اقدامات لازم در هنگام مواجه با باج افزارها
قبلا در مقاله ((باج افزار چیست)) راجب باج افزارها براتون گفتیم و متوجه شدیم رعایت نکردن ساده ترین نکات ممکنه به قیمت حذف همه اطلاعاتمون بشه
اما اگه به هر دلیلی گرفتار این ویروس های نوظهور شدیم چیکار کنیم؟؟
اقدامات لازم زمانیکه با این مورد مواجه شدیم:
اول باید بگیم ، همیشه همیشه یک بکاپ از اطلاعات مهمتون تو یک هارد یا سیستم دیگه داشته باشین ، اگه بکاپ داشته باشین ، سریع سیستم عامل سیستمتونو عوض میکنین و فایلهاتونو دوباره منتقل میکنین و بدون پرداخت باج مشکلتون حل میشه
در ادامه راهکارهای زیر به ما کمک میکنه تا با سرعت بهتری با باج افزارها مقابله و یا جلوگیری کنیم:
۱- جداسازی کامپیوتر آلوده شده از شبکه سازمان:
اولین قدم به محض آلوده شدن به باجافزار این است که هرچه سریعتر کامپیوتر آلوده را از شبکه سازمان یا شرکت جدا کنید، شبکه وای فای و بلوتوث را خاموش کنید، تمامی ارتباطات خارجی، خدمات ابری و دیسک سخت خارجی را قطع کنید. با این کارها مطمئن میشوید که آلودگی پخش نمیشود و از ارتباط بدافزار با رایانه مرکزی شبکه جلوگیری میکنید. این کار کمی زمان میبرد و از زمانی که مهاجم تهدید به افزایش مبلغ باج میکند ثانیهها هم ارزشمند میشوند.
باج افزار Jigsaw به ازای هر ساعتی که باج را نپردازید، فولدرها و فایلهای بیشتری را در سیستم شما از بین میبرد و باجافزار CryptoLocker نیز اگر در مدت زمان مشخص شده پول پرداخت نشود باج را افزایش میدهد.
۲- دانستن نام واقعی بدافزار:
باج افزاری که با آن سروکار دارید را بشناسید. تقریباً ۷۰ خانواده باجافزار وجود دارد که برخی از آنها با نسخههای جدیدتر ناسازگارند. در بعضی موارد مثل TeslaCrypt پیامی که میگوید پروندههای شما رمزنگاری شده است حاوی نام باجافزار نیز هست. زیرا قربانیان اگر بدانند اشخاص دیگری هم با پرداخت پول توانستهاند پروندههایشان را از یک باجافزار خاص پس بگیرند، آنها هم ترغیب میشوند که باج را بپردازند.
با این حال برخی از باجافزارها به نظر میرسد که تمایل دارند، ناشناس باقی بمانند. CryptoLocker در روزهای اوجش مشکل بزرگی به حساب میآمد و در این مورد پیامی نشان داده و هشدار میداد که پروندهها رمزنگاری شدهاند. برخی از باجافزارها از پسوند خاصی استفاده میکنند. مانند Locky که نامش را به این دلیل انتخاب کردهاند که پروندههای رمزنگاری شده پسوند Locky را مشخص میکنند. اگر باجافزار را نمیشناسید در اینترنت آدرسهای پرداخت بیتکوین یا پیامهای واقعی باج را جستجو کنید تا متوجه شوید کدام باجافزار یا کدام گروه باجافزاری پروندههای شما را آلوده کرده است. اگر اصلاً نتوانستید باجافزار را شناسایی کنید، این احتمال وجود دارد که باجافزار جعلی باشد. یک حملهی مهندسی اجتماعی سطح پایین که میتوانید به آسانی از آن فرار کنید.
سیستم عامل کامپیوتر و نرم افزارهای خود را برای مقابله با ویروس ها و باج افزارها بروز رسانی کنید. من میبینم هنوز خیلی ها از ویندوز XP استفاده میکنن!!!! نرمافزارهای بروز نشده احتمالاً اولین راه های نفوذ را برای باج افزارها باز میکنند.
