گرفتار باجافزار شدهاید؟ این ابزارها شاید کمکتان کند!
کد خبر :40442
باجافزار وارد سامانهتان شده است و هیچ نسخهی پشتیبانی ندارید؟ به دنبال ابزارهای رمزگشایی موجود باشید، ببینید آیا میتوانند شما را از دست باجافزار نجات دهند یا خیر.
به گزارش آی تی اس ان (پایگاه خبری امنیت فناوری اطلاعات) ، وقتی رایانهتان با باجافزاری آلوده میشود همه پروندهها از جمله اسناد شخصی، تصاویر، ویدویوها و پروندههای صوتی قفل و از دسترس خارج میشوند.
شاید راهی باشد که بتوانید بدون پرداخت باج پروندههای خود را برگردانید. اما ابتدا به دو سؤال پایهای پاسخ دهید:
آیا از اطلاعاتتان نسخهی پشتیبان گرفتهاید؟ اگر بله، پس برگرداندن اطلاعات هم آسان میشود. خداحافظ باج افزار! برنامههای ریانهتان را دوباره نصب کنید و پروندههای اطلاعاتی را دوباره بازیابی کنید. این کار کمی استرسزا ولی قابل انجام است.
آیا نسخههای پشتیبان به اندازه کافی کامل و خوب هستند؟ حتی اگر به درستی از اطلاعاتتان پشتیبان گرفته باشید هم باز حاوی اطلاعات کامل نیستند. متاسفانه، بدون یک نسخهی کامل، بازگرداندن اطلاعات سخت میشود، پس بدانید که روش بازیابی و حذف کردن کمی ریسک دارد.
حتی اگر پاسخ شما به هردو سوال خیر بود باز هم باج را نپردازید. چون ممکن است ابزاری برای رمزگشایی باشد که بتواند شما را از مخمصه نجات دهد. اما پیش از اینکه این مورد را امتحان کنید، بیایید ببینیم چه کارهایی باید انجام دهید.
۱- جداسازی سامانهی آلوده شده از شبکه:
اولین قدم به محض آلوده شدن به باجافزار این است که هرچه سریعتر رایانه آلوده را از شبکه جدا کنید، شبکه بیسیم و بلوتوث را خاموش کنید، تمامی ارتباطات خارجی، خدمات ابری و دیسک سخت خارجی را قطع کنید. با این کارها مطمئن میشوید که آلودگی پخش نمیشود و از ارتباط بدافزار با رایانه مرکزی شبکه جلوگیری میکنید. این کار کمی زمان میبرد و از زمانی که مهاجم تهدید به افزایش مبلغ باج میکند ثانیهها هم ارزشمند میشوند.
به یاد داشته باشید که زمان در حال گذر است و اگر زمان طولانی بگذرد مهاجمان تهدیدشان را عملی میکنند: باج افزار Jigsaw به ازای هر ساعتی که باج را نپردازید، پروندههایی را از بین میبرد و از باجافزار CryptoLocker نیز اگر در مدت زمان مشخص شده پول پرداخت نشود باج را افزایش میدهد.
۲- دانستن نام واقعی بدافزار:
باج افزاری که با آن سروکار دارید را بشناسید. تقریباً ۷۰ خانواده باجافزار وجود دارد که برخی از آنها با نسخههای جدیدتر ناسازگارند. در بعضی موارد مثل TeslaCrypt پیامی که میگوید پروندههای شما رمزنگاری شده است حاوی نام باجافزار نیز هست. زیرا قربانیان اگر بدانند اشخاص دیگری هم با پرداخت پول توانستهاند پروندههایشان را از یک باجافزار خاص پس بگیرند، آنها هم ترغیب میشوند که باج را بپردازند.
با این حال برخی از باجافزارها به نظر میرسد که تمایل دارند، ناشناس باقی بمانند. CryptoLocker در روزهای اوجش مشکل بزرگی به حساب میآمد و در این مورد پیامی نشان داده و هشدار میداد که پروندهها رمزنگاری شدهاند. برخی از باجافزارها از پسوند خاصی استفاده میکنند. مانند Locky که نامش را به این دلیل انتخاب کردهاند که پروندههای رمزنگاری شده پسوند Locky را مشخص میکنند. اگر باجافزار را نمیشناسید در اینترنت آدرسهای پرداخت بیتکوین یا پیامهای واقعی باج را جستجو کنید تا متوجه شوید کدام باجافزار یا کدام گروه باجافزاری پروندههای شما را آلوده کرده است. اگر اصلاً نتوانستید باجافزار را شناسایی کنید، این احتمال وجود دارد که باجافزار جعلی باشد. یک حملهی مهندسی اجتماعی سطح پایین که میتوانید به آسانی از آن فرار کنید.
۳- یافتن یک ابزار رمزگشایی:
اگر بدانید که دقیقا با چه باجافزاری سرو کار دارید شاید بتوانید راههایی برای رهایی از آلودگی پیدا کنید. مجموعهی کاملی از چنین ابزارهایی موجود و در دسترس عموم است، اما توجه داشته باشید که ممکن است روی بعضی از نسخههای خاص باجافزار کار نکنند.
