مقدمه

حمله توسط باج‌افزارها به‌عنوان خطرناک‌ترین تهدید برای امنیت سایبری سازمان‌ها معرفی شده. در سال 2019 بیشتر از 50 درصد از تمامی مشاغل مورد حمله باج‌افزار قرار گرفتند. هزینه تقریبی 11.5 میلیارد دلار فقط در یک ماه توسط شرکت‌های بزرگ که قربانی حملات باج‌افزار شده بودند، پرداخت شد.
روش‌های موثری برای پیشگیری از حملات باج‌افزارها وجود دارد اما باز هم ممکن است که شما مورد این حملات قرار بگیرید. در این مقاله می‌خواهیم بفهمیم درصورت آلوده شدن به باج‌افزار چه اقداماتی می‌توانیم برای بازیابی فایل‌های قفل شده و دست‌یابی مجدد به اطلاعت خود انجام دهیم.

1- تشخیص آلودگی

حتما مهم‌ترین مرحله برای بهبودی از حمله باج‌افزار و بازیابی فایل‌های قفل شده، آگاهی اولیه از اشتباه بودن مسئله است. هرچه زودتر بتوانید حمله باج‌افزار را تشخیص دهید، داده‌های کمتری تحت تاثیر قرار می‌گیرند. این امر به‌طور مستقیم بر مدت زمان بازیابی فایل‌های شما نیز تاثیر می‌گذارد.
باج‌افزار طوری طراحی شده است که تشخیص آن بسیار سخت است. وقتی که شما اعلان درخواست باج را مشاهده می‌کنید، ممکن است از قبل به تمامی محیط سیستم شما آسیب وارد شده باشد. وجود یک راه‌حل امنیت سایبری که می‌تواند رفتارهای غیرمعمولی را شناسایی کند، می‌تواند به‌سرعت آلودگی باج‌افزار را تشخیص داده و قبل از گسترش هرچه بیشتر می‌توان آن را متوقف کرد.
تشخیص رفتار غیرعادی فایل یکی از موثرترین ابزارها برای شناسایی حمله باج‌افزار است و در مقایسه با تشخیص مبتنی بر امضا یا مبتنی بر ترافیک شبکه، دارای کمترین نتیجه مثبت کاذب است.
یک روش موجود برای شناسایی حمله باج‌افزار استفاده از رویکرد “مبتنی بر امضا” است. مسئله موجود در این روش این است که نیاز به شناخته شدن باج‌افزار است. درصورت موجود بودن کد، می‌توان به نرم‌افزار آموزش داد تا دنبال آن کد باشد. ولی ما این کار را توصیه نمی‌کنیم، زیرا حملات پیچیده از اشکال جدید و قبلا ناشناخته باج‌افزار استفاده می‌کنند. بنابراین یک روش مبتنی بر AI/ML (هوش مصنوعی/یادگیری ماشین) توصیه می‌شود، که به‌دنبال رفتارهایی مثل رمزگذاری سریع و پی‌در‌پی فایل‌ها است و تعیین می‌کند که حمله‌ای اتفاق افتاده است.

امنیت سایبری موثر نیز شامل مکانیسم‌های دفاعی خوبی است که از سیستم‌هایی مثل ایمیل محافظت می‌کند. اغلب اوقات باج‌افزار با استفاده از حمله ایمیل فیشینگ یا ایمیلی که فایل خطرناکی به آن پیوست یا پیوند داده شده باشد، بر سازمان‌ها تاثیر می‌گذارد. اگر سازمان‌ها برای مدیریت ایمیل‌های خطرناک از تجهیزات کافی برخوردار نباشند، راهی آسان برای باج‌افزار ایجاد می‌شود تا بتواند به سازمان شما نفوذ کند.

2-. مهار کردن آسیب

گام بعدی برای بازیابی فایل‌های قفل شده، بعد از این‌که آلودگی را شناسایی کردید، جدا کردن روند باج‌افزار و جلوگیری از گسترش بیشتر آن است. اگر حمله در یک محیط مبتنی بر ابر باشد، این حملات اغلب ناشی از همگام‌سازی فایل از راه دور یا فرایند دیگری است که توسط برنامه شخص ثالث یا افزونه مرورگر انجام می‌شود و فرایند رمزگذاری باج‌افزار را اجرا می‌کند.
بسیاری از حملات پس از زمانی اتفاق می‌افتند که ادمین‌ها محیط را کنترل نمی‌کنند و برای جلوگیری از شیوع ویروس باید سریع واکنش نشان داد. قوانین سیاست امنیتی باید به‌عنوان بخشی از حمایت پیشگیرانه اعمال شود. بنابراین زمانی که آلودگی شناسایی می‌شود، اتوماسیون شروع به کار می‌کند تا با برداشتن فایل یا پسوند اجرایی، حمله را متوقف کرده و فایل‌های آلوده را از بقیه جدا کند.

