در مقاله قبلی از مجموعه حذف بدافزار، به بررسی حذف دستی بدافزارها و اصول اولیه شناسایی آن ها پرداختیم. در این مقاله میخواهیم نگاه دقیقتری به یکی از انواع دیگر بدافزارها یعنی باج افزار داشته باشیم و مرحله به مرحله حذف باج افزار بصورت دستی را توضیح دهیم.
باج افزارها را میتوان به دو دسته Screen Locker و File encryptor تقسیم بندی کرد.
Screen Locker ها معمولاً فقط باعث میشوند به سیستم عامل دسترسی نداشته باشید. آن ها در ازای باز کردن قفل سیستم، از شما باج میگیرند ولی به کامپیوتر شما آسیب جدی نمی رسانند. یکی از شیوه های محبوب در این نوع باج افزارها این است که، تظاهر میکنند مجری قانون هستند و فعالیت های غیرقانونی شما را کشف کردهاند. بازیابی سیستم از چنین حملاتی هرچند در ظاهر مشکل، اما معمولا در عمل خیلی راحت است و میتوانید کنترل سیستم خود را باز پس بگیرید.
File encryptor ها اما فایلهای شخصی یا کل هارد درایو شما را رمزنگاری کرده و در نتیجه تا زمانی که باج پرداخت نشود، اجازه نمیدهند کاربر به اطلاعاتش دسترسی پیدا کند. البته همهی این نوع باج افزارها از الگوریتمهای رمزنگاری قوی استفاده نمیکنند، بنابراین در بعضی از موارد، کاربر میتواند بدون نیاز به پرداخت باج اطلاعات خود را باز پس گیرد.
در این مطلب می خواهیم روی نوع رایج تر باج افزارهای File encryptor تمرکز کنیم. خانواده های باج افزاری به طور پیوسته در حال تغییر و تکامل هستند و میخواهیم روش حذف باج افزار Xorist که یکی از اعضای قدیمی و ثابت شده خانواده های باج افزاری است را نشان دهیم.
اگر به باج افزار آلوده شدیم چه کار کنیم؟
یکی از کابوس های همه کاربران و مدیران سیستم، آلوده شدن با باج افزار است. خیره به صفحه نمایش در حال خواندن پیغامی هستند که در آن گفته شده برای باز پسگیری فایلها، باید هزاران دلار باج پرداخت کنید.
اما در این مواقع چه کار باید کرد؟ اول از همه وحشت نکنید. درست است که باج افزارها ممکن است محدودیت زمانی داشته باشند، اما عجولانه رفتار کردن، ممکن است فرآیند بازگردانی فایل ها را دشوارتر کند.
مرحله ۱: کامپیوتر های آلوده شده را شناسایی کنید.
ابتدا باید بررسی کنید کدام کامپیوتر یا کامپیوترهای موجود در شبکه آلوده شدهاند. این مرحله اهمیت بسیار زیادی دارد و باید بلافاصله پس از اطلاع از آلودگی به باج افزار انجام شود. معمولاً با بررسی مالک فایل متنی باج افزار (ransom note) در شبکه، می توانید کامپیوتر آلوده ای که باج افزار بر روی آن اجرا شده است را بیابید. وقتی کامپیوترهای آلوده را پیدا کردید، به سرعت آن ها را از شبکه خارج کنید تا باج افزار به سایر کامپیوتر ها سرایت نکند.
مرحله ۲: بررسی کنید فایل اجرایی باج افزار هنوز در سیستم موجود است یا خیر.
در وهله دوم، وقتی سیستمهای آلوده را از شبکه جدا کردید، باید بررسی کنید فایل اجرایی باج افزار هنوز در حال اجراست و آیا در سیستم وجود دارد یا خیر. اگر پاسخ مثبت است، بهترین کار این است که یک رونوشت از حافظه (Memory process dump) بگیرید و پیش از پاکسازی سیستم، از فایل اجرایی باج افزار یک عدد کپی تهیه کنید.
