مقدمه

صرف نظر از اینکه قربانی حمله باج ‌افزار یک کسب و کار تک ‌نفره باشد یا یک شرکت بزرگ چند ملیتی، این حمله می ‌تواند ناتوان ‌کننده باشد. دیدن نمایشگر کامپیوتری که نشان می‌ دهد سیستم‌ ها در معرض خطر هستند یا تلاش می‌ کنند به فایل‌ های رمزگذاری شده دسترسی پیدا کنند و برای باز کردن قفل یا رمزگشایی درخواست پول دارند، باعث ایجاد وحشت می ‌شود. بدون دسترسی به فایل‌ ها و سیستم ‌های شرکتی، کار متوقف می‌ شود و کسب و کار به طور جبران ‌ناپذیری آسیب می ‌بیند.

دانستن نحوه شناسایی، پاسخگویی و حذف باج‌افزار در صورت وقوع حمله، کلیدی برای به حداقل رساندن آسیب است.

شناسایی باج‌افزار

چگونه می ‌توانید متوجه شوید که کامپیوتر شما آلوده شده است؟ در اینجا چند راه برای تشخیص حمله باج ‌افزار وجود دارد:

  • اسکنر آنتی ‌ویروس زنگ خطر را به صدا در می ‌آورد: اگر دستگاه دارای اسکنر ویروس باشد، می ‌تواند حمله باج ‌افزار را زود تشخیص دهد، مگر اینکه دور زده شده باشد.
  • بررسی پسوند فایل: برای مثال، پسوند معمولی یک فایل تصویری “.jpg” است. اگر این پسوند به ترکیبی از حروف ناآشنا تغییر کند، ممکن است حمله باج‌افزار رخ داده باشد.
  • تغییر نام: آیا نام فایل‌ هایتان تغییر کرده است؟ برنامه مخرب اغلب هنگام رمزگذاری داده‌ ها، نام فایل را تغییر می ‌دهد. بنابراین این می ‌تواند یک سرنخ باشد.
  • افزایش فعالیت CPU و دیسک: افزایش فعالیت دیسک یا پردازنده اصلی ممکن است نشان‌ دهنده این باشد که باج ‌افزار در پس‌ زمینه کار می‌ کند.
  • ارتباطات شبکه مشکوک: نرم ‌افزار در تعامل با مجرم سایبری یا سرور مهاجم، ممکن است منجر به ارتباطات شبکه مشکوک شود
  • فایل‌ های رمزگذاری شده: نشانه دیرهنگام فعالیت باج ‌افزار این است که فایل‌ ها باز نمی‌ شوند.

در نهایت، پنجره ‌ای حاوی درخواست باج تایید می ‌کند که حمله باج ‌افزار وجود دارد. هرچه تهدید زودتر شناسایی شود، مبارزه با بدافزار آسان‌ تر خواهد بود. تشخیص زودهنگام تروجان رمزگذاری‌ شده می‌ تواند به تعیین نوع باج ‌افزاری که دستگاه را آلوده کرده است کمک کند. بسیاری از تروجان‌ های اخاذی پس از اجرای رمزگذاری، خود را حذف می‌ کنند تا قابل بررسی و رمزگشایی نباشند.

انواع باج‌ افزار و نحوه مقابله با آن ‌ها

انواع مختلفی از باج ‌افزارها وجود دارند که برخی از آن‌ ها را می ‌توان تنها با چند کلیک حذف کرد. با این حال، در مقابل، انواع گسترده‌ ای از ویروس نیز وجود دارد که حذف آن ‌ها بسیار پیچیده ‌تر و زمان ‌بر است.

بسته به نوع باج ‌افزار، گزینه‌ های مختلفی برای حذف و رمزگشایی فایل ‌های آلوده وجود دارد. هیچ ابزار رمزگشایی جهانی نیست که برای همه انواع مختلف باج ‌افزار کار کند.

سوالات زیر در مورد حذف صحیح باج‌ افزار مهم هستند:

  • چه نوع ویروسی دستگاه را آلوده کرده است؟
  • آیا برنامه رمزگشایی مناسبی وجود دارد و اگر دارد کدام است؟
  • ویروس چگونه به سیستم راه پیدا کرد؟

به عنوان مثال، Ryuk ممکن است از طریق Emotet وارد سیستم شده باشد، که به معنای تفاوت در نحوه برخورد با مشکل است. اگر باج ‌افزار Petya باشد، Safe Mode راه خوبی برای حذف آن است.

