مقدمه

روش های مختلفی برای حمله باج افزارها وجود دارد. باج افزار (Ransomware) نوعی بدافزار است که دسترسی کاربر به سیستم را محدود می سازد. توسعه دهنده این بدافزار برای رفع محدودیت ایجاد شده از کاربران درخواست باج می نماید. درخواست باج توسط توسعه دهندگان انواع باج افزارها غالبا بر اساس بیت کوین بوده است. قیمت چند هزار دلاری بیت کوین، عمق فاجعه را بیشتر می کند. بعلاوه، هیچ تضمینی وجود ندارد که پس از پرداخت باج، محدودیت دسترسی به سیستم کاملا رفع شود. در این مقاله اهمیت ریکاوری دیتابیس آلوده به باج افزار و نحوه انجام آن را بیان خواهیم کرد.

انواع باج افزارها

در یک تقسیم بندی کلی می توان باج افزارها را به سه گروه مختلف تقسیم کرد.این دسته بندی با توجه به نوع محدودیت ناشی از حمله این بدافزار انجام میشود.

  •  باج افزار Pc-Locker: در این حملات، سیستم کاملا قفل شده و پیامی بر روی دسکتاپ مشاهده می شود که برای دسترسی مجدد کاربر به سیستم از او درخواست باج می کند.
  •  باج افزار قفل کننده داده یا Data-Locker: در این نوع حملات، به فایل های اصلی موجود در ویندوز آسیبی وارد نمی شود اما بدافزار بیشتر اطلاعات کاربر را رمزگذاری کرده و برای رمزگشایی آن ها درخواست باج می نماید.
  •  باج افزار Ransomware: این نوع از بدافزارها عملیاتی ترکیبی از دو حالت قبل را اجرا می کنند. در این حملات، علاوه بر محدودیت دسترسی کاربر به سیستم، بسیاری از فایل ها و اطلاعات موجود در سیستم نیز رمزگذاری می شود. سپس از کاربر برای رفع همه این محدودیت ها درخواست پرداخت باج خواهد شد.

باج افزار چگونه دیتابیس را تحت تاثیر قرار می دهد؟

پیش از آنکه با راهکارهای ریکاوری دیتابیس آلوده به باج افزار آشنا شوید باید از نحوه تاثیر بدافزار بر پایگاه داده سیستم خود مطلع شوید. بررسی ها نشان داده اند که روش تاثیر باج افزار بر دیتابیس راحت و فاقد پیچیدگی خاص است. اصول حمله در این بدافزارها مشابه با رمزنگاری TDE است. تنها تفاوت این دو روش، عدم دسترسی به کلید در حملات باج افزاری است. در اغلب حملات باج افزاری، فایل های پشتیبان و فایل های MDF،NDF و … تحت تاثیر قرار می گیرند.
دلیل اصلی که سبب عدم دسترسی کاربر به سیستم می شود حمله به فایل های پشتیبان است. زیرا سرور SQL قادر به باز کردن هیچ یک از فایل های موجود در سیستم نمی باشد. اگر در اثر حمله، فایل پشتیبان رمزگذاری و از دسترسی کاربر خارج شود، بازی تمام است و راهی برای دسترسی به سیستم وجود ندارد. به همین دلیل، اغلب متخصصین به کاربران توصیه می کنند برای فرار از این وضعیت، فایل های پشتیبان را در چندین بخش خارج از محدوده اصلی ویندوز ذخیره کنند.
باج افزارها برای ورود و گسترش خود در سیستم از روش های متفاوت استفاده می کنند. اولین روش، استفاده از بسته های آلوده است. این بسته ها داری قدرت تشخیص رخنه های امنیتی موجود در سیستم های مختلف هستند. با شناسایی نقاط ضعف امنیتی مسیر را برای ورود به سیستم آماده کرده، مراحل اجرای بدافزار روی سیستم را انجام داده و دسترسی کاربر به سیستم را با مشکل مواجه کند.
بعلاوه، باج افزارها برای دسترسی به سیستم کاربری از ارسال ایمیل هرزنامه استفاده می کنند. از نظر ظاهری، هیچ تفاوتی بین ایمیل های اسپم با ایمیل های معمولی وجود ندارد. در هرزنامه ها فایلی ضمیمه شده و از کاربر درخواست می شود فایل را مشاهده کند. با دانلود فایل موجود، راه برای حمله باج افزاری و کد گذاری فایل ها باز می شود.