این کار ضرورتی ندارد اما حائز اهمیت است، چرا که امکان دارد باج افزاری که کامپیوتر شما را آلوده کرده، هنوز در مرحلهی تحلیل و بررسی متخصصان قرار داشته باشد و این نمونه می تواند بسیار به آنها کمک کند. معمولاً توصیه می شود بدافزار ها و فایل های مخرب را در سرویسی به نام VirusTotal آپلود کنید. این سرویس با کمک آنتی ویروس ها و ابزارهای امنیتیِ بیش از ۶۰ شرکت فعال در این حوزه، میتواند اطلاعات بسیار مفیدی در خصوص بدافزار مربوطه به شما ارائه کند.
مرحله ۳: بررسی کنید با چه نوع باج افزاری سروکار دارید.
در مرحله سوم، نسخه ای از فایل متنی باج افزار (ransom note) و یک نمونه از فایل های رمزنگاری شده را در ID-Ransomware آپلود کنید. IDR یک سرویس رایگان معتبر است که طراحی شده تا باج افزارهای مختلف را بر اساس سرنخ هایی که در فایل های رمزنگاری شده و فایل متنی باج افزار وجود دارد، شناسایی کند. وقتی متوجه شدید با چه نوع باج افزاری سروکار دارید، بسیار راحت تر میتوانید بررسی کنید که آیا ابزاری برای رمزگشایی این باج افزار وجود دارد یا خیر و اینکه چه اطلاعاتی دربارهی نحوه آلوده شدن قربانیان این باج افزار موجود است.
مرحله ۴: حذف باج افزار
در نهایت باید کامپیوتر آلوده خود را از طریق همان روشی که در مطلب حذف دستی بدافزارها توضیح دادیم، پاکسازی کنید. در مثال زیر مراحل حذف باج افزار را بصورت گام به گام توضیح می دهیم:
حذف باج افزار Xorist بصورت مرحله به مرحله
حذف دستی در اکثر مواقع ضروری نیست. باج افزارها معمولا بعد از این که فایل ها را قفل کردند و یادداشت مربوط به درخواست باج را نمایش دادند، به طور خودکار خودشان را حذف میکنند. با این وجود، بعضی باج افزارها خود را در مسیر (Startups) قرار می دهند تا اطلاعات جدیدی را که قبلا قفل نشده، قفل کنند. بعضی از انواع باج افزارها نیز با بدافزارهای دیگری همراه هستند که میتوانند آسیب های بیشتری به سیستم وارد کنند.
با توجه به این که باج افزارها به طور مداوم در حال تکامل هستند، ما تصمیم گرفتیم با یکی از خانوادههای قدیمی آنها پیش برویم که هنوز استفاده میشود و با وجود گذشت سالها از انتشار اولیهاش، همچنان تعداد قابل توجهای از حملات باج افزاری با استفاده از این باج افزار انجام میگیرد:
اگرچه قطعاً باج افزارهای پیشرفته تری در دنیا وجود دارند، ولی اکثر آن ها به اندازهی Xorist تداوم و بقا نداشتهاند.
Xorist یک کیت ساخت باج افزار است که حتی تازه واردها هم با کمک آن میتوانند باج افزار تولید کنند. مواردی مانند تصاویر پس زمینه، فایل متنی باج افزار، تعیین پسوند فایلهایی که قرار است مورد حمله قرار بگیرند و غیره، همگی از طریق این ابزار قابل پیکربندی هستند. ما از میان دهها هزار گونه Xorist گونهای را به صورت تصادفی انتخاب کردیم.
وقتی برای اولین بار به یک سیستم آلوده به این باج افزار نگاه میکنید، متوجه میشوید که تصویر پس زمینهی دسکتاپ تغییر کرده و یک یادداشت ترسناک روی آن قرار دارد و آیکون همه برنامهها به صورت جمجمه درآمده است.
