Ransomware باج‌ افزار (https://ransomware115.com/blog/%d8%a8%d8%a7%d8%ac-%d8%a7%d9%81%d8%b2%d8%a7%d8%b1/20/) یا آلودگی باج‌افزار به این معنی است که اطلاعات سیستم شما رمزگذاری شده، یا سیستم عامل شما توسط “تبهکاران سایبری” مسدود شده است. این تبهکاران معمولاً در ازای رمزگشایی اطلاعات، از شما باج می خواهند. انواع باج افزار (https://ransomware115.com/blog/types-of-ransomware/01/) از راه‌های متفاوتی میتواند مسیر خود را به سیستم های کامپیوتری باز کند. مرسوم ترین مسیر‌ها شامل ورود از طریق وب سایت های مخرب، افزونه‌های ناخواسته در دانلودها و اسپم‌ها است. باج افزارها هم افراد را و هم شرکت‌ها را مورد حمله قرار می‌دهند. کارهای مختلفی را برای جلوگیری در برابر حملات این باجگیرها و حذف ویروس باج افزار میتوان انجام داد. با پیشگیری قبل از درمان و استفاده از نرم افزارهای مراقب میتوان به این مهم دست یافت؛ این امر واجب است، چرا که از دست دادن اطلاعات و دیتاها به معنای صرف هزینه های بالا برای برگرداندن آنها است.

چگونه متوجه شویم که مورد حمله‌ی باج گیرها قرار گرفته ‌ایم؟

در اینجا چند راه برای تشخیص حمله ویروس باج افزار وجود دارد که به اختصار به آنها خواهیم پرداخت:




توسط اسکنر آنتی ویروس به ما هشدار داده شود و زنگ خطر به صدا در بیاید: اگر سیستم ما دارای اسکنر ویروس باشد، می‌تواند باج افزار را تشخیص دهد، مگر اینکه از راه دیگری وارد شده باشد و آنتی ویروس را دور زده باشد.
از طریق پسوند فایل: پسوندهای مثلا یک عکس "png"یا"jpg"و یا ... است؛ اگر با تغییرات ناآشنایی در آنها مواجه شدید و مثلا آنها را به صورت ترکیبی از حروف و اعداد دیدید، ممکن است یک حمله‌ی باج افزاری صورت گرفته باشد.
تغییر در نام فایل: اگر متوجه این موضوع شدید که اسامی که شما به فایل‌هایتان داده‌اید، همان‌های نیستند که قبلا به کار برده اید احتمالا مورد حمله قرار گرفته اید.
افزایش فعالیت پردازنده و دیسک: افزایش فعالیت این دو میتوان بیانگر این موضوع باشد که باج افزار در پس زمینه در حال فعالیت است.
باز نشدن فایل‌های رمزگذاری شده: از جمله نشانه‌های حمله‌ی باج افزار این است که فایل های رمز گذاری شده باز نشوند.
وجود ارتباطات شبکه ای نامتعارف: تعاملات نرم افزار‌ها با مجرم‌های سایبری ممکن است باعث ایجاد ارتباطات مشکوکی شود.
در آخر، پنجره‌ای حاوی درخواست باج نمایان میشود و تایید میکند که مورد هجوم باج‌ افزار‌ها قرار گرفته‌ایم.




در نهایت، پنجره‌ای حاوی درخواست باج تایید می‌کند که آلودگی باج افزار وجود دارد. هرچه تهدید زودتر شناسایی شود، مبارزه با بدافزار و حذف باج افزار آسان‌تر است. تشخیص زودهنگام آلودگی ویروس باج افزار رمزگذاری شده می تواند به تعیین نوع باج افزاری که دستگاه نهایی را آلوده کرده است کمک کند. بسیاری از بد افزارهای اخاذی پس از اجرای رمزگذاری، خود را حذف می‌کنند تا قابل بررسی و رمزگشایی نباشند و نتوان برای حذف ویروس باج افزار اقدام کرد.