راهکار ریکاوری دیتابیس آلوده به باج افزار

علیرغم اینکه، باج افزارها برای حملات خود از روش پیچیده استفاده میکنند، برای پیشگیری از این حملات به دفاع چند لایه زیر ساختی و تلاشی چند وجهی نیاز است. ممکن است نتوان یک سیستم را کاملا در برابر این حملات مقاوم کرد، اما بهتر است راهکار های زیر را برای کاهش مشکلات ناشی از Ransomware و افزایش کارایی ریکاوری دیتابیس آلوده به باج افزار انجام دهید.

  •  ذخیره چندین نسخه از فایل های پشتیبان در بخش های خارج از ویندوز: در اولین گام باید مطمئن شوید نسخه ای از فایل پشتیبان را در جایی خارج از محدوده شبکه اصلی ذخیره کرده اید. با این روش، حتی در صورت کدگذاری شدن فایل پشتیبان اصلی می توانید از نسخه های دیگر برای دسترسی مجدد به سیستم استفاده کنید. توصیه می کنیم برای اجرای بهتر این مرحله، از محیط ابری استفاده کنید.
    به یاد داشته باشید که هرگز نیابد نسخه های بعدی فایل پشتیبان را در یک پوشه مشترک ذخیره کنید. علاوه بر این، باید تمام سیستم هایی که به نسخه پشتیبان شما دسترسی دارند را شناسایی کنید. این امر کمک می کند در صورت دسترسی هر سیستم ناشناس، با محدودیت دسترسی او مانع از حمله باج افزاری شوید.
  •  استفاده از حساب کاربری ادمین: بهتر است برای ورود به سیستم، به جای استفاده از حساب کاربری خود از روش دیگر، یعنی حساب ادمین استفاده کنید. سعی کنید در این بخش ورود را چند مرحله ای کرده و از احراز هویت چند عاملی استفاده کنید. استفاده از دامنه جداگانه برای اکانت ادمین، روشی بسیار امن است. که شرکت های دولتی یا تولیدی های بزرگ می توانند از آن استفاده کنند.
  •  استفاده از فایروال ویندوز: ساده ترین راه برای ورود باج افزار به سیستم، باز کردن پورت های خاص است. اما استفاده از فایروال ویندوز مانند سدی قوی از ورود بدافزارها جلوگیری خواهد کرد. بعلاوه سعی کنید بکاپ گیری از دیتابیس را به صورت منظم انجام دهید.

مراحل مختلف ریکاوری دیتابیس

  •  ارزیابی

همانطور که بیان کردیم مهمترین مورد در حملات باج افزاری، کد گذاری فایل ها است. بنابراین، اولین گام در ریکاوری دیتابیس آلوده به باج افزار، ارزیابی کامل سیستم عامل است. این بررسی نشان می دهد که آیا امکان بازیابی داده و اطلاعات شما وجود دارد یا خیر.

  • شناسایی بدافزار باج گیر

برای رفع محدودیت در این حملات و بازیابی داده ها باید اطلاع دقیقی از نوع بد افزار و ابزار حمله داشته باشید. به دلیل اینکه اغلب کاربران اطلاعات تخصصی در این حوزه ندارند بهتر است یک اسکرین شات از پیام باج گیر را برای یک متخصص کامپیوتر ارسال کنند و راهنمایی های لازم را دریافت نمایند. توجه داشته باشید که بازیابی اطلاعات ساده نیست. در برخی موارد ممکن است شدت آسیب به اندازه ای زیاد باشد که ریکاوری دیتابیس غیرممکن شود.