بیتدیفندر (BitDefender) یک ضدباجافزار رمزنگار ارائه داده است که میتواند باجافزارهای CTB-Locker ،TeslaCrypt ،Locky و Petya را از رایانه حذف کند. آزمایشگاه Kaspersky به تازگی ابزاری منتشر کرده است که میتواند پروندههای رمزنگاری شده توسط Crypt XXX. را رمزگشایی کند. همچنین برنامهی رمزگشای Rakhni برای بازگرداندن پروندههای آلوده شده توسط باجافزار Rakhni و هم خانوادهاش وجود دارد.
ممکن است مهاجمان در رمزنگاری پروندهها یا بخشی از کد اشتباهی کنند که به محققان امنیتی اجازه دهد با مهندسی معکوس، رمزنگاری را بشکنند. برای مثال، آزمایشگاه Kaspersky، برنامهی رمزگشای Scraper را منتشر کرده است که میتواند پروندهها را در صورتی رمزگشایی کند که خطایی هنگام اجرای الگوریتم رمزگذاری Tor Locker رخ داده باشد.
محققان Cisco Talos جدیدترین نسخهی TeslaCrypt را کشف کردند که ادعا میکند از استاندارد RSA-۲۰۴۸ نامتقارن برای رمزنگاری پروندهها استفاده میکند امّا در حقیقت از امنیت رمزنگاری پیشرفتهی متقارن (AES) استفاده میکند. کد برای ابزار رمزگشایی برای دستهی خاصی از Tesla Crypt ها روی GitHub موجود است. نسخهی دیگری از Tesla Crypt وجود دارد که هنگام کنترل گذرواژه رمزنگاری خطایی درون آن رخ داده است. بنابراین پروندههایی با پسوندهای خاص از جمله .ecc ،.ezz ،.exx ،.xyz ،.zzz ،.aca ،.abc ،.ccc و .vvv با ابزار رمزگشای TeslaDecoder رمزگشایی میشوند. بیتدیفندر دستوری برای Linux Encoder که اولین باج افزار Linux است دارد.
فابیانووسار از EmsiSoft برنامهی DecryptInfinite را برای بازگرداندن پروندههایی طراحی کرده است که توسط CryptoInfinite رمزنگاری شده باشند. فابیان وورسا همچنین رمزگشایی برای باز کردن پروندههای آلوده شده با Radamant، ارائه کرده است که پسوندهای پروندهها را به .rrk و .rdm تغییر میدهد، این برنامه برای Gomasan و LeChiffre نیز مؤثر است.
اویو راف مؤسس و مدیرعامل Seculert گفت: «ساز و کار رمزنگاری برای برخی از باجافزارها خیلی پیچیده نیست و میتوان برای آنها از یک ابزار رمزگشا استفاده کرد».
یک برنامهنویس ترک به نام Utku Sen طی بررسی باجافزار متنباز Eda۲/Hidden Tear فهمید چند حملهی غیر پیچیده و ساده مبنای خود را این باجافزار قرار دادهاند. Sen برای این کد درب-پشتی قرار داده است که به قربانیان کمک میکند پروندههای رمزنگاری شده را باز کنند.
باجافزارهایی که در این پروژه بررسی شدند شامل Magic ،Linux. Encoder و Cryptear هستند که پروندههای رمزنگاری شده با تمامی آنها را میتوان باز کرد.
در بعضی موارد شرکتهای امنیتی توانستهاند با موفقیت گذرواژههای پروندههای رمزنگاری شده را از کارگزارهای C&C پیدا کنند، همانند آنچه که آزمایشگاه Kaspersky برای قربانیان باجافزارهای Com Vault و Bit Cryptor انجام داد.
ابزارهای رمزگشایی راهی طولانی در پیش رو دارند!
متخصصان امنیتی از بازده این ابزارهای رمزگشایی راضی نیستند. نرمن گاداگنو مشاور ارشد در Carbonite گفت: «این ابزارها بیتاثیر هستند. مهاجمان سریعتر از آنکه بتوانیم در برابر آنها از خود دفاع کنیم و کد رمزگشایی را استخراج کنیم، باجافزار خود را ارتقا میدهند».
این گفته ممکن است صحیح باشد اما توجه داشته باشید که تعدادی از محققان برنامهها و ابزارهای امنیتی را به تازگی طراحی کردهاند، بنابراین پیش از پرداخت باج جستجوی راه چاره در اینترنت میتواند مفید واقع شود. اما هنگام جستجو در اینترنت روی همان پیوند اول کلیک نکیند. اول مطمئن شوید که از منبع معتبری مثل یک شرکت امنیتی یا یک شرکت شناخته شده (مثل Bleeping Computer) یا یک محقق شناخته شده کمک میگیرید و پس از اینکه توانستید پروندهها را رمزگشایی کنید، از یک برنامهی ضدبدافزار چندین بار استفاده کنید تا مطمئن شوید که باجافزار به طور کلی حذف شده باشد.
حرف آخر: برنامه و سامانهعامل رایانه خود را برای مقابله با آلودگیهای بعدی وصله کنید. نرمافزارهای بهروز نشده احتمالاً اولین مکانی هستند که باجافزارها به آنها حمله میکنند.
منبع: network world/asis
تاریخ و زمان انتشار : یکشنبه ۱۹ اردیبهشت ۱۳۹۵ در ساعت ۸:۴۵:۵۴
بدون نظرانتهای خبر
آی تی رسا ن ایران...
ما را در سایت آی تی رسا ن ایران دنبال می کنید
برچسب : نویسنده : محمد رضا جوادیان itrasan بازدید : 113 تاريخ : يکشنبه 19 ارديبهشت 1395 ساعت: 12:22