از اونجاییکه بعد ازینکه سیستمی دچار باج افزار یا همون Ransomware ها بشه ، به این راحتی ها امکان رهایی ازین باج افزارها رو نداره و بعبارتی باید قید اطلاعاتشو بزنه ، بهتره اقداماتی رو انجام بدیم که به دام این ویرویسهای باج گیر نشیم.
ازونجاییکه اخیراً گزارش های نگران کننده از افزایش قابل توجه انتشار و فعالیت این ویروس های پولکی دریافت کردیم ، تصمیم گرفتیم در این مقاله به معرفی چند راهکار ساده برای اینکه قربانی باج افزارها نشیم بپردازیم:
1- بکاپ گیری مداوم
متأسفانه ماهیت عملیاتی Ransomware ها به شکلی است که پس آلوده کردن سیستم و رمزگذاری فایل ها، امکان بازیابی یا نجات فایل های کدگذاری شده را نیز از بین می برد؛ هر چند که برخی از انواع ویروس، در صورت پرداخت اینترنتی پول درخواستی توسط کاربر،کلید رمزگشایی را در اختیار وی قرارداده و حتی به او کمک می کنند تا فایل های قفل شده خود را بازیابی کند.
به هرحال در اغلب موارد ،فایل های رمز گذاری شده، قابل بازیافت نخواهند بود. بنابراین توصیه اولیه ما این است که از اطلاعات مهم خودتون در سیستم یا هاردی خارج از سیستم فعلیتون یک نسخه بکاپ نگهداری کنید.اگر سیستم حسابداری و یا اطلاعاتی دارید که هرروز تغییر میکند، حتما بصورت روزانه در سیستمی به غیر از سیستم فعلی کپی از اطلاعات داشته باشید.
برای بکاپگیری از نرم افزار های بکاپ گیری نظیر سیمانتک می تونید استفاده کنید ، در ساده ترین حالت هم اطلاعات را در یک هارد دیگه کپی میکنید.
2-ایمیلهای مشکوک رو به هیچ وجه باز نکنین
ایمیل های ناشناس رو باز نکنین یا اگه بازکردین به هیچ وجه روی فایلهای پیوست شده در اون ایمیل کلیک نکنین
اکثر گزارشاتی که تا حالا تو میهن داشتیم مربوط به این بوده که یک ایمیل رو دریافت کردن و فایل attach را کلیک کردن.
این ایمیلها با عنوانهای فریب دهنده ارسال می شن ، مثلا برنده شدن در مسابقات یا شرایط گرفتن مهاجرت دائمی از نمونه ایمیلهایی هست که افراد را قربانی این باج افزارها میکند.
3-بروز رسانی سیستم عامل و نرم افزارها
همیشه سیستم عامل کامپیوترتون رو بروز کنید ، برای من خیلی عجیبه وقتی میبنم هنوز عده ای هستند که از ویندوز XP استفاده میکنن و وقتی ازشون میپرسم چرا هنوز از اکس پی استفاده میکنین ، میگن نرم افزارهایی داریم که فقط با XP کار میکنن (عذر بدتر از گناه) واقعا نرم افزاری که فقط رو XP کار میکنه و توسعه دهنده هاش اون نرم افزار را با سیستم عاملهای بروز ، آپدیت نمیکنند ، یک ریال ارزش نداره.
نرم افزارها و آنتی ویروس های خود را همیشه بروز کنید ، یقینا نرم افزارهای بروز نشده اولین راههای نفوذ را برای ویروس ها ، بد افزارها و باج افزارها باز میزارن
همینطور بر روی لینک های ناشناس و مشکوک کلیک نکنید و حتی الامکان از دانلود نرم افزارهای ناشناس بپرهیزید.
4- استفاده از قابلیت System Restore در ویندوز
از قابلیت System Restore و یا Previous Versions در سیستم عامل ویندوز استفاده کنید. با تعریف نقطه های بازیابی فایل ها Restore Points به صورت دائم می توانید حتی در صورت قفل شدن و نابود شدن فایل هایتان، آن ها را به آخرین نقطه تعریف شده در بخش System Restoreبرگردانید. بنابراین با تعریف روزانه نقطه های بازیابی از شر ویروس هایی که اطلاعات و اسناد مهم شما را هدف می گیرند مصون بمانید.