۰۳
برای حذف باج‌افزار در زمان هجوم چه کار می‌توان کرد؟

باج‌افزار در مجموع به دو نوع تقسیم می‌شوند. آن‌هایی که با نام قفل‌کننده شناخته می‌شوند (Locker) و آن‌هایی که با نام باج‌افزار رمزنگاری (Crypto) شناخته می‌شوند و فایل‌های شخصی را رمزگذاری می‌کنند.
افراد قربانی و مورد حمله واقع شده، معمولا سه گزینه دارند:


باج خواسته شده را بپردازند، و به این امید بنشینند که تبهکاران سایبری اطلاعات را رمزگشایی کنند و به قول خود عمل کنند.
با استفاده از ابزارها و روش‌هایی که در بازار موجود است به حذف باج‌افزار بپردازند.
سیستم خود را کلا به تنظیمات اولیه برگردانند.



4_
رمزگشایی داده‌ها و حذف باج‌افزار چگونه صورت می‌گیرد؟

برای مبارزه با ویروس و حذف باج‌افزار دو عامل اصلی قابل توجه است. یکی اینکه سیستم ما مورد هجوم چه باج‌افزاری قرار گرفته است و دوم اینکه در چه مرحله‌ای از آلودگی قرار گرفته‌ایم.
سه راه برای مبارزه وجود دارد:

۱) بتوانیم هرچه زودتر باج افزار را شناسایی کنیم!
این نکته وجود دارد که اطلاعاتی که قبلا توسط باج افزار‌ها رمز گذاری شده‌اند به همان حالت می‌مانند، اما با شناسایی هرچه زودتر باج افزار ما این امکان را داریم که آن را متوقف کرده و از پیشروی هر بیشتر آن جلوگیری کنیم و و اقدام به حذف ویروس باج افزار کنیم. با این کار باعث حفاظت از فایل های دیگر شده‌ایم و دیگر نیاز نیست هزینه های بیشتری را پرداخت کرد؛ و اگر نسخه پشتیبان اطلاعات در فضاهای دیگر مثلا “فضاهای ذخیره سازی” ابری تهیه شود، میتوان این اطلاعات را بازیابی کرد.

۲) دستورالعمل حذف ویروس باج‌افزار رمزگذاری فایل (Crypto)

اگر قربانی باج افزار رمزگذاری شده‌اید، این مراحل برای حذف آن می‌تواند کمک کننده باشد:
قدم اول) اتصال به اینترنت را قطع کنید
اول باید تمام اتصالات مجازی و فیزیکی را قطع کنید. که شامل دستگاه های بی سیم و سیم‌دار، هارد دیسک های خارجی، و همچنین همه‌ی رسانه‌های ذخیره سازی و حساب های ابری. این کار باعث جلوگیری از گسترش باج افزار در داخل شبکه می شود.

قدم دوم) اسکن سیستم با نرم‌افزار امنیتی نصب شده
اگر نرم‌افزار امنیتی را بر روی سیستم خود نصب دارید، اسکنر را روشن و ویروس‌یابی کنید. این کار باعث شناسایی تهدیدات می‌شود. اگر فایل‌های خطرناکی یافت شد، می‌توان آن‌ها را حذف یا قرنطینه کرد. با استفاده از نرم‌افزار آنتی‌ویروس می‌توان فایل‌های مخرب را به‌صورت دستی یا بصورت خودکار حذف کرد. حذف باج افزار به‌صورت دستی فقط برای کاربرانی توصیه می‌شود که به‌صورت حرفه‌ای کار با کامپیوتر را می‌دانند.

قدم سوم) استفاده از ابزارهای رمزگشایی و حذف باج افزار
اگر سیستم شما آلوده به باج افزار است و باج افزار مشغول رمزگذاری داده‌هاست، برای برقراری دسترسی دوباره نیاز به ابزارهای مناسب دارید. از سایت رسمی کسپرسکی (https://www.kaspersky.com/) می‌توان ابزارهای مناسب این کار را تهیه و استفاده کنید.

قدم چهارم) بازیابی پشتیان خود
اگر در فضای خارجی مانند فضای ذخیره‌سازی ابری نسخه‌ی پشتیبان دارید، یک نسخه‌ی پشتیبان که هنوز رمزگذاری نشده است را ایجاد کنید. اگر هیچ نسخه‌ی پشتیبانی ندارید، تمیزکردن و بازیابی رایانه خیلی سخت و دشوار می‌شود.