  • رعایت اصول اساسی هنگام حملات باج افزاری

سعی کنید کاملا خونسرد باشید. در این مواقع از تصمیم گیری های عجولانه اجتناب کنید. به هیچ عنوان فایل های رمزگذاری شده را دستکاری نکنید. این عمل ممکن است ریکاوری دیتابیس آلوده به باج افزار با مشکلات عمده مواجه کند. دقت کنید که فایل های رمزگذاری شده را حذف نکنید و نام آن ها را تغییر ندهید. زیرا شناسایی باج افزار و نوع حمله را دشوارتر خواهید کرد. توجه داشته باشید هرگز در ماشین های مجازی از SnapShot های غیر ضروری و بدون اطلاع کافی استفاده نکنید. از اجرای هر دستوری بر فایل های رمزگذاری شده بپرهیزید.

  • بررسی اطلاعات و بازیابی دیتابیس

این مرحله، مهمترین بخش در ریکاوری فایل ها و داده ها بوده و در دو بخش انجام می شود. در بخش اول، باید شیوه ای که باج افزار برای رمزگذاری فایل ها بکار برده تعیین شود. در برخی موارد باج افزار از روش های قدیمی برای رمزگذاری استفاده می کند. در این مواقع می توان داده ها را به راحتی بازیابی کرد. اما در مواردی مشاهده شده که باج افزار از روش های مختلفی برای رمزگذاری هر فایل استفاده می کند. در این صورت، امکان بازیابی اطلاعات بسیار ضعیف است.
بخش دوم، رمزگشایی فایل های آلوده است. در این مرحله، از روش معکوس استفاده می شود. در مواقعی که امکان ریکاوری دیتابیس آلوده به باج افزار وجود داشته باشد، با اجرای معکوس فرآیند انجام شده توسط باج افزار، بازیابی داده ها صورت خواهد گرفت.

چرا ریکاوری دیتابیس آلوده به باج افزار ضروری است؟

با استفاده از شیوه های نوین در طراحی باج افزارها، ریکاوری داده ها نیز دشوارتر شده است. بنابراین بهتر است برای پیشگیری از حملات باج افزاری بر معماری شبکه متمرکز شوید. سعی کنید شبکه خود را به بخش های مختلف تقسیم کرده و توانایی برقراری ارتباط سرورها از طریق این شبکه را محدودتر کنید. این محدودیت می تواند مانند سپر دفاعی عمل کند.
متخصصین می گویند بهترین راه برای مقابله با حملات باج افزار، آمادگی است. شما باید از نظر ذهنی،همیشه آمادگی مواجهه با حملات بدافزاری را داشته باشید. این مورد، تمرکز و تسلط شما در حین حملات را افزایش داده و آسیب وارد شده به سیستم را کاهش خواهد داد. بعلاوه، این نگرش به شما کمک می کند تا در تهیه روزانه و حتی ساعتی نسخه پشتیبان و ذخیره آن در بخشهای خارج از شبکه اصلی غفلت نکنید.
مهمترین مشکل در حملات باج افزار، از بین رفتن اطلاعات اساسی شما است. در برخی حملات، امکان ریکاوری داده ها وجود ندارد. ممکن است در سیستم ها خانگی و شخصی این مورد چندان دردسر نباشد. اما تصور کنید سیستم سازمان های دولتی یا نظامی، هدف این حملات باشند. عواقب و پیامد این نوع حملات باج افزاری غیر قابل توصیف است.
علیرغم، پیشرفت های فراوان در حوزه ریکاوری دیتابیس، اما در برخی موارد دسترسی کاربر به داده ها برای همیشه قطع خواهد شد. مانند هر نوع حمله دیگر، علاوه بر آمادگی باید روش های دفاعی مستحکم برای عدم وقوع این جملات را اجرا کنید.