اقدامات اضطراری برای ذخیره ی اطلاعات سازمان ها در برابر باج افزارها

شنبه, 23 بهمن,1395

متاسفانه روند رشد باج افزارها در حال افزایش است و از لحاظ تئوری، هر مدیری در کسب و کار خود باید به خوبی بداند که چگونه در برابر تهدیدات سایبری از اطلاعات شرکت خود محافظت کند. با این حال باز ما شاهد درخواست های متعدد و مکرر کاربران برای انتشار ابزارهای رمزگشا به منظور بازیابی فایل های آلوده شده ی آن ها توسط برخی از قفل کننده ها هستیم. و با این حال تعدادی بالایی از افراد و سازمان ها مورد حمله ی این برنامه های مخرب قرار می گیرند.

علاوه بر این به خوبی می دانیم که کسب و کارهای کوچک بیشتر در معرض خطر قرار می گیرند و به نوعی آسیب پذیرتر هستند. و البته مجرمان هم به خوبی می دانند که مسائل امنیتی به ندرت به عنوان یک اولویت برای مدیران شرکت ها تلقی می شود. در عین حال، سازمان ها و کسب و کارهای کوچک به اندازه ی کافی از نظر مالی برای مجرمان سایبری به صرفه هستند که آن ها را هدف اصلی خود قرار بدهند و حملات خود را در این قسمت ها پیاده سازی کنند.

به همین خاطر اجازه دهید که فرض کنیم شرکت شما با یک بدشانسی روبرو شده است و یک باج افزار، شرکت شما را اسیر خود کرده است. در این زمان چه اقدامات فوری نیاز است انجام دهید تا بتوانید میزان آسیب شرکت را در مرحله ی اول به حداقل خود برسانید؟

  1. وضعیت اضطراری را تشخیص دهید

باج افزارها چندین نشانه ی آشکار دارند. پس از آلودگی سیستم، باز نشدن فایل های عمومی، اسناد، عکس ها و غیره از بارزترین نشانه های آلودگی سیستم با یک بدافزار است. تمام فرمت های txt/html/hta/bmp/png توسط قفل کننده بازیابی می شوند و نام آن ها عوض خواهد شد.

برخی از قفل کننده ها پسوند های فایل ها را به (VVV, XXX, ABC و غیره) تغییر می دهند و برخی از آن ها هم با پسوند فایل ها کاری ندارند.

گاهی اوقات تصویر پس زمینه ی دسکتاپ تغییر می کند و به جای آن تصویر یک مجرم یا چیزی وحشتناک ظاهر می شود. گاهی هم پیش می آید که بدافزار دسترسی کامل به سیستم را مسدود می کند و صفحه ی مربوط به پرداخت باج را به نمایش می گذارد.

اگر شانس با شما یار باشد، ممکن است بدافزار را در زمانی که در حال کار بر روی سیستم شما است ببینید، در آن زمان شما قادر خواهید بود که عملیات رمزنگاری را قبل از کامل شدن متوقف کنید.

  1. قرنطینه کردن سیستم و مرحله ی بیهوشی

پس از حمله باج افزار به سیستم فورا عملیات جداسازی را انجام دهید، شبکه ی اینترنت را از کامپیوتر جدا کنید. در اینجا یک فرصت طلایی وجود دارد، ممکن است آلودگی این بدافزار به سیستم های دیگر توزیع نشده باشد و با این کار، شما مانع گسترش آن شوید. این جداسازی راهی مطمئن است تا عملکرد قفل کننده را متوقف کنید و از تخریب فایل ها بر روی سیستم های دیگر جلوگیری کنید.

البته باید بگوییم که نسخه ی جدیدی از راهکارهای امنیتی برای سرورها وجود دارد که شامل ویژگی است که سیستم ها را از رمزنگاری بدافزارها حفظ می کند. این ویژگی قفل کننده را شناسایی می کند و تلاش آن را برای رمزنگاری داده های روی سرور بی نتیجه می کند. این نسخه ی جدید به محض شناسایی قفل کننده و تشخیص سیستم آلوده، فورا دسترسی سیستم آلوده به پوشه های به اشتراک گذاشته شده ی روی سیستم مسدود می شود.

  1. عمل جراحی

در مرحله ی قبل شما اتصال سیستم آلوده را قطع کردید. حال می بایستی دسترسی به دیسک را بدون به خطر انداختن سیستم های دیگر به کار بگیرید.