5_

آیا باج را پرداخت کنیم یا نه؟

در کل پرداخت باج توصیه نمی‌شود، چرا که در چنین موقعیت‌هایی که اطمینان از بازگشت دیتا توسط باجگیر وجود ندارد و هیچ تضمینی را نمی‌توان از باجگیران گرفت و ممکن است به وعده‌ی خود عمل نکنند. همچنین علاوه بر این، این‌کار باعث بالا رفتن این نوع تبهکاری در میان مجرمان سایبری می‌شود.
اما اگر می‌خواهید باج را پرداخت کنید، شما در ابتدا نباید باج افزار را از سیستم خود پاک کنید؛ چرا که با توجه به نوع بدافزار تنها کسی که می‌تواند فایل‌هایتان را رمزگشایی کند خود آن مجرم سایبری است! اگر شما واقعا یک کد که باعث رمزگشایی فایل‌های مربوطه شد را دریافت کردید، آن زمان بلافاصله باج افزار را از دستگاه‌تان پاک کنید.

۰۶
تفاوت انواع باج افزار از لحاظ نحوه‌ی پیشروی

باج افزارها انواع مختلفی دارند که خیلی از آن‌ها را می‌توان با چند کلیک ساده حذف کرد. با این وجود، از طرفی دیگر، انواع گسترده‌تری از این ویروس وجود دارد که حذف کردن آن‌ها بی‌نهایت سخت و زمان بر است.
روش‌های مختلفی برای حذف باج افزار و یا رمزگشایی این فایل‌های آلوده وجود دارد و البته به نوع باج افزار بستگی دارد. و این نکته باید در نظر گرفته شود که هیچ ابزار رمزگشایی قابل اجرایی وجود ندارد که برای همه‌ی انواع آن‌ها عمل کند.
بسته به نوع باج افزار، گزینه‌های مختلفی برای حذف ویروس باج افزار و رمزگشایی فایل‌های آلوده وجود دارد. هیچ ابزار رمزگشایی قابل اجرا جهانی وجود ندارد که برای همه‌ی انواع مختلف باج افزار کار کند!

۰۷
سه سوال مهم در مورد حذف باج افزار



چه نوع ویروسی دستگاه را آلوده کرده است؟
آیا برنامه رمزگشایی مناسبی وجود دارد و اگر دارد کدام یک؟
ویروس چگونه به سیستم راه پیدا کرد؟



مثلا ، باج افزار Ryuk ممکن است از طریق Emotet به سیستم وارد شده باشد، که به این معناست که برای مقابله با آن نحوه ی برخورد متفاوتی وجود دارد. یا مثلا اگر Petya در سیستم باشد Safe Mode راه درستی برای مقابله و حذف کردن آن است.


۰۸
نحوه حذف باج افزار Screen-Locking
در مورد باج افزار قفل صفحه نمایش یا همان screen-locking، قربانی در ابتدای امر با چالش عدم دسترسی به نرم افزار امنیتی سیستم خود روبه رو می‌شود و اگر بتواند رایانه را در حالت ایمن راه اندازی کند، این احتمال وجود دارد که screen-locking بارگیری نشود و او بتواند با استفاده از آنتی ویروس به حذف باج افزار خود بپردازند.


در پایان می‌توان گفت:
حتی اگر بتوان از اقدامات امنیتی بالایی استفاده کرد، به طور قطع نمی‌توان گفت که کاملا می‌شود از حمله‌ی این باج گیرها جلوگیری کرد. با در نظر گرفتن علائم هشدار دهنده می‌توان ویروس را زود شناسایی کرد. با این وجود، باجگیرها حتی اگر باج بخواهند باز هم راه‌های مختلفی وجود دارد و بسته به شرایط موجود می‌توان بهترین گزینه را انتخاب کرد.

و این نکته را در نظر داشته باشید که اگر به طور منظم از داده‌های خودتان پشتیبان‌گیری انجام دهید، این عمل تاثیر حملات را تا حد خیلی زیادی کاهش خواهد داد.


منبع: اورژانس باج افزار (https://ransomware115.com/ransomware/)