آیا باج ‌افزار قابل حذف است؟

حذف باج ‌افزار چالش ‌برانگیز است. گاهی اوقات، این کار امکان ‌پذیر و گاهی اوقات، حذف بدافزار از سیستم ‌های آلوده غیرممکن می ‌باشد. نکته کلیدی این است که احتمال نفوذ هر نوع بدافزار از جمله باج‌ افزار به شبکه سیستم را به حداقل برسانیم. این کار را با رعایت شیوه‌ های امنیتی زیر انجام دهید:

  • دستگاه‌ ها را به شبکه آلوده یا مشکوک وصل نکنید.
  • به وب سایت‌ هایی که مشکوک به نظر می ‌رسند وارد نشوید.
  • فایل ‌های پیوست را در ایمیل ‌های مشکوک باز نکنید.
  • روی پیوندهای موجود در ایمیل‌ ها، پست ‌ها در رسانه‌ های اجتماعی یا سایر پیام‌ های بالقوه خطرناک کلیک نکنید.
  • از نصب نرم ‌افزارها و محتوای غیرقانونی یا ناشناخته خودداری کنید.
  • با مجرمان صحبت نکنید و باج ندهید.
  • نرم ‌افزار ضد بدافزار را روی سیستم نصب کنید و آن را به روز نگه دارید.
  • فایروال(ها) را با تنظیمات امنیتی قوی و قوانین به روز شده منظم پیکربندی کنید.
  • از فایل‌ ها و سیستم عامل‌ ها در مکان‌ های امن نسخه پشتیبان تهیه کنید. استفاده از فضای ذخیره‌ سازی ابری را برای پشتیبان ‌گیری در نظر بگیرید.
  • فایل ‌ها را در یک درایو خارجی جداگانه ذخیره کنید.
  • برای شناسایی فعالیت ‌های مشکوک، به طور دوره‌ ای آزمایش ‌های شبکه را اجرا کنید.

مراحل حذف باج ‌افزار

گاهی اوقات باج‌ افزارها بدون توجه به آماده‌ سازی مناسب و بهداشت امنیتی، از حلقه دفاعی عبور می‌ کنند. در این مرحله، شناسایی حمله در اسرع وقت و جلوگیری از گسترش آن به سایر سیستم‌ ها و دستگاه‌ ها بسیار مهم است.

افراد و سازمان‌ ها به طور یکسان می ‌توانند این مراحل را برای حذف باج ‌افزار دنبال کنند. کارمندانی که مورد حمله باج ‌افزار قرار می ‌گیرند باید بلافاصله به مدیر و میز پشتیبانی اطلاع دهند.

مرحله ۱: دستگاه آلوده را ایزوله کنید

فوراً دستگاه آسیب‌ دیده را از هرگونه اتصال سیمی یا بی ‌سیم، از جمله اینترنت، شبکه ‌ها، دستگاه‌ های تلفن همراه، درایوهای فلش، هارد دیسک‌ های خارجی، حساب ‌های ذخیره‌ سازی ابری و درایوهای شبکه جدا کنید. این از انتشار باج‌ افزار به دستگاه‌ های دیگر جلوگیری می‌ کند.

همچنین، بررسی کنید که آیا دستگاه‌ های متصل به دستگاه آلوده توسط باج ‌افزار آلوده شده ‌اند یا خیر.

اگر هنوز درخواست باج نشده است، بدافزار را فوراً از سیستم حذف کنید. اگر باج خواسته شده است، در تعامل با عاملان محتاط باشید. بسیاری از منابع، از جمله FBI، عدم پرداخت باج را توصیه می ‌کنند.

مرحله ۲: نوع باج ‌افزار را تشخیص دهید

دانستن اینکه کدام نوع باج ‌افزار دستگاه را آلوده کرده است می‌ تواند به تلاش ‌های اصلاحی کمک کند. اگر دسترسی دستگاه مسدود شده باشد، مانند اتفاقی که در صورت حمله باج‌ افزار قفل‌کننده رخ می ‌دهد، این کار ممکن است امکان ‌پذیر نباشد. دستگاه آلوده ممکن است نیاز داشته باشد توسط یک متخصص امنیتی با تجربه معاینه شده یا با یک ابزار نرم ‌افزاری تشخیص داده شود. برخی از ابزارها به صورت رایگان در دسترس هستند، در حالی که برخی دیگر به اشتراک پولی نیاز دارند.

مرحله ۳: باج‌ افزار را حذف کنید

قبل از بازیابی سیستم، باج‌افزار باید حذف شود. در طول هک اولیه، باج ‌افزار سیستم را آلوده و فایل‌ ها را رمزگذاری می‌ کند و/یا دسترسی به سیستم را قفل می ‌نماید. فقط یک رمز عبور یا کلید رمزگشایی محدودیت را باز یا رمزگشایی خواهد کرد.