قبل از هر چیز ابتدا با استفاده از ابزارهای Process Explorer یا Process Hacker باید ببینیم باج افزار یا سایر بدافزارها هنوز در حال اجرا هستند یا خیر. در مثال ما، باج افزار بعد از اعمال تغییرات بسته میشود و هیچ بدافزار دیگری هم وجود ندارد. اما اگر فرآیندهایی پیدا کردید که شبیه بدافزار بودند، قبل از این که آن ها را ببندید، حتماً یک رونوشت از وضعیت فعلی رَم دستگاه تهیه کنید.
برای انجام این کار کافی است در Process Hacker روی آن فرآیند مشکوک کلیک راست کرده و گزینهی Create dump file را انتخاب یا از طریق Process Explorer روی گزینه Create Dump/Create Full Dump کلیک کنید. (نحوه کار با ابزارهای معرفی شده در این مطلب، در مقاله حذف دستی بدافزارها توضیح داده شده است.)
اکنون میخواهیم با استفاده از ابزار Autoruns نقاط بارگذاری را پیدا کنیم و متوجه شویم که هر برنامه چگونه در هنگام راه اندازی سیستم اجرا میشود. بعد از این که Autoruns را باز کردیم، در کلید رجیستری Run ردیفی مشابه همان آیکن جمجمه، که بر روی فایل های قفل شده نیز دیده بودیم، مشاهده میشود. با بررسی محل فایل که در بخش temp است و همچنین اسکن آن به وسیلهی VirusTotal (با کلیک راست و انتخاب گزینهی Submit to VirusTotal)، میتوانیم بررسی کنیم که این فایل، همان فایل باجافزار است یا خیر.
نکتهای که باید در مورد اسکن فایل با VirusTotal در نظر داشته باشید این است که این اسکنرها گاهی اوقات هشدار غلط (False positive) صادر می کنند. بنابراین اگر یک فایل تنها در یک یا دو مورد از اسکنرها شناسایی شده بود، اما در سایر اسکنرها سالم به نظر میرسید، لزوما مخرب نیست. در آن صورت بهتر است فایل را برای ما ارسال کنید تا بتوانیم دقیق تر آن را بررسی کنیم.
با این حال، در این مورد با توجه به تعداد موارد شناسایی شده (در کنار آیکن برنامهها و همچنین موقعیت مشکوک فایل) میتوانیم مطمئن باشیم که این فایل مخرب بوده و منبع آلودگی است. پس میتوانیم با کلیک راست بر روی ردیف مربوطه و انتخاب گزینهی Delete فایل را حذف یا با برداشتن تیکی که جلوی این گزینه وجود دارد، آن را غیرفعال کنیم.
در حالت کلی هرگاه با باج افزارها طرف هستید، بهتر است از همه فایلهای اجرایی باج افزار که پیدا میکنید یک کپی بگیرید و آن ها را درون یک پوشه بصورت فشرده نگه داری کنید. علت این امر آن است که وقتی با خانواده جدیدی از باج افزارها سروکار دارید، شرکت هایی مثل ما که به قربانیان کمک میکنند، برای عملیات مهندسی معکوس و جستجو به دنبال نقایص کد، به فایل اجرایی باج افزاری که اطلاعات کاربر را قفل کرده نیاز دارند.
در این صورت ما می توانیم با بررسی نقایص این باج افزار، یک ابزار کارآمد برای بازگردانی فایل های رمزنگاری شده تولید کنیم. اگر فایل اجرایی باج افزار توسط قربانی حذف شود، انجام این کار فوق العاده سخت تر خواهد شد.
بعد از این که (Startups) را از کار انداختیم، فایل متنی باج افزار و یک نمونه فایل رمزنگاری شده را در ID-Ransomware آپلود میکنیم. این فرآیند بسیار ساده است و اکثر کاربران به راحتی میتوانند با دنبال کردن مراحلی که در این سایت وجود دارد، آن را انجام دهند.
