته شده کمک می‎گیرید و پس از این‎که توانستید پرونده‌ها را رمزگشایی کنید، از یک برنامه‌ی ضدبدافزار چندین بار استفاده کنید تا مطمئن شوید که باج‎افزار به طور کلی حذف شده باشد.
برنامه و سیستم عامل کامپیوتر خود را برای مقابله با ویروس ها و باج افزارها بروز رسانی کنید. من میبینم هنوز خیلی ها از ویندوز XP استفاده میکنن!!!! نرم‎افزارهای بر‎وز نشده احتمالاً اولین راه های نفوذ را برای باج افزارها باز میکنند.

قرنطینه کردن سیستم و مرحله ی بیهوشی

پس از حمله باج افزار به سیستم فورا عملیات جداسازی را انجام دهید، شبکه ی اینترنت را از کامپیوتر جدا کنید. در اینجا یک فرصت طلایی وجود دارد، ممکن است آلودگی این بدافزار به سیستم های دیگر توزیع نشده باشد و با این کار، شما مانع گسترش آن شوید. این جداسازی راهی مطمئن است تا عملکرد قفل کننده را متوقف کنید و از تخریب فایل ها بر روی سیستم های دیگر جلوگیری کنید.

البته باید بگوییم که نسخه ی جدیدی از راهکارهای امنیتی برای سرورها وجود دارد که شامل ویژگی است که سیستم ها را از رمزنگاری بدافزارها حفظ می کند. این ویژگی قفل کننده را شناسایی می کند و تلاش آن را برای رمزنگاری داده های روی سرور بی نتیجه می کند. این نسخه ی جدید به محض شناسایی قفل کننده و تشخیص سیستم آلوده، فورا دسترسی سیستم آلوده به پوشه های به اشتراک گذاشته شده ی روی سیستم مسدود می شود.

عمل جراحی

در مرحله ی قبل شما اتصال سیستم آلوده را قطع کردید. حال می بایستی دسترسی به دیسک را بدون به خطر انداختن سیستم های دیگر به کار بگیرید.

انجام این کار بسیار ساده است. درایو را جدا کنید و آن را به دستگاه دیگری متصل کنید. اما فراموش نکنید که در ابتدا autorun را در کامپیوتر غیر فعال کنید. و البته شما به یک فایل منیجر به غیر از Windows Explorer برای مشاهده ی محتویات داخل درایو نیاز خواهید داشت.

توجه داشته باشید که نباید هر چیزرا بر روی سیستم آلوده اجرا کنید. استفاده از یک ماشین مجازی به عنوان یک اقدام امنیتی می تواند ایده ای خوب و مناسب باشد.

تمام فایل ها را از درایو آلوده کپی کنید. برای آنیستال کردن سیستم عامل و فرمت درایو عجله نکنید.

یکی دیگر از گزینه هایی که برای کمک به سیستم آلوده وجود دارد نجات دهنده ی دیسک کسپرسکی است.

و در گام بعدی کارشناسان شما را برای شناسایی آلودگی و مراحل تخصصی تر یاری خواهند کرد.

درباره نویسنده

نظرات شما


شش + = 15

16 − چهارده =