برای جلوگیری از اجرای برنامه های ناخواسته و مزاحم که شامل ویروس ها و بدافزار ها هم می شوند، می توانید در کامپیوتر های خانگی از بخش “مدیریت سیستم های امنیتی”(Local Security Policy) در سیستم عامل ویندوز استفاده کنید. برای شبکه های سازمانی هم می توانید از قابلیت های موجود در بخش “” Group/Local Policy استفاده کنید . خب …. حالا می توانید با تعریف یک لیست سفید “White List” از فایل ها و برنامه های اجرایی دلخواهتان، اجرای تمام برنامه های خارج از این فهرست را مسدود (Block) کنید. بنابراین به سادگی از اجرای بدافزار ها و فایل هایی که نمی خواهید اجرا شوند، جلوگیری می کنید؛ هرچند که ممکن است کارآیی و بازده عملیاتی رایانه شما اندکی کاهش یابد.
قبلا در مقاله ((باج افزار چیست)) راجب باج افزارها براتون گفتیم و متوجه شدیم رعایت نکردن ساده ترین نکات ممکنه به قیمت حذف همه اطلاعاتمون بشه
اما اگه به هر دلیلی گرفتار این ویروس های نوظهور شدیم چیکار کنیم؟؟
اقدامات لازم زمانیکه با این مورد مواجه شدیم:
اول باید بگیم ، همیشه همیشه یک بکاپ از اطلاعات مهمتون تو یک هارد یا سیستم دیگه داشته باشین ، اگه بکاپ داشته باشین ، سریع سیستم عامل سیستمتونو عوض میکنین و فایلهاتونو دوباره منتقل میکنین و بدون پرداخت باج مشکلتون حل میشه
در ادامه راهکارهای زیر به ما کمک میکنه تا با سرعت بهتری با باج افزارها مقابله و یا جلوگیری کنیم:
۱- جداسازی کامپیوتر آلوده شده از شبکه سازمان:
اولین قدم به محض آلوده شدن به باجافزار این است که هرچه سریعتر کامپیوتر آلوده را از شبکه سازمان یا شرکت جدا کنید، شبکه وای فای و بلوتوث را خاموش کنید، تمامی ارتباطات خارجی، خدمات ابری و دیسک سخت خارجی را قطع کنید. با این کارها مطمئن میشوید که آلودگی پخش نمیشود و از ارتباط بدافزار با رایانه مرکزی شبکه جلوگیری میکنید. این کار کمی زمان میبرد و از زمانی که مهاجم تهدید به افزایش مبلغ باج میکند ثانیهها هم ارزشمند میشوند.
باج افزار Jigsaw به ازای هر ساعتی که باج را نپردازید، فولدرها و فایلهای بیشتری را در سیستم شما از بین میبرد و باجافزار CryptoLocker نیز اگر در مدت زمان مشخص شده پول پرداخت نشود باج را افزایش میدهد.
۲- دانستن نام واقعی بدافزار:
باج افزاری که با آن سروکار دارید را بشناسید. تقریباً ۷۰ خانواده باجافزار وجود دارد که برخی از آنها با نسخههای جدیدتر ناسازگارند. در بعضی موارد مثل TeslaCrypt پیامی که میگوید پروندههای شما رمزنگاری شده است حاوی نام باجافزار نیز هست. زیرا قربانیان اگر بدانند اشخاص دیگری هم با پرداخت پول توانستهاند پروندههایشان را از یک باجافزار خاص پس بگیرند، آنها هم ترغیب میشوند که باج را بپردازند.
با این حال برخی از باجافزارها به نظر میرسد که تمایل دارند، ناشناس باقی بمانند. CryptoLocker در روزهای اوجش مشکل بزرگی به حساب میآمد و در این مورد پیامی نشان داده و هشدار میداد که پروندهها رمزنگاری شدهاند. برخی از باجافزارها از پسوند خاصی استفاده میکنند. مانند Locky که نامش را به این دلیل انتخاب کردهاند که پروندههای رمزنگاری شده پسوند Locky را مشخص میکنند. اگر باجافزار را نمیشناسید در اینترنت آدرسهای پرداخت بیتکوین یا پیامهای واقعی باج را جستجو کنید تا متوجه شوید کدام باجافزار یا کدام گروه باجافزاری پروندههای شما را آلوده کرده است. اگر اصلاً نتوانستید باجافزار را شناسایی کنید، این احتمال وجود دارد که باجافزار جعلی باشد. یک حملهی مهندسی اجتماعی سطح پایین که میتوانید به آسانی از آن فرار کنید.