ID-Ransomware به خوبی باج افزارها را برای ما شناسایی کرده و خودش میداند که چه ابزاری برای برگرداندن فایل های ما مناسب است.
هنگام استفاده از ابزارهای رمزگشا به خاطر داشته باشید که این ابزارها بی نقص نیستند. کُد بسیاری از باج افزارها با بی دقتی نوشته شده است. بعضی از آن ها به نحوی به قسمت های رمزگذاری شده فایل آسیب میزنند، که دیگر به هیچ روشی نمیتوان آن بخشها را بازیابی کرد. بهترین کار این است که اطلاعات مربوط به هر ابزار رمزگشا را از صفحهی رسمی آن مطالعه کنید تا ببینید چنین محدودیتهایی وجود دارد یا خیر، و چگونه میتوانید به درستی از این ابزارها کمک بگیرید.
بعضی از ابزارهای رمزگشا، از جمله بعضی ابزارهای خود ما، به یک جفت فایل متناظر (فایل قفل شده و نمونهی قفل نشدهی آن) نیاز دارند. بسیاری از قربانیان اغلب نمیدانند که چگونه باید این فایلهای متناظر را به دست بیاورند و فکر میکنند پیدا کردن این فایل ها غیر ممکن است. اما با راهنماییهای زیر، معمولا در حداقل زمان میتوانید جفت متناظر فایلهای خود را پیدا کنید:
- اگر فایلی در پوشهی Downloads وجود دارد، آن را دوباره دانلود کنید.
- اگر فایلی از فایل های استاندارد سیستم عامل ویندوز قفل شده، مثلا Wallpaper پیشفرض سیستم عامل، میتوانید آن ها را از یک سیستم دیگر که مجهز به همان نسخه از ویندوز باشد کپی کنید.
- پوشه ایمیل ها را بررسی کنید تا در صورت قفل شدن فایل هایی که برای دوستان و اقوام ارسال کرده بودید، بتوانید آن ها را از بخش پیغامهای ارسالی مجدداً دریافت کنید.
ابزارهای رمزگشا برای انجام محاسبات تعیین کلیدهای صحیح رمزگشایی، به زمان مقتضی نیاز دارند. پس لطفاً صبور باشید تا کار ابزار رمزگشا تمام شود.
بعد از این که ابزار رمزگشا Xorist را دانلود و آن را به همراه جفت فایل های متناظر آن (فایل رمز شده و نمونهی رمز نشدهی همان فایل) اجرا کردیم، عملیات برای بازگردانی فایل ها آغاز میشود:
وقتی کار تمام شد، ابزار رمزگشا نتیجهی عملیات خود را به ما نشان میدهد:
بعد از کلیک بر روی OK و آغاز فرآیند رمزگشایی، فایلها برگردانده میشود:
بعضی از باج افزارها به چند مرحله دیگر هم نیاز دارند. اول از همه لازم است Wallpaper را حذف کنید. انجام این کار خیلی راحت است. کافی است روی دسکتاپ کلیک راست کرده و گزینهی Personalise را انتخاب نمایید. سپس عکس پس زمینه مورد نظر خود را تنظیم کنید:
در مثال ما، باج افزار پسوند فایل خود را (cryptedx) ثبت کرده و آن را با فایل اجرایی خودش، پیوند داده است. به همین خاطر آیکن همه فایل های رمزنگاری شده به شکل جمجمه درآمده است. حذف این آیکن ها کمی دشوارتر بوده و مستلزم استفاده از Windows Registry Editor می باشد.
کافی است دکمههای Win + R را فشار داده و عبارت regedit.exe را تایپ کنید و کلید Enter را بفشارید تا برنامهی Windows Registry Editor باز شود.
حالا به کلید اصلی HKEY_CLASSES_ROOT بروید. این کلید رجیستری حاوی همهی ارتباطاتی است که بین پسوند فایل ها و اپلیکیشن های مربوط به آن ها قرار دارد. اکنون وارد کلید cryptedx شوید. آنچه در این بخش مشاهