مقدمه
صرف نظر از اینکه قربانی حمله باج افزار یک کسب و کار تک نفره باشد یا یک شرکت بزرگ چند ملیتی، این حمله می تواند ناتوان کننده باشد. دیدن نمایشگر کامپیوتری که نشان می دهد سیستم ها در معرض خطر هستند یا تلاش می کنند به فایل های رمزگذاری شده دسترسی پیدا کنند و برای باز کردن قفل یا رمزگشایی درخواست پول دارند، باعث ایجاد وحشت می شود. بدون دسترسی به فایل ها و سیستم های شرکتی، کار متوقف می شود و کسب و کار به طور جبران ناپذیری آسیب می بیند.
دانستن نحوه شناسایی، پاسخگویی و حذف باجافزار در صورت وقوع حمله، کلیدی برای به حداقل رساندن آسیب است.
شناسایی باجافزار
چگونه می توانید متوجه شوید که کامپیوتر شما آلوده شده است؟ در اینجا چند راه برای تشخیص حمله باج افزار وجود دارد:
- اسکنر آنتی ویروس زنگ خطر را به صدا در می آورد: اگر دستگاه دارای اسکنر ویروس باشد، می تواند حمله باج افزار را زود تشخیص دهد، مگر اینکه دور زده شده باشد.
- بررسی پسوند فایل: برای مثال، پسوند معمولی یک فایل تصویری “.jpg” است. اگر این پسوند به ترکیبی از حروف ناآشنا تغییر کند، ممکن است حمله باجافزار رخ داده باشد.
- تغییر نام: آیا نام فایل هایتان تغییر کرده است؟ برنامه مخرب اغلب هنگام رمزگذاری داده ها، نام فایل را تغییر می دهد. بنابراین این می تواند یک سرنخ باشد.
- افزایش فعالیت CPU و دیسک: افزایش فعالیت دیسک یا پردازنده اصلی ممکن است نشان دهنده این باشد که باج افزار در پس زمینه کار می کند.
- ارتباطات شبکه مشکوک: نرم افزار در تعامل با مجرم سایبری یا سرور مهاجم، ممکن است منجر به ارتباطات شبکه مشکوک شود
- فایل های رمزگذاری شده: نشانه دیرهنگام فعالیت باج افزار این است که فایل ها باز نمی شوند.
در نهایت، پنجره ای حاوی درخواست باج تایید می کند که حمله باج افزار وجود دارد. هرچه تهدید زودتر شناسایی شود، مبارزه با بدافزار آسان تر خواهد بود. تشخیص زودهنگام تروجان رمزگذاری شده می تواند به تعیین نوع باج افزاری که دستگاه را آلوده کرده است کمک کند. بسیاری از تروجان های اخاذی پس از اجرای رمزگذاری، خود را حذف می کنند تا قابل بررسی و رمزگشایی نباشند.
انواع باج افزار و نحوه مقابله با آن ها
انواع مختلفی از باج افزارها وجود دارند که برخی از آن ها را می توان تنها با چند کلیک حذف کرد. با این حال، در مقابل، انواع گسترده ای از ویروس نیز وجود دارد که حذف آن ها بسیار پیچیده تر و زمان بر است.
بسته به نوع باج افزار، گزینه های مختلفی برای حذف و رمزگشایی فایل های آلوده وجود دارد. هیچ ابزار رمزگشایی جهانی نیست که برای همه انواع مختلف باج افزار کار کند.
سوالات زیر در مورد حذف صحیح باج افزار مهم هستند:
- چه نوع ویروسی دستگاه را آلوده کرده است؟
- آیا برنامه رمزگشایی مناسبی وجود دارد و اگر دارد کدام است؟
- ویروس چگونه به سیستم راه پیدا کرد؟
به عنوان مثال، Ryuk ممکن است از طریق Emotet وارد سیستم شده باشد، که به معنای تفاوت در نحوه برخورد با مشکل است. اگر باج افزار Petya باشد، Safe Mode راه خوبی برای حذف آن است.
آیا باج افزار قابل حذف است؟
حذف باج افزار چالش برانگیز است. گاهی اوقات، این کار امکان پذیر و گاهی اوقات، حذف بدافزار از سیستم های آلوده غیرممکن می باشد. نکته کلیدی این است که احتمال نفوذ هر نوع بدافزار از جمله باج افزار به شبکه سیستم را به حداقل برسانیم. این کار را با رعایت شیوه های امنیتی زیر انجام دهید:
- دستگاه ها را به شبکه آلوده یا مشکوک وصل نکنید.
- به وب سایت هایی که مشکوک به نظر می رسند وارد نشوید.
- فایل های پیوست را در ایمیل های مشکوک باز نکنید.
- روی پیوندهای موجود در ایمیل ها، پست ها در رسانه های اجتماعی یا سایر پیام های بالقوه خطرناک کلیک نکنید.
- از نصب نرم افزارها و محتوای غیرقانونی یا ناشناخته خودداری کنید.
- با مجرمان صحبت نکنید و باج ندهید.
- نرم افزار ضد بدافزار را روی سیستم نصب کنید و آن را به روز نگه دارید.
- فایروال(ها) را با تنظیمات امنیتی قوی و قوانین به روز شده منظم پیکربندی کنید.
- از فایل ها و سیستم عامل ها در مکان های امن نسخه پشتیبان تهیه کنید. استفاده از فضای ذخیره سازی ابری را برای پشتیبان گیری در نظر بگیرید.
- فایل ها را در یک درایو خارجی جداگانه ذخیره کنید.
- برای شناسایی فعالیت های مشکوک، به طور دوره ای آزمایش های شبکه را اجرا کنید.
مراحل حذف باج افزار
گاهی اوقات باج افزارها بدون توجه به آماده سازی مناسب و بهداشت امنیتی، از حلقه دفاعی عبور می کنند. در این مرحله، شناسایی حمله در اسرع وقت و جلوگیری از گسترش آن به سایر سیستم ها و دستگاه ها بسیار مهم است.
افراد و سازمان ها به طور یکسان می توانند این مراحل را برای حذف باج افزار دنبال کنند. کارمندانی که مورد حمله باج افزار قرار می گیرند باید بلافاصله به مدیر و میز پشتیبانی اطلاع دهند.
مرحله ۱: دستگاه آلوده را ایزوله کنید
فوراً دستگاه آسیب دیده را از هرگونه اتصال سیمی یا بی سیم، از جمله اینترنت، شبکه ها، دستگاه های تلفن همراه، درایوهای فلش، هارد دیسک های خارجی، حساب های ذخیره سازی ابری و درایوهای شبکه جدا کنید. این از انتشار باج افزار به دستگاه های دیگر جلوگیری می کند.
همچنین، بررسی کنید که آیا دستگاه های متصل به دستگاه آلوده توسط باج افزار آلوده شده اند یا خیر.
اگر هنوز درخواست باج نشده است، بدافزار را فوراً از سیستم حذف کنید. اگر باج خواسته شده است، در تعامل با عاملان محتاط باشید. بسیاری از منابع، از جمله FBI، عدم پرداخت باج را توصیه می کنند.
مرحله ۲: نوع باج افزار را تشخیص دهید
دانستن اینکه کدام نوع باج افزار دستگاه را آلوده کرده است می تواند به تلاش های اصلاحی کمک کند. اگر دسترسی دستگاه مسدود شده باشد، مانند اتفاقی که در صورت حمله باج افزار قفلکننده رخ می دهد، این کار ممکن است امکان پذیر نباشد. دستگاه آلوده ممکن است نیاز داشته باشد توسط یک متخصص امنیتی با تجربه معاینه شده یا با یک ابزار نرم افزاری تشخیص داده شود. برخی از ابزارها به صورت رایگان در دسترس هستند، در حالی که برخی دیگر به اشتراک پولی نیاز دارند.
مرحله ۳: باج افزار را حذف کنید
قبل از بازیابی سیستم، باجافزار باید حذف شود. در طول هک اولیه، باج افزار سیستم را آلوده و فایل ها را رمزگذاری می کند و/یا دسترسی به سیستم را قفل می نماید. فقط یک رمز عبور یا کلید رمزگشایی محدودیت را باز یا رمزگشایی خواهد کرد.
چند گزینه برای حذف باجافزار وجود دارد:
- بررسی کنید که آیا باج افزار حذف شده است یا خیر. باجافزار گاهی اوقات پس از آلوده کردن سیستم، خود را حذف می کند. در موارد دیگر، روی دستگاه می ماند تا دستگاه ها یا فایل های دیگر را آلوده کند.
- از ضد بد افزار/ضد باج افزار استفاده کنید. اکثر نرم افزارهای ضد بدافزار و ضد باج افزار می توانند نرم افزارهای مخرب را قرنطینه و حذف کنند.
- از متخصصان امنیتی کمک بخواهید. با یک متخصص امنیتی، چه در سازمان یا پشتیبانی فنی شخص ثالث، برای کمک به حذف باجافزار همکاری کنید.
- آن را به صورت دستی حذف کنید. در صورت امکان، نرمافزار نصب شده روی دستگاه را بررسی و فایل باجافزار را حذف کنید. این مورد فقط برای متخصصان امنیتی باتجربه توصیه می شود.
توجه داشته باشید که حتی اگر باج افزار حذف شود، باز هم دسترسی به فایل های رمزگذاری شده دشوار خواهد بود. ابزارهای رمزگشایی باجافزار در دسترس هستند و بسیاری از گزینه های ضد بدافزار و ضد باج افزار این ویژگی را ارائه می دهند. اما به خاطر داشته باشید که ابزارهای رمزگشایی برای هر گونه باج افزار در دسترس نیستند.
به عنوان بخشی از فعالیت های قانونی، تیم های فناوری اطلاعات باید اسکن دقیق دستگاه یا سیستم را انجام دهند تا مطمئن شوند هیچ باج افزاری باقی نمانده است. ممکن است لازم باشد دستگاه های آسیب دیده را قرنطینه کنید تا اطمینان حاصل شود که قبل از بازگرداندن آن ها به سرویس، کاملا پاکسازی شده اند.
