اقدامات لازم در هنگام مواجه با باج افزارها

اقدامات لازم در هنگام مواجه با باج افزارها
اقدامات لازم در هنگام مواجه با باج افزارها

قبلا در مقاله ((باج افزار چیست)) راجب باج افزارها براتون گفتیم و متوجه شدیم رعایت نکردن ساده ترین نکات ممکنه به قیمت حذف همه اطلاعاتمون بشه

اما اگه به هر دلیلی گرفتار این ویروس های نوظهور شدیم چیکار کنیم؟؟
اقدامات لازم زمانیکه با این مورد مواجه شدیم:
اول باید بگیم ، همیشه همیشه یک بکاپ از اطلاعات مهمتون تو یک هارد یا سیستم دیگه داشته باشین ، اگه بکاپ داشته باشین ، سریع سیستم عامل سیستمتونو عوض میکنین و فایلهاتونو دوباره منتقل میکنین و بدون پرداخت باج مشکلتون حل میشه
در ادامه راهکارهای زیر به ما کمک میکنه تا با سرعت بهتری با باج افزارها مقابله و یا جلوگیری کنیم:
۱- جداسازی کامپیوتر آلوده شده از شبکه سازمان:
اولین قدم به محض آلوده شدن به باج‌افزار این است که هرچه سریع‎تر کامپیوتر آلوده را از شبکه سازمان یا شرکت جدا کنید، شبکه وای فای و بلوتوث را خاموش کنید، تمامی ارتباطات خارجی، خدمات ابری و دیسک سخت خارجی را قطع کنید. با این کارها مطمئن می‌شوید که آلودگی پخش نمی‌شود و از ارتباط بدافزار با رایانه مرکزی شبکه جلوگیری می‌کنید. این کار کمی زمان می‌برد و از زمانی که مهاجم تهدید به افزایش مبلغ باج می‌کند ثانیه‌ها هم ارزشمند می‌شوند.
باج افزار Jigsaw به ازای هر ساعتی که باج را نپردازید، فولدرها و فایلهای بیشتری را در سیستم شما از بین می‌برد و باج‎افزار CryptoLocker نیز اگر در مدت زمان مشخص شده پول پرداخت نشود باج را افزایش می‌دهد.

۲- دانستن نام واقعی بدافزار:
باج افزاری که با آن سروکار دارید را بشناسید. تقریباً ۷۰ خانواده باج‎افزار وجود دارد که برخی از آن‌ها با نسخه‌های جدیدتر ناسازگارند. در بعضی موارد مثل TeslaCrypt پیامی که می‌گوید پرونده‌های شما رمزنگاری شده است حاوی نام باج‎افزار نیز هست. زیرا قربانیان اگر بدانند اشخاص دیگری هم با پرداخت پول توانسته‌اند پرونده‌هایشان را از یک باج‎افزار خاص پس بگیرند، آن‌ها هم ترغیب می‌شوند که باج را بپردازند.
با این حال برخی از باج‎افزارها به نظر می‌رسد که تمایل دارند، ناشناس باقی بمانند. CryptoLocker در روزهای اوجش مشکل بزرگی به حساب می‌آمد و در این مورد پیامی نشان داده و هشدار می‌داد که پرونده‌ها رمزنگاری شده‌‌اند. برخی از باج‎افزارها از پسوند خاصی استفاده می‌کنند. مانند Locky که نامش را به این دلیل انتخاب کرده‌اند که پرونده‌های رمزنگاری شده پسوند Locky را مشخص می‌کنند. اگر باج‎افزار را نمی‌شناسید در اینترنت آدرس‌های پرداخت بیت‎کوین یا پیام‌های واقعی باج را جستجو کنید تا متوجه شوید کدام باج‎افزار یا کدام گروه باج‎افزاری پرونده‌های شما را آلوده کرده است. اگر اصلاً نتوانستید باج‎افزار را شناسایی کنید، این احتمال وجود دارد که باج‎افزار جعلی باشد. یک حمله‌ی مهندسی اجتماعی سطح پایین که می‌توانید به آسانی از آن فرار کنید.
‎سیستم عامل کامپیوتر و نرم افزارهای خود را برای مقابله با ویروس ها و باج افزارها بروز رسانی کنید. من میبینم هنوز خیلی ها از ویندوز XP استفاده میکنن!!!! نرم‎افزارهای بر‎وز نشده احتمالاً اولین راه های نفوذ را برای باج افزارها باز میکنند.