۳- یافتن یک ابزار رمزگشایی:
اگر بدانید که دقیقا با چه باجافزاری سرو کار دارید شاید بتوانید راههایی برای رهایی از آلودگی پیدا کنید. مجموعهی کاملی از چنین ابزارهایی موجود و در دسترس عموم است، اما توجه داشته باشید که ممکن است روی بعضی از نسخههای خاص باجافزار کار نکنند.
بیت دیفندر (BitDefender) یک ضدباجافزار رمزنگار ارائه داده است که میتواند باجافزارهای CTB-Locker ،TeslaCrypt ،Locky و Petya را از رایانه حذف کند. آزمایشگاه Kaspersky به تازگی ابزاری منتشر کرده است که میتواند پروندههای رمزنگاری شده توسط Crypt XXX. را رمزگشایی کند. همچنین برنامهی رمزگشای Rakhni برای بازگرداندن پروندههای آلوده شده توسط باجافزار Rakhni و هم خانوادهاش وجود دارد.
ممکن است مهاجمان در رمزنگاری پروندهها یا بخشی از کد اشتباهی کنند که به محققان امنیتی اجازه دهد با مهندسی معکوس، رمزنگاری را بشکنند. برای مثال، آزمایشگاه Kaspersky، برنامهی رمزگشای Scraper را منتشر کرده است که میتواند پروندهها را در صورتی رمزگشایی کند که خطایی هنگام اجرای الگوریتم رمزگذاری Tor Locker رخ داده باشد.
محققان Cisco Talos جدیدترین نسخهی TeslaCrypt را کشف کردند که ادعا میکند از استاندارد RSA-۲۰۴۸ نامتقارن برای رمزنگاری پروندهها استفاده میکند امّا در حقیقت از امنیت رمزنگاری پیشرفتهی متقارن (AES) استفاده میکند. کد برای ابزار رمزگشایی برای دستهی خاصی از Tesla Crypt ها روی GitHub موجود است. نسخهی دیگری از Tesla Crypt وجود دارد که هنگام کنترل گذرواژه رمزنگاری خطایی درون آن رخ داده است. بنابراین پروندههایی با پسوندهای خاص از جمله .ecc ،.ezz ،.exx ،.xyz ،.zzz ،.aca ،.abc ،.ccc و .vvv با ابزار رمزگشای TeslaDecoder رمزگشایی میشوند. بیتدیفندر دستوری برای Linux Encoder که اولین باج افزار Linux است دارد.
فابیانووسار از EmsiSoft برنامهی DecryptInfinite را برای بازگرداندن پروندههایی طراحی کرده است که توسط CryptoInfinite رمزنگاری شده باشند. فابیان وورسا همچنین رمزگشایی برای باز کردن پروندههای آلوده شده با Radamant، ارائه کرده است که پسوندهای پروندهها را به .rrk و .rdm تغییر میدهد، این برنامه برای Gomasan و LeChiffre نیز مؤثر است.
اویو راف مؤسس و مدیرعامل Seculert گفت: «ساز و کار رمزنگاری برای برخی از باجافزارها خیلی پیچیده نیست و میتوان برای آنها از یک ابزار رمزگشا استفاده کرد».
یک برنامهنویس ترک به نام Utku Sen طی بررسی باجافزار متنباز Eda۲/Hidden Tear فهمید چند حملهی غیر پیچیده و ساده مبنای خود را این باجافزار قرار دادهاند. Sen برای این کد درب-پشتی قرار داده است که به قربانیان کمک میکند پروندههای رمزنگاری شده را باز کنند.
باجافزارهایی که در این پروژه بررسی شدند شامل Magic ،Linux. Encoder و Cryptear هستند که پروندههای رمزنگاری شده با تمامی آنها را میتوان باز کرد.
در بعضی موارد شرکتهای امنیتی توانستهاند با موفقیت گذرواژههای پروندههای رمزنگاری شده را از کارگزارهای C&C پیدا کنند، همانند آنچه که آزمایشگاه Kaspersky برای قربانیان باجافزارهای Com Vault و Bit Cryptor انجام داد.