سیستم عامل کامپیوتر و نرم افزارهای خود را برای مقابله با ویروس ها و باج افزارها بروز رسانی کنید. من میبینم هنوز خیلی ها از ویندوز XP استفاده میکنن!!!! نرمافزارهای بروز نشده احتمالاً اولین راه های نفوذ را برای باج افزارها باز میکنند.
۳- یافتن یک ابزار رمزگشایی:
اگر بدانید که دقیقا با چه باجافزاری سرو کار دارید شاید بتوانید راههایی برای رهایی از آلودگی پیدا کنید. مجموعهی کاملی از چنین ابزارهایی موجود و در دسترس عموم است، اما توجه داشته باشید که ممکن است روی بعضی از نسخههای خاص باجافزار کار نکنند.
بیت دیفندر (BitDefender) یک ضدباجافزار رمزنگار ارائه داده است که میتواند باجافزارهای CTB-Locker ،TeslaCrypt ،Locky و Petya را از رایانه حذف کند. آزمایشگاه Kaspersky به تازگی ابزاری منتشر کرده است که میتواند پروندههای رمزنگاری شده توسط Crypt XXX. را رمزگشایی کند. همچنین برنامهی رمزگشای Rakhni برای بازگرداندن پروندههای آلوده شده توسط باجافزار Rakhni و هم خانوادهاش وجود دارد.
ممکن است مهاجمان در رمزنگاری پروندهها یا بخشی از کد اشتباهی کنند که به محققان امنیتی اجازه دهد با مهندسی معکوس، رمزنگاری را بشکنند. برای مثال، آزمایشگاه Kaspersky، برنامهی رمزگشای Scraper را منتشر کرده است که میتواند پروندهها را در صورتی رمزگشایی کند که خطایی هنگام اجرای الگوریتم رمزگذاری Tor Locker رخ داده باشد.
محققان Cisco Talos جدیدترین نسخهی TeslaCrypt را کشف کردند که ادعا میکند از استاندارد RSA-۲۰۴۸ نامتقارن برای رمزنگاری پروندهها استفاده میکند امّا در حقیقت از امنیت رمزنگاری پیشرفتهی متقارن (AES) استفاده میکند. کد برای ابزار رمزگشایی برای دستهی خاصی از Tesla Crypt ها روی GitHub موجود است. نسخهی دیگری از Tesla Crypt وجود دارد که هنگام کنترل گذرواژه رمزنگاری خطایی درون آن رخ داده است. بنابراین پروندههایی با پسوندهای خاص از جمله .ecc ،.ezz ،.exx ،.xyz ،.zzz ،.aca ،.abc ،.ccc و .vvv با ابزار رمزگشای TeslaDecoder رمزگشایی میشوند. بیتدیفندر دستوری برای Linux Encoder که اولین باج افزار Linux است دارد.
فابیانووسار از EmsiSoft برنامهی DecryptInfinite را برای بازگرداندن پروندههایی طراحی کرده است که توسط CryptoInfinite رمزنگاری شده باشند. فابیان وورسا همچنین رمزگشایی برای باز کردن پروندههای آلوده شده با Radamant، ارائه کرده است که پسوندهای پروندهها را به .rrk و .rdm تغییر میدهد، این برنامه برای Gomasan و LeChiffre نیز مؤثر است.
اویو راف مؤسس و مدیرعامل Seculert گفت: «ساز و کار رمزنگاری برای برخی از باجافزارها خیلی پیچیده نیست و میتوان برای آنها از یک ابزار رمزگشا استفاده کرد».
یک برنامهنویس ترک به نام Utku Sen طی بررسی باجافزار متنباز Eda۲/Hidden Tear فهمید چند حملهی غیر پیچیده و ساده مبنای خود را این باجافزار قرار دادهاند. Sen برای این کد درب-پشتی قرار داده است که به قربانیان کمک میکند پروندههای رمزنگاری شده را باز کنند.
باجافزارهایی که در این پروژه بررسی شدند شامل Magic ،Linux. Encoder و Cryptear هستند که پروندههای رمزنگاری شده با تمامی آنها را میتوان باز کرد.