۳- یافتن یک ابزار رمزگشایی:
اگر بدانید که دقیقا با چه باج‎افزاری سرو کار دارید شاید بتوانید راه‌هایی برای رهایی از آلودگی پیدا کنید. مجموعه‌ی کاملی از چنین ابزارهایی موجود و در دسترس عموم است، اما توجه داشته باشید که ممکن است روی بعضی از نسخه‌های خاص باج‎افزار کار نکنند.
بیت ‎دیفندر (BitDefender) یک ضدباج‎افزار رمزنگار ارائه داده است که می‌تواند باج‎افزارهای CTB-Locker ،TeslaCrypt ،Locky و Petya را از رایانه حذف کند. آزمایشگاه Kaspersky به تازگی ابزاری منتشر کرده است که می‌تواند پرونده‌های رمزنگاری شده توسط Crypt XXX. را رمزگشایی کند. همچنین برنامه‌ی رمزگشای Rakhni برای بازگرداندن پرونده‌های آلوده شده توسط باج‎افزار Rakhni و هم خانواده‌اش وجود دارد.
ممکن است مهاجمان در رمزنگاری پرونده‌ها یا بخشی از کد اشتباهی کنند که به محققان امنیتی اجازه دهد با مهندسی معکوس، رمزنگاری را بشکنند. برای مثال، آزمایشگاه Kaspersky، برنامه‌ی رمزگشای Scraper را منتشر کرده است که می‌تواند پرونده‌ها را در صورتی رمزگشایی کند که خطایی هنگام اجرای الگوریتم رمزگذاری Tor Locker رخ داده باشد.
محققان Cisco Talos جدیدترین نسخه‌ی TeslaCrypt را کشف کردند که ادعا می‌کند از استاندارد RSA-۲۰۴۸ نامتقارن برای رمزنگاری پرونده‌ها استفاده می‌کند امّا در حقیقت از امنیت رمزنگاری پیشرفته‌ی متقارن (AES) استفاده می‌کند. کد برای ابزار رمزگشایی برای دسته‌ی خاصی از Tesla Crypt ها روی GitHub موجود است. نسخه‌ی دیگری از Tesla Crypt وجود دارد که هنگام کنترل گذرواژه رمزنگاری خطایی درون آن رخ داده است. بنابراین پرونده‌هایی با پسوندهای خاص از جمله .ecc ،.ezz ،.exx ،.xyz ،.zzz ،.aca ،.abc ،.ccc و .vvv با ابزار رمزگشای TeslaDecoder رمزگشایی می‌شوند. بیت‎دیفندر دستوری برای Linux Encoder که اولین باج افزار Linux است دارد.
فابیان‎ووسار از EmsiSoft برنامه‌ی DecryptInfinite را برای بازگرداندن پرونده‌هایی طراحی کرده است که توسط CryptoInfinite رمزنگاری شده باشند. فابیان وورسا همچنین رمزگشایی برای باز کردن پرونده‌های آلوده شده با Radamant، ارائه کرده ‌است که پسوندهای پرونده‌ها را به .rrk و .rdm تغییر می‌دهد، این برنامه برای Gomasan و LeChiffre نیز مؤثر است.
اویو‎ راف مؤسس و مدیرعامل Seculert گفت: «ساز و کار رمزنگاری برای برخی از باج‎افزارها خیلی پیچیده نیست و می‌توان برای آن‌ها از یک ابزار رمزگشا استفاده کرد».
یک برنامه‎نویس ترک به نام Utku Sen طی بررسی باج‎افزار متن‎باز Eda۲/Hidden Tear فهمید چند حمله‌ی غیر پیچیده و ساده مبنای خود را این باج‎افزار قرار داده‌اند. Sen برای این کد درب-پشتی‌ قرار داده است که به قربانیان کمک می‌کند پرونده‌های رمزنگاری شده را باز کنند.
باج‎افزارهایی که در این پروژه بررسی شدند شامل Magic ،Linux. Encoder و Cryptear هستند که پرونده‌های رمزنگاری شده با تمامی آن‌ها را می‌توان باز کرد.
در بعضی موارد شرکت‌های امنیتی توانسته‌اند با موفقیت گذرواژه‎های پرونده‌های رمزنگاری شده را از کارگزار‌های C&C پیدا کنند، همانند آنچه که آزمایشگاه Kaspersky برای قربانیان باج‎افزارهای Com Vault و Bit Cryptor انجام داد.
ابزارهای رمزگشایی راهی طولانی در پیش رو دارند!
متخصصان امنیتی از بازده این ابزارهای رمزگشایی راضی نیستند. نرمن گاداگنو مشاور ارشد در Carbonite گفت: «این ابزارها بی‎تاثیر هستند. مهاجمان سریع‌تر از آنکه بتوانیم در برابر آن‌ها از خود دفاع کنیم و کد رمزگشایی را استخراج کنیم، باج‎افزار خود را ارتقا می‌دهند».
این گفته ممکن است صحیح باشد اما توجه داشته باشید که تعدادی از محققان برنامه‌ها و ابزارهای امنیتی را به تازگی طراحی کرده‌اند، بنابراین پیش از پرداخت باج جستجوی راه چاره‌ در اینترنت می‌تواند مفید واقع شود. اما هنگام جستجو در اینترنت روی همان پیوند اول کلیک نکیند. اول مطمئن شوید که از منبع معتبری مثل یک شرکت امنیتی یا یک شرکت شناخته شده (مثل Bleeping Computer) یا یک محقق شناخته شده کمک می‎گیرید و پس از این‎که توانستید پرونده‌ها را رمزگشایی کنید، از یک برنامه‌ی ضدبدافزار چندین بار استفاده کنید تا مطمئن شوید که باج‎افزار به طور کلی حذف شده باشد.
برنامه و سیستم عامل کامپیوتر خود را برای مقابله با ویروس ها و باج افزارها بروز رسانی کنید. من میبینم هنوز خیلی ها از ویندوز XP استفاده میکنن!!!! نرم‎افزارهای بر‎وز نشده احتمالاً اولین راه های نفوذ را برای باج افزارها باز میکنند.

