گرفتار باج‎افزار شده‌اید؟ این ابزارها شاید کمکتان کند!

باج‎افزار وارد سامانه‌تان شده است و هیچ نسخه‌ی پشتیبانی ندارید؟ به دنبال ابزارهای رمزگشایی موجود باشید، ببینید آیا می‌توانند شما را از دست باج‎افزار نجات دهند یا خیر.
وقتی رایانه‌تان با باج‎افزاری آلوده می‌شود همه پرونده‌ها از جمله اسناد شخصی، تصاویر، ویدویوها و پرونده‌های صوتی قفل و از دسترس خارج می‌شوند.
شاید راهی باشد که بتوانید بدون پرداخت باج پرونده‌های خود را برگردانید. اما ابتدا به دو سؤال پایه‌ای پاسخ دهید:
آیا از اطلاعاتتان نسخه‌ی پشتیبان گرفته‌اید؟ اگر بله، پس برگرداندن اطلاعات هم آسان می‌شود. خداحافظ باج افزار! برنامه‌های ریانه‌تان را دوباره نصب کنید و پرونده‌های اطلاعاتی را دوباره بازیابی کنید. این کار کمی استرس‎زا ولی قابل انجام است.
آیا نسخه‌های پشتیبان به اندازه کافی کامل و خوب هستند؟ حتی اگر به درستی از اطلاعاتتان پشتیبان گرفته باشید هم باز حاوی اطلاعات کامل نیستند. متاسفانه‌، بدون یک نسخه‌ی کامل، بازگرداندن اطلاعات سخت می‌شود، پس بدانید که روش بازیابی و حذف کردن کمی ریسک دارد.
حتی اگر پاسخ شما به هردو سوال خیر بود باز هم باج را نپردازید. چون ممکن است ابزاری برای رمزگشایی باشد که بتواند شما را از مخمصه نجات دهد. اما پیش از اینکه این مورد را امتحان کنید، بیایید ببینیم چه کارهایی باید انجام دهید.

۱- جداسازی سامانه‎ی آلوده شده از شبکه:
اولین قدم به محض آلوده شدن به باج‌افزار این است که هرچه سریع‎تر رایانه آلوده را از شبکه جدا کنید، شبکه بی‌سیم و بلوتوث را خاموش کنید، تمامی ارتباطات خارجی، خدمات ابری و دیسک سخت خارجی را قطع کنید. با این کارها مطمئن می‌شوید که آلودگی پخش نمی‌شود و از ارتباط بدافزار با رایانه مرکزی شبکه جلوگیری می‌کنید. این کار کمی زمان می‌برد و از زمانی که مهاجم تهدید به افزایش مبلغ باج می‌کند ثانیه‌ها هم ارزشمند می‌شوند.
به یاد داشته باشید که زمان در حال گذر است و اگر زمان طولانی بگذرد مهاجمان تهدیدشان را عملی می‌کنند: باج افزار Jigsaw به ازای هر ساعتی که باج را نپردازید، پرونده‌هایی را از بین می‌برد و از باج‎افزار CryptoLocker نیز اگر در مدت زمان مشخص شده پول پرداخت نشود باج را افزایش می‌دهد.

۲- دانستن نام واقعی بدافزار:
باج افزاری که با آن سروکار دارید را بشناسید. تقریباً ۷۰ خانواده باج‎افزار وجود دارد که برخی از آن‌ها با نسخه‌های جدیدتر ناسازگارند. در بعضی موارد مثل TeslaCrypt پیامی که می‌گوید پرونده‌های شما رمزنگاری شده است حاوی نام باج‎افزار نیز هست. زیرا قربانیان اگر بدانند اشخاص دیگری هم با پرداخت پول توانسته‌اند پرونده‌هایشان را از یک باج‎افزار خاص پس بگیرند، آن‌ها هم ترغیب می‌شوند که باج را بپردازند.
با این حال برخی از باج‎افزارها به نظر می‌رسد که تمایل دارند، ناشناس باقی بمانند. CryptoLocker در روزهای اوجش مشکل بزرگی به حساب می‌آمد و در این مورد پیامی نشان داده و هشدار می‌داد که پرونده‌ها رمزنگاری شده‌‌اند. برخی از باج‎افزارها از پسوند خاصی استفاده می‌کنند. مانند Locky که نامش را به این دلیل انتخاب کرده‌اند که پرونده‌های رمزنگاری شده پسوند Locky را مشخص می‌کنند. اگر باج‎افزار را نمی‌شناسید در اینترنت آدرس‌های پرداخت بیت‎کوین یا پیام‌های واقعی باج را جستجو کنید تا متوجه شوید کدام باج‎افزار یا کدام گروه باج‎افزاری پرونده‌های شما را آلوده کرده است. اگر اصلاً نتوانستید باج‎افزار را شناسایی کنید، این احتمال وجود دارد که باج‎افزار جعلی باشد. یک حمله‌ی مهندسی اجتماعی سطح پایین که می‌توانید به آسانی از آن فرار کنید.