مرحله ۴: سیستم را بازیابی کنید
با بازیابی نسخه قبلی سیستم عامل از قبل وقوع حمله، فایل ها را بازیابی کنید. اگر نسخه های پشتیبان رمزگذاری یا قفل نشده بودند، با استفاده از عملکرد بازیابی سیستم، آن ها را بازیابی کنید. توجه داشته باشید، هیچ فایلی که پس از آخرین تاریخ پشتیبان گیری ایجاد شود، قابل بازیابی نخواهد بود.
اکثر سیستم عاملهای اصلی ابزارهایی برای بازیابی فایل ها و قابلیت های دیگر برای بازیابی سیستم های در معرض خطر دارند.
پس از بازیابی سیستم، حتما موارد زیر را انجام دهید:
- تمام رمزهای عبور و کدهای دسترسی امنیتی را در اسرع وقت به روز کنید.
- بررسی کنید تا مطمئن شوید قوانین فایروال و نرم افزارهای ضد بدافزار به روز هستند. در صورت لزوم نرمافزار امنیتی را با نرم افزار قوی تری جایگزین کنید.
- اقدامات پیشگیری از باج افزار را برای جلوگیری از حملات باج افزار در آینده دنبال کنید.
آیا باید باج را پرداخت کنیم؟
پرداخت باج به طور کلی توصیه نمی شود. مانند سیاست عدم مذاکره در یک موقعیت گروگان گیری واقعی، رویکرد مشابهی باید در هنگام گروگان گرفتن داده ها دنبال شود. پرداخت باج توصیه نمی شود زیرا هیچ تضمینی وجود ندارد که باج گیران واقعاً به وعده خود عمل کرده و داده ها را رمزگشایی کنند. علاوه بر این، پرداخت می تواند این نوع جنایت را تشویق کند.
اگر قصد پرداخت باج را دارید، نباید باج افزار را از رایانه خود حذف کنید. در واقع، بسته به نوع باج افزار یا برنامه مجرمان سایبری در رابطه با رمزگشایی، باجافزار ممکن است تنها راه اعمال کد رمزگشایی باشد. حذف زودهنگام نرم افزار کد رمزگشایی را که با هزینه گزاف خریداری شده است، غیرقابل استفاده می کند. اما اگر واقعاً یک کد رمزگشایی دریافت کرده اید و کار می کند، باید بلافاصله پس از رمزگشایی داده ها، باج افزار را از دستگاه حذف کنید.
جمع بندی
حتی با بهترین اقدامات احتیاطی امنیتی، هرگز نمی توان با اطمینان کامل حمله باج افزار را رد کرد. اگر چنین اتفاقی بیفتد، نرم افزار امنیت اینترنت می تواند به کاهش عواقب حمله کمک کند. با در نظر گرفتن علائم هشداردهنده حمله باج افزار، می توانید حمله را زود تشخیص داده و با آن مبارزه کنید. با این حال، حتی اگر باج خواسته شده باشد، شما گزینه های مختلفی دارید و بسته به شرایط خاص خود می توانید گزینه مناسب را انتخاب کنید. به یاد داشته باشید که پشتیبان گیری منظم از داده ها، تأثیر حمله را تا حد زیادی کاهش می دهد.
با سلام و عرض خسته نباشید . من چند هفته پیش کل سیستم و چند هاردم همه توسط این بدافزار باجگیر آلوده شد . خوشبختانه از اطلاعات مهم بک آپ گرفته بودم قبل از آلودگی .پس بنابرین تمامه هارد درایوها را فرمت کردم و جهت اطمینان سایز هرکدام را نیز تغییر دادم و بعد ویندوز جدید را نصب و اطلاعات بک آپ گرفته شده را برگرداندم . فقط یک سوال داشتم آیا هکر از طریق دیگری میتواند به سیستم من دسترسی داشته باشد ؟ مثلا از طریق مرورگر کروم که یوزر پسوردهای سایتها در آن ذخیره شده بودن ؟ البته رمزهای سایتهای مهم را تغییر دادم و همچنین رمزهای جیمیل و غیره را . از این رو این سوال را پرسیدم که چند روز پیش همان هکر از طریق نفوذ به یکی از ایمیل هایم به خودم در ایمیلم ایمیل زده بود که من همونی هستم که بد افزار رو روی سیستم شما گذاشتم و با اسم بردن یکی از پسوردهایم خواسته بود که به حساب ارز دیجیتالش ارز بریزم .فقط چون نتوانسته بود بخاطر دو مرحله ای بودن تغییر رمز، رمز ایمیل را تغییر دهد بنده فقط رمز ایمیل را عوض کردم . آیا این هکر هنوز می تواند به سیستم من نفوذ کند . آنتی ویروسی که من استفاده میکنم شید هست . ممنون میشم اگه خیاله منو راحت کنید از بابت هرگونه نفوذ احتمالی این هکره پررو.سپاسگذارم