انجام این کار بسیار ساده است. درایو را جدا کنید و آن را به دستگاه دیگری متصل کنید. اما فراموش نکنید که در ابتدا autorun را در کامپیوتر غیر فعال کنید. و البته شما به یک فایل منیجر به غیر از Windows Explorer برای مشاهده ی محتویات داخل درایو نیاز خواهید داشت.

توجه داشته باشید که نباید هر چیزرا بر روی سیستم آلوده اجرا کنید. استفاده از یک ماشین مجازی به عنوان یک اقدام امنیتی می تواند ایده ای خوب و مناسب باشد.

تمام فایل ها را از درایو آلوده کپی کنید. برای آنیستال کردن سیستم عامل و فرمت درایو عجله نکنید.

یکی دیگر از گزینه هایی که برای کمک به سیستم آلوده وجود دارد نجات دهنده ی دیسک کسپرسکی است.

و در گام بعدی کارشناسان شما را برای شناسایی آلودگی و مراحل تخصصی تر یاری خواهند کرد.

  1. تشخیص آلودگی

در آخر کارشناسان باید بدافزار را آنالیز کنند. تیم پشتیبانی فنی کسپرسکی در حال حاضر رایج ترین باج افزارها را شناسایی می کند. آن ها بر روی بیگانه ترین نوع بدافزارها تحقیقات گسترده ای را انجام داده اند و حتی می توانند عملکرد جدید آن ها را حدس بزنند.

  1. تجویز دارو

احتمال بدست آوردن داده های رمزنگاری شده تا حد زیادی به تشخیص دقیق شما بستگی دارد. بسیاری از بدافزارهای امروزی قوی هستند بنابراین رمزگشایی آن ها بدون در دست داشتن کلید مستر مجرمان حقیقتا کاری سخت است.

با این حال برخی از باج افزارها از الگوریتم های ضعیف تری استفاده می کنند و گاهی وقت ها اشتباهاتی را مرتکب می شوند که بازیابی فایل های رمزنگاری شده را بدون پرداخت باج برای قربانیان امکان پذیر می کنند. و در بسیاری از موارد لابراتوار کسپرسکی با ابزارهای قوی همانند ScatterDecryptor و RannohDecryptor به قربانیان برای رمزنگاری فایل های خود کمک می کند.

حتی اگر امکان رمزگشایی فایل برای شما امکان پذیر نیست، باز هم شانسی برای بازگردانی فایل های خود خواهید داشت. به عنوان مثال، فایل های پردازش شده توسط نسخه های سوم و چهارم TeslaCrypt دیگر قابلیت رمزنگاری ندارد، زیراکه سازندگان این بدافزار عملیات خود را متوقف کردند و کلید مستر را برای رمزگشایی تمام فایل های رمزنگاری شده توسط TeslaCrypt منتشر ساختند. که البته این مورد نادری بود. شما نباید روی چنین اقدامی از جانب مجرمان حساب کنید اما ممکن است این شانس برای شما وجود داشته باشد.

اگر که دارو یا همان ابزارها بتوانند فایل های شما را نجات دهند و قادر به بازگردان آن ها شوند، که عالی است. اگر نه شما دو راه پیش رو خواهید داشت.

  1. "انتقال خون"یا همان بازیابی که ما آن را از طریق بک آپ های گرفته شده دریافت می کنیم. البته در صورتی که بک آپی از اطلاعات خود گرفته باشید.
  2. "فرآیند انجماد و ذخیره سازی" یا قرار دادن داده های رمزنگاری شده در جای دور و زمانی طولانی برای مدت نامحدود. احتمال ضعیفی برای موفقیت این راهکار وجود دارد اما واقعا اگر خوش شانس باشیذ، این امکان برای شکستن رمز قرار گرفته روی اطلاعات شما در طولانی مدت وجود خواهد داشت یا شاید در این مدت مجرمان شناسایی و دستگیرشوند و کلید های مستر را در اختیار قربانیان قرار دهند.

اما متاسفانه زمانی را برای رمزگشایی آن ها نمی توان پیش بینی کرد، شاید فردا شاید سال دیگر و شاید هیچ وقت زمان آن فرا نرسد.

  1. اقدامات پیشگیرانه

بهترین راهی که می توانیم توصیه کنیم اجرای یک راهکار امنیتی برای حفاظت از ایستگاه های کاری و سرورهای شرکت شما است تا بتوانند در برابر انواع تهدیدات سایبری از جمله باج افزارها در امان بمانید. و البته اهمیت بک آپ گیری منظم از تمامی اطلاعات مهم خود را دست کم نگیرید.

  • تهران، میرداماد، برج آرین،
    ساختمان اداری شرقی، طبقه اول، واحد 4