قرنطینه کردن سیستم و مرحله ی بیهوشی

پس از حمله باج افزار به سیستم فورا عملیات جداسازی را انجام دهید، شبکه ی اینترنت را از کامپیوتر جدا کنید. در اینجا یک فرصت طلایی وجود دارد، ممکن است آلودگی این بدافزار به سیستم های دیگر توزیع نشده باشد و با این کار، شما مانع گسترش آن شوید. این جداسازی راهی مطمئن است تا عملکرد قفل کننده را متوقف کنید و از تخریب فایل ها بر روی سیستم های دیگر جلوگیری کنید.

البته باید بگوییم که نسخه ی جدیدی از راهکارهای امنیتی برای سرورها وجود دارد که شامل ویژگی است که سیستم ها را از رمزنگاری بدافزارها حفظ می کند. این ویژگی قفل کننده را شناسایی می کند و تلاش آن را برای رمزنگاری داده های روی سرور بی نتیجه می کند. این نسخه ی جدید به محض شناسایی قفل کننده و تشخیص سیستم آلوده، فورا دسترسی سیستم آلوده به پوشه های به اشتراک گذاشته شده ی روی سیستم مسدود می شود.

عمل جراحی

در مرحله ی قبل شما اتصال سیستم آلوده را قطع کردید. حال می بایستی دسترسی به دیسک را بدون به خطر انداختن سیستم های دیگر به کار بگیرید.

انجام این کار بسیار ساده است. درایو را جدا کنید و آن را به دستگاه دیگری متصل کنید. اما فراموش نکنید که در ابتدا autorun را در کامپیوتر غیر فعال کنید. و البته شما به یک فایل منیجر به غیر از Windows Explorer برای مشاهده ی محتویات داخل درایو نیاز خواهید داشت.

توجه داشته باشید که نباید هر چیزرا بر روی سیستم آلوده اجرا کنید. استفاده از یک ماشین مجازی به عنوان یک اقدام امنیتی می تواند ایده ای خوب و مناسب باشد.

تمام فایل ها را از درایو آلوده کپی کنید. برای آنیستال کردن سیستم عامل و فرمت درایو عجله نکنید.

یکی دیگر از گزینه هایی که برای کمک به سیستم آلوده وجود دارد نجات دهنده ی دیسک کسپرسکی است.

و در گام بعدی کارشناسان شما را برای شناسایی آلودگی و مراحل تخصصی تر یاری خواهند کرد.

باج افزار چیست

باج افزار چیست
باج افزار چیست

باج افزار یا “Ransomware” یکی از تهدیدهای امنیتی خطرناک است که اخیرا ، دامنگیر بسیاری از کاربران ایرانی شده است. در واقع ویروسی است که اگر کامپیوتر شما به آن دچار شود ، باید قید اطلاعات رو بزنین و به این راحتی ها قابل بازگشت نیست.

هدف در باج افزارها دریافت وجه (پول) از قربانیان است، باج افزار پس از اجرا شدن در کامپیوتر قربانی، اطلاعات مهم و حساس کاربر را شناسایی کرده و آنها را با روش‌های پیچیده رمزگذاری می‌کند، این رمزها با تکنولوژی امروز غیرقابل نفوذ می‌باشند و تنها راهکار دسترسی مجدد به اطلاعات برای قربانی پرداخت وجه به تولید کننده باج افزار خواهد بود. تولید کنندگان باج افزار مبالغ اخاذی شده را از طریق ارزهای الکترونیکی مانند بیت کوین دریافت می‌نمایند که کاملا ناشناس و غیرقابل رهگیری می‌باشد.