۳- یافتن یک ابزار رمزگشایی:
اگر بدانید که دقیقا با چه باج‎افزاری سرو کار دارید شاید بتوانید راه‌هایی برای رهایی از آلودگی پیدا کنید. مجموعه‌ی کاملی از چنین ابزارهایی موجود و در دسترس عموم است، اما توجه داشته باشید که ممکن است روی بعضی از نسخه‌های خاص باج‎افزار کار نکنند.
بیت‎دیفندر (BitDefender) یک ضدباج‎افزار رمزنگار ارائه داده است که می‌تواند باج‎افزارهای CTB-Locker ،TeslaCrypt ،Locky و Petya را از رایانه حذف کند. آزمایشگاه Kaspersky به تازگی ابزاری منتشر کرده است که می‌تواند پرونده‌های رمزنگاری شده توسط Crypt XXX. را رمزگشایی کند. همچنین برنامه‌ی رمزگشای Rakhni برای بازگرداندن پرونده‌های آلوده شده توسط باج‎افزار Rakhni و هم خانواده‌اش وجود دارد.
ممکن است مهاجمان در رمزنگاری پرونده‌ها یا بخشی از کد اشتباهی کنند که به محققان امنیتی اجازه دهد با مهندسی معکوس، رمزنگاری را بشکنند. برای مثال، آزمایشگاه Kaspersky، برنامه‌ی رمزگشای Scraper را منتشر کرده است که می‌تواند پرونده‌ها را در صورتی رمزگشایی کند که خطایی هنگام اجرای الگوریتم رمزگذاری Tor Locker رخ داده باشد.
محققان Cisco Talos جدیدترین نسخه‌ی TeslaCrypt را کشف کردند که ادعا می‌کند از استاندارد RSA-۲۰۴۸ نامتقارن برای رمزنگاری پرونده‌ها استفاده می‌کند امّا در حقیقت از امنیت رمزنگاری پیشرفته‌ی متقارن (AES) استفاده می‌کند. کد برای ابزار رمزگشایی برای دسته‌ی خاصی از Tesla Crypt ها روی GitHub موجود است. نسخه‌ی دیگری از Tesla Crypt وجود دارد که هنگام کنترل گذرواژه رمزنگاری خطایی درون آن رخ داده است. بنابراین پرونده‌هایی با پسوندهای خاص از جمله .ecc ،.ezz ،.exx ،.xyz ،.zzz ،.aca ،.abc ،.ccc و .vvv با ابزار رمزگشای TeslaDecoder رمزگشایی می‌شوند. بیت‎دیفندر دستوری برای Linux Encoder که اولین باج افزار Linux است دارد.
فابیان‎ووسار از EmsiSoft برنامه‌ی DecryptInfinite را برای بازگرداندن پرونده‌هایی طراحی کرده است که توسط CryptoInfinite رمزنگاری شده باشند. فابیان وورسا همچنین رمزگشایی برای باز کردن پرونده‌های آلوده شده با Radamant، ارائه کرده ‌است که پسوندهای پرونده‌ها را به .rrk و .rdm تغییر می‌دهد، این برنامه برای Gomasan و LeChiffre نیز مؤثر است.
اویو‎ راف مؤسس و مدیرعامل Seculert گفت: «ساز و کار رمزنگاری برای برخی از باج‎افزارها خیلی پیچیده نیست و می‌توان برای آن‌ها از یک ابزار رمزگشا استفاده کرد».
یک برنامه‎نویس ترک به نام Utku Sen طی بررسی باج‎افزار متن‎باز Eda۲/Hidden Tear فهمید چند حمله‌ی غیر پیچیده و ساده مبنای خود را این باج‎افزار قرار داده‌اند. Sen برای این کد درب-پشتی‌ قرار داده است که به قربانیان کمک می‌کند پرونده‌های رمزنگاری شده را باز کنند.
باج‎افزارهایی که در این پروژه بررسی شدند شامل Magic ،Linux. Encoder و Cryptear هستند که پرونده‌های رمزنگاری شده با تمامی آن‌ها را می‌توان باز کرد.
در بعضی موارد شرکت‌های امنیتی توانسته‌اند با موفقیت گذرواژه‎های پرونده‌های رمزنگاری شده را از کارگزار‌های C&C پیدا کنند، همانند آنچه که آزمایشگاه Kaspersky برای قربانیان باج‎افزارهای Com Vault و Bit Cryptor انجام داد.

ابزارهای رمزگشایی راهی طولانی در پیش رو دارند!
متخصصان امنیتی از بازده این ابزارهای رمزگشایی راضی نیستند. نرمن گاداگنو مشاور ارشد در Carbonite گفت: «این ابزارها بی‎تاثیر هستند. مهاجمان سریع‌تر از آنکه بتوانیم در برابر آن‌ها از خود دفاع کنیم و کد رمزگشایی را استخراج کنیم، باج‎افزار خود را ارتقا می‌دهند».
این گفته ممکن است صحیح باشد اما توجه داشته باشید که تعدادی از محققان برنامه‌ها و ابزارهای امنیتی را به تازگی طراحی کرده‌اند، بنابراین پیش از پرداخت باج جستجوی راه چاره‌ در اینترنت می‌تواند مفید واقع شود. اما هنگام جستجو در اینترنت روی همان پیوند اول کلیک نکیند. اول مطمئن شوید که از منبع معتبری مثل یک شرکت امنیتی یا یک شرکت شناخته شده (مثل Bleeping Computer) یا یک محقق شناخته شده کمک می‎گیرید و پس از این‎که توانستید پرونده‌ها را رمزگشایی کنید، از یک برنامه‌ی ضدبدافزار چندین بار استفاده کنید تا مطمئن شوید که باج‎افزار به طور کلی حذف شده باشد.
حرف آخر: برنامه و سامانه‎عامل رایانه‌ خود را برای مقابله با آلودگی‌های بعدی وصله کنید. نرم‎افزارهای به‎روز نشده احتمالاً اولین مکانی هستند که باج‎افزارها به آن‌ها حمله می‌کنند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.