ابزارهای رمزگشایی راهی طولانی در پیش رو دارند!
متخصصان امنیتی از بازده این ابزارهای رمزگشایی راضی نیستند. نرمن گاداگنو مشاور ارشد در Carbonite گفت: «این ابزارها بیتاثیر هستند. مهاجمان سریعتر از آنکه بتوانیم در برابر آنها از خود دفاع کنیم و کد رمزگشایی را استخراج کنیم، باجافزار خود را ارتقا میدهند».
این گفته ممکن است صحیح باشد اما توجه داشته باشید که تعدادی از محققان برنامهها و ابزارهای امنیتی را به تازگی طراحی کردهاند، بنابراین پیش از پرداخت باج جستجوی راه چاره در اینترنت میتواند مفید واقع شود. اما هنگام جستجو در اینترنت روی همان پیوند اول کلیک نکیند. اول مطمئن شوید که از منبع معتبری مثل یک شرکت امنیتی یا یک شرکت شناخته شده (مثل Bleeping Computer) یا یک محقق شناخته شده کمک میگیرید و پس از اینکه توانستید پروندهها را رمزگشایی کنید، از یک برنامهی ضدبدافزار چندین بار استفاده کنید تا مطمئن شوید که باجافزار به طور کلی حذف شده باشد.
برنامه و سیستم عامل کامپیوتر خود را برای مقابله با ویروس ها و باج افزارها بروز رسانی کنید. من میبینم هنوز خیلی ها از ویندوز XP استفاده میکنن!!!! نرمافزارهای بروز نشده احتمالاً اولین راه های نفوذ را برای باج افزارها باز میکنند.
قرنطینه کردن سیستم و مرحله ی بیهوشی
پس از حمله باج افزار به سیستم فورا عملیات جداسازی را انجام دهید، شبکه ی اینترنت را از کامپیوتر جدا کنید. در اینجا یک فرصت طلایی وجود دارد، ممکن است آلودگی این بدافزار به سیستم های دیگر توزیع نشده باشد و با این کار، شما مانع گسترش آن شوید. این جداسازی راهی مطمئن است تا عملکرد قفل کننده را متوقف کنید و از تخریب فایل ها بر روی سیستم های دیگر جلوگیری کنید.
البته باید بگوییم که نسخه ی جدیدی از راهکارهای امنیتی برای سرورها وجود دارد که شامل ویژگی است که سیستم ها را از رمزنگاری بدافزارها حفظ می کند. این ویژگی قفل کننده را شناسایی می کند و تلاش آن را برای رمزنگاری داده های روی سرور بی نتیجه می کند. این نسخه ی جدید به محض شناسایی قفل کننده و تشخیص سیستم آلوده، فورا دسترسی سیستم آلوده به پوشه های به اشتراک گذاشته شده ی روی سیستم مسدود می شود.
عمل جراحی
در مرحله ی قبل شما اتصال سیستم آلوده را قطع کردید. حال می بایستی دسترسی به دیسک را بدون به خطر انداختن سیستم های دیگر به کار بگیرید.
انجام این کار بسیار ساده است. درایو را جدا کنید و آن را به دستگاه دیگری متصل کنید. اما فراموش نکنید که در ابتدا autorun را در کامپیوتر غیر فعال کنید. و البته شما به یک فایل منیجر به غیر از Windows Explorer برای مشاهده ی محتویات داخل درایو نیاز خواهید داشت.
توجه داشته باشید که نباید هر چیزرا بر روی سیستم آلوده اجرا کنید. استفاده از یک ماشین مجازی به عنوان یک اقدام امنیتی می تواند ایده ای خوب و مناسب باشد.
تمام فایل ها را از درایو آلوده کپی کنید. برای آنیستال کردن سیستم عامل و فرمت درایو عجله نکنید.
یکی دیگر از گزینه هایی که برای کمک به سیستم آلوده وجود دارد نجات دهنده ی دیسک کسپرسکی است.
و در گام بعدی کارشناسان شما را برای شناسایی آلودگی و مراحل تخصصی تر یاری خواهند کرد.