چند گزینه برای حذف باج‌افزار وجود دارد:

  • بررسی کنید که آیا باج ‌افزار حذف شده است یا خیر. باج‌افزار گاهی اوقات پس از آلوده کردن سیستم، خود را حذف می ‌کند. در موارد دیگر، روی دستگاه می ‌ماند تا دستگاه ‌ها یا فایل‌ های دیگر را آلوده کند.
  • از ضد بد افزار/ضد باج‌ افزار استفاده کنید. اکثر نرم‌ افزارهای ضد بدافزار و ضد باج ‌افزار می‌ توانند نرم‌ افزارهای مخرب را قرنطینه و حذف کنند.
  • از متخصصان امنیتی کمک بخواهید. با یک متخصص امنیتی، چه در سازمان یا پشتیبانی فنی شخص ثالث، برای کمک به حذف باج‌افزار همکاری کنید.
  • آن را به صورت دستی حذف کنید. در صورت امکان، نرم‌افزار نصب شده روی دستگاه را بررسی و فایل باج‌افزار را حذف کنید. این مورد فقط برای متخصصان امنیتی باتجربه توصیه می ‌شود.

توجه داشته باشید که حتی اگر باج ‌افزار حذف شود، باز هم دسترسی به فایل ‌های رمزگذاری ‌شده دشوار خواهد بود. ابزارهای رمزگشایی باج‌افزار در دسترس هستند و بسیاری از گزینه‌ های ضد بدافزار و ضد باج ‌افزار این ویژگی را ارائه می ‌دهند. اما به خاطر داشته باشید که ابزارهای رمزگشایی برای هر گونه باج ‌افزار در دسترس نیستند.

به عنوان بخشی از فعالیت‌ های قانونی، تیم‌ های فناوری اطلاعات باید اسکن دقیق دستگاه یا سیستم را انجام دهند تا مطمئن شوند هیچ باج‌ افزاری باقی نمانده است. ممکن است لازم باشد دستگاه‌ های آسیب ‌دیده را قرنطینه کنید تا اطمینان حاصل شود که قبل از بازگرداندن آن‌ ها به سرویس، کاملا پاکسازی شده ‌اند.

مرحله ۴: سیستم را بازیابی کنید

با بازیابی نسخه قبلی سیستم عامل از قبل وقوع حمله، فایل ‌ها را بازیابی کنید. اگر نسخه ‌های پشتیبان رمزگذاری یا قفل نشده بودند، با استفاده از عملکرد بازیابی سیستم، آن‌ ها را بازیابی کنید. توجه داشته باشید، هیچ فایلی که پس از آخرین تاریخ پشتیبان ‌گیری ایجاد شود، قابل بازیابی نخواهد بود.

اکثر سیستم‌ عامل‌های اصلی ابزارهایی برای بازیابی فایل‌ ها و قابلیت‌ های دیگر برای بازیابی سیستم‌ های در معرض خطر دارند.

پس از بازیابی سیستم، حتما موارد زیر را انجام دهید:

  • تمام رمزهای عبور و کدهای دسترسی امنیتی را در اسرع وقت به روز کنید.
  • بررسی کنید تا مطمئن شوید قوانین فایروال و نرم‌ افزارهای ضد بدافزار به روز هستند. در صورت لزوم نرم‌افزار امنیتی را با نرم‌ افزار قوی ‌تری جایگزین کنید.
  • اقدامات پیشگیری از باج ‌افزار را برای جلوگیری از حملات باج ‌افزار در آینده دنبال کنید.

آیا باید باج را پرداخت کنیم؟

پرداخت باج به طور کلی توصیه نمی ‌شود. مانند سیاست عدم مذاکره در یک موقعیت گروگان‌ گیری واقعی، رویکرد مشابهی باید در هنگام گروگان گرفتن داده‌ ها دنبال شود. پرداخت باج توصیه نمی‌ شود زیرا هیچ تضمینی وجود ندارد که باج‌ گیران واقعاً به وعده خود عمل کرده و داده ‌ها را رمزگشایی کنند. علاوه بر این، پرداخت می ‌تواند این نوع جنایت را تشویق کند.

اگر قصد پرداخت باج را دارید، نباید باج ‌افزار را از رایانه خود حذف کنید. در واقع، بسته به نوع باج ‌افزار یا برنامه مجرمان سایبری در رابطه با رمزگشایی، باج‌افزار ممکن است تنها راه اعمال کد رمزگشایی باشد. حذف زودهنگام نرم ‌افزار کد رمزگشایی را که با هزینه گزاف خریداری شده است، غیرقابل استفاده می ‌کند. اما اگر واقعاً یک کد رمزگشایی دریافت کرده ‌اید و کار می ‌کند، باید بلافاصله پس از رمزگشایی داده‌ ها، باج ‌افزار را از دستگاه حذف کنید.