3- بازیابی فایل‌های قفل شده و تحت تاثیر

در بیشتر موارد حتی اگر حمله باج‌افزار به‌سرعت شناسایی و مهار هم شود، باز هم زیرمجموعه‌ داده‌ای وجود دارد که باید بازیابی شود. در این مرحله ما به شما 4 روش برای بازیابی فایل‌های قفل شده آموزش می‌دهیم:

روش شماره 1: بازیابی با کمک پشتیبان‌گیری

این امر مستلزم پشتیبان‌گیری خوب از فایل‌های شما است. برای بهترین انجام پشتیبان‌گیری به بهترین روش (روش 1-2-3)، ضروری است که داده‌ها و فایل‌های پشتیبان خود را در یک محیط جداگانه از تولید قرار دهید.
قانون پشتیبان‌گیری 1-2-3 شامل دستورالعمل‌های زیر است:

  •  از هر فایل مهم، 3 نسخه، یک نسخه اصلی و دو نسخه پشتیبان تهیه کنید.
  •  فایل را روی 2 نوع رسانه مختلف نگه دارید.
  •  1 نسخه خارج از سایت حفظ کنید.

روش امتحان شده و درست برای بازیابی فایل‌های قفل شده از حمله باج‌افزار شامل پشتیبان‌گیری خوب از داده‌های مهم شما است. بازیابی از نسخه پشتیبان به شما امکان می‌دهد داده‌های کسب و کار خود را کنترل کنید.
اغلب اوقات ممکن است برخی به نادرست تصور کنند که ارائه دهنده خدمات ابری به‌طرز جادویی از داده‌های آن‌ها محافظت می‌کند. در حالی که ساز و کارهایی از طرف ارائه دهنده خدمات ابری وجود دارد اما در نهایت امنیت و حفظ داده‌ها به عهده خود شماست.

روش شماره 2: بازیابی سیستم

روش دیگر برای بازیابی فایل‌های قفل شده توسط باج‌افزار، بازیابی از طریق سیستم است. این روند کار باتوجه به نوع سیستم عامل شما ممکن است متفاوت باشد. در ویندوز 10 می‌توانید مراحل زیر را برای بازیابی سیستم کامپیوتر انجام دهید:

  •  روی Start کلیک کنید.
  •  به Update & security>Recovery بروید.
  •  روی Advanced Startup کلیک کنید.
  •  روی Troubleshoot → Advanced options → System Restore کلیک کنید.
  •  روی Next کلیک کنید، سپس یک نقطه سیستم را انتخاب کنید که به بازیابی فایل‌های قفل شده باج‌افزاری کمک می‌کند.
  •  روی Next کلیک کنید و منتظر بمانید تا بازیابی سیستم تمام شود.

درصورتی که بازیابی سیستم مشکلی را حل نکرد، روش دیگری برای بازیابی فایل‌های قفل شده توسط باج‌افزار وجود دارد.

روش شماره 3: نرم‌افزار بازیابی اطلاعات

نرم‌افزار بازیابی اطلاعات نیز به شما کمک می‌کند تا فایل‌های رمزگذاری شده باج‌افزاری را بازیابی کنید. درصورت عدم موفقیت در تهیه نسخه پشتیبان از فایل‌ها یا این‌که رایانه فاقد نقطه بازیابی باشد، نرم‌افزار بازیابی اطلاعات می‌تواند در حل مشکل به شما کمک کند.
نرم‌افزار بازیابی اطلاعات، درایو مورد نظر شما را اسکن می‌کند تا فایل‌های قفل شده توسط باج‌افزار را بازیابی کند. برخی نرم‌افزارها هم به شما امکان اسکن فایل‌های خاصی را می‌دهند تا جستجو محدود شود. نرم‌افزارهایی هم به‌صورت آنلاین در دسترس هستند. شما می‌توانید بهترین مورد را برای خود انتخاب کنید.

روش شماره 4: ابزارهای رمزگشایی

اگرچه بعضی از باج‌افزارها قابل رمزگشایی نیستند، اما فرصت بازیابی فایل‌های قفل و رمزنگاری شده توسط باج‌افزار از طریق ابزار رمزگشایی هنوز خوب است. ابزارهای متنوعی برای رمزگشایی به‌صورت رایگان و پولی در دسترس هستند. پس از تهیه ابزار رمزگشایی، دستورالعمل‌های خواسته شده توسط نرم‌افزار را دنبال کنید تا نصب انجام شود؛ سپس می‌توانید رمزگشایی فایل‌های رمزگذاری شده را شروع کنید.
پس از این‌که قفل فایل‌ها با موفقیت باز شد، هرگز اجازه ندهید که باج‌افزار دوباره رایانه شما را آلوده کند. اگر کامپیوتر خود را آسیب‌پذیر رها کنید امکان برگشت دوباره باج‌افزار وجود دارد. اگر در زمان آلودگی هیچ نرم‌افزار امنیتی نصب نشده است، یک نرم‌افزار معتبر ضد بدافزار نصب کنید.

4- دسترسی خود را آزمایش کنید

بعد از بازیابی فایل‌های قفل شده، برای اطمینان از موفقیت آمیز بودن بازیابی داده‌ها و فایل‌ها، دسترسی به فایل‌ها و هر سیستم مهم را آزمایش کنید. در این‌صورت می‌توانید مشکلات باقی مانده را برطرف نمایید.
اگر با سرعت کمتری نسبت به قبل یا فایل‌های با اندازه بزرگتر از حد نرمال روبه‌رو هستید، ممکن است نشانه این باشد که هنوز آلودگی در پایگاه داده یا فضای ذخیره‌سازی وجود دارد.

“محافظت در برابر باج‌افزار” یا “بازیابی فایل‌های قفل شده”؟

گاهی اوقات بهترین حمله دفاع خوب است. وقتی نوبت به باج‌افزار و بازیابی مجدد دسترسی به فایل‌های مهم می‌رسد، تنها دو گزینه وجود دارد. اگر به اندازه کافی آینده‌نگر باشید، داده‌های خود را از نسخه‌های پشتیبان بازیابی می‌کنید و یا در غیر این‌صورت اقدام به پرداخت باج می‌کنید. علاوه بر ضرر مالی برای خواسته‌های هکر، پرداخت بسیار خطرناک نیز است زیرا هیچ راهی برای اطمینان از دسترسی واقعی به فایل‌های شما پس از پرداخت پول وجود ندارد.
هنگام مذاکره با یک مجرم هیچ قراردادی وجود ندارد. گزارش‌های اخیر نشان داده که حدود 42 درصد از سازمان‌هایی که باج پرداخت کرده‌اند، فایل‌هایشان رمزگشایی نشده است.
باتوجه به افزایش حملات باج‌افزاری که مشاغل را مورد هدف قرار می‌دهند، عواقب نداشتن سیستم پشتیبان‌گیری و شناسایی امنیتی در دسترس می‌تواند برای تجارت شما فاجعه‌بار باشد. سرمایه‌گذاری در یک راه‌حل اکنون به شما کمک می‌کند تا بعدها باج به مهاجمان ندهید. یادگیری از اشتباهات سایر سازمان‌ها می‌تواند شما را در برابر سرنوشتی مشابه محافظت کند.

نتیجه گیری

حملات باج‌افزاری تهدیدی جدی برای سازمان و اطلاعات مهم شما به حساب می‌آیند که متاسفانه روزبه‌روز هم در حال افزاریش هستند. بهترین راه‌کار برای مقابله با این حملات پیشگیری است. اما درصورتی که بازهم دچار حمله باج‌افزاری شدید باید هرچه سریع‌تر جلوی گسترش بیشتر آن را بگیرید و سپس اقدام به بازیابی فایل‌های قفل شده کنید. روش‌هایی برای بازیابی این فایل‌ها وجود دارد که می‌توانند به شما کمک کنند. به‌هیچ وجه اقدام به پرداخت باج به مهاجمان نکنید؛ علاوه بر این‌که تضمینی در رمزگشایی داده‌های شما پس از پرداخت باج نیست، همچنین امکان برگشت آن‌ها و درخواست دائمی برای دریافت پول نیز وجود دارد.