در بعضی موارد شرکتهای امنیتی توانستهاند با موفقیت گذرواژههای پروندههای رمزنگاری شده را از کارگزارهای C&C پیدا کنند، همانند آنچه که آزمایشگاه Kaspersky برای قربانیان باجافزارهای Com Vault و Bit Cryptor انجام داد.
ابزارهای رمزگشایی راهی طولانی در پیش رو دارند!
متخصصان امنیتی از بازده این ابزارهای رمزگشایی راضی نیستند. نرمن گاداگنو مشاور ارشد در Carbonite گفت: «این ابزارها بیتاثیر هستند. مهاجمان سریعتر از آنکه بتوانیم در برابر آنها از خود دفاع کنیم و کد رمزگشایی را استخراج کنیم، باجافزار خود را ارتقا میدهند».
این گفته ممکن است صحیح باشد اما توجه داشته باشید که تعدادی از محققان برنامهها و ابزارهای امنیتی را به تازگی طراحی کردهاند، بنابراین پیش از پرداخت باج جستجوی راه چاره در اینترنت میتواند مفید واقع شود. اما هنگام جستجو در اینترنت روی همان پیوند اول کلیک نکیند. اول مطمئن شوید که از منبع معتبری مثل یک شرکت امنیتی یا یک شرکت شناخته شده (مثل Bleeping Computer) یا یک محقق شناخته شده کمک میگیرید و پس از اینکه توانستید پروندهها را رمزگشایی کنید، از یک برنامهی ضدبدافزار چندین بار استفاده کنید تا مطمئن شوید که باجافزار به طور کلی حذف شده باشد.
برنامه و سیستم عامل کامپیوتر خود را برای مقابله با ویروس ها و باج افزارها بروز رسانی کنید. من میبینم هنوز خیلی ها از ویندوز XP استفاده میکنن!!!! نرمافزارهای بروز نشده احتمالاً اولین راه های نفوذ را برای باج افزارها باز میکنند.
قرنطینه کردن سیستم و مرحله ی بیهوشی
پس از حمله باج افزار به سیستم فورا عملیات جداسازی را انجام دهید، شبکه ی اینترنت را از کامپیوتر جدا کنید. در اینجا یک فرصت طلایی وجود دارد، ممکن است آلودگی این بدافزار به سیستم های دیگر توزیع نشده باشد و با این کار، شما مانع گسترش آن شوید. این جداسازی راهی مطمئن است تا عملکرد قفل کننده را متوقف کنید و از تخریب فایل ها بر روی سیستم های دیگر جلوگیری کنید.
البته باید بگوییم که نسخه ی جدیدی از راهکارهای امنیتی برای سرورها وجود دارد که شامل ویژگی است که سیستم ها را از رمزنگاری بدافزارها حفظ می کند. این ویژگی قفل کننده را شناسایی می کند و تلاش آن را برای رمزنگاری داده های روی سرور بی نتیجه می کند. این نسخه ی جدید به محض شناسایی قفل کننده و تشخیص سیستم آلوده، فورا دسترسی سیستم آلوده به پوشه های به اشتراک گذاشته شده ی روی سیستم مسدود می شود.
عمل جراحی
در مرحله ی قبل شما اتصال سیستم آلوده را قطع کردید. حال می بایستی دسترسی به دیسک را بدون به خطر انداختن سیستم های دیگر به کار بگیرید.
انجام این کار بسیار ساده است. درایو را جدا کنید و آن را به دستگاه دیگری متصل کنید. اما فراموش نکنید که در ابتدا autorun را در کامپیوتر غیر فعال کنید. و البته شما به یک فایل منیجر به غیر از Windows Explorer برای مشاهده ی محتویات داخل درایو نیاز خواهید داشت.
توجه داشته باشید که نباید هر چیزرا بر روی سیستم آلوده اجرا کنید. استفاده از یک ماشین مجازی به عنوان یک اقدام امنیتی می تواند ایده ای خوب و مناسب باشد.
تمام فایل ها را از درایو آلوده کپی کنید. برای آنیستال کردن سیستم عامل و فرمت درایو عجله نکنید.
یکی دیگر از گزینه هایی که برای کمک به سیستم آلوده وجود دارد نجات دهنده ی دیسک کسپرسکی است.
و در گام بعدی کارشناسان شما را برای شناسایی آلودگی و مراحل تخصصی تر یاری خواهند کرد.