‎این مجرمین سایبری به علت آنکه برای دریافت پولهایی که میخواهند به عنوان باج دریافت کنند از روش دریافت پولهای مجازی استفاده میکنند کاملا ناشناس باقی مانده اند

سناریوی این باج افزار برای فریب قربانی به شرح زیر است:

ابتدا یک ایمیل جعلی از طرف مجرمان سایبری برای تعداد زیادی از کاربران در سطح اینترنت ارسال میشود. مجرمان سایبری که باج افزار Petya را طراحی کرده اند معمولا ایمیل شرکتها و کسب و کارها را هدف قرار میدهند. از طرف برخی شرکتهای ایرانی هم گزارش شده است که برخی باج افزارها، ایمیل برخی شرکتهای ایرانی را نیز هدف قرار داده اند.

و اما در ادامه…

کارمند و یا مدیر شرکت، ایمیل مجرمان سایبری را در قالب تقاضای فردی برای استخدام دریافت میکند. ایمیل حاوی یک لینک Dropbox است که ظاهرا آن فرد مدعی است که رزومه کاری خود را در آن لینک قرار داده و از خواننده ایمیل میخواهد برای مشاهده روزمه کاری اش به لینک موجود در ایمیل و فایل حاوی رزومه مراجعه نماید. کلیک بر روی لینک و باز کردن فایل همان و آلوده شدن سیستم قربانی همان!

انواع باج افزار

باج افزارها انواع مختلفی دارند که هر یک قابلیت های ویژه ای دارد . انواع باج افزار به شرح زیر می باشد

  • Cryptowall
  • CryptoDefense
  • Cryptorbit
  • Cryptolocker
  • Locky
  • Trojan-Ransom.Win32.Rector
  • Trojan-Ransom. Win32.Xorist, Trojan-Ransom.MSIL.Vandev
  • Trojan-Ransom.Win32.Rakhni
  • Trojan-Ransom.Win32.Rannohl.
  • TeslaCrypt
  • TeslaCrypt 3.0

خطرات

زمانی که شما سهواً خطاهای زیر را انجام دهید، امکان دارد کامپیوتر شما درگیر باج افزار شود:

• باز کردن یک ایمیل حاوی ضمیمه مخرب.
• کلیک روی لینک های مخرب که در ایمیل، شبکه های اجتماعی یا سایت ها قرار دارد.
• بازدید از سایت های مخرب که اغلب دارای ماهیت مستهجن هستند.
• باز کردن فایل های آلوده از فایل دیجیتال شرکت های حمل و نقل منتنی بر وب.
• باز کردن ماکرو های فاسد در اسناد برنامه ( مثل واژه پرداز ها و صفحه کستر ها) .
• اتصال به دستگاه های جانبی usb مثل memory ، هارد اکسترنال ، mp3 player و …
• استفاده از سی دی یا فلاپی های فاسد در کامپیوتر خود.

جلوگیری از ورود باج افزار

• هیچ گاه به ایمیل های ناشناس پاسخ ندهید یا ایمیل هایی را که در قسمت spam ایمیلتان قرار دارد را باز نکنید.
• تنها از وب سایت های امن یا وب سایت هایی که می شناسید استفاده کنید.
• قبل از آنلاین شدن، از وجود آنتی ویروس و دیوار آتش مؤثر و به روز روی کامپیوتر خود مطمئن شوید و در صورتی امکان از antispyware نیز استفاده کنید.
• به طور منظم از اطلاعات خود نسخه پشتیبان تهیه کنید چرا که برخی از باج افزار ها می توانند حتی فایل های مبتنی بر ابر ذخیره سازی را نیز آلوده کنند.

اگر درگیر باج افزار شدید :

1 – برای حذف باج افزار یا دیگر نرم افزارهای مخرب که ممکن است روی کامپیوتر شما نصب شده باشد، یک scan کامل با یک solution امنیتی مناسب و به روز انجام دهید.
2 – اگر کامپیوتر شما از طریق باج افزار قفل شده باشد، حتماً برای مشاوره و راهنمایی از یک منبع قابل اعتماد استفاده کنید و به هیچ وجه پول را واریز نکنید چرا که حتی اگر آن ها قفل کامپیوتر شما را باز کنند، پس از مدتی دوباره از شما باج گیری و کامپیوتر شما را قفل می کنند. بنابراین به دنبال یک راه قطعی و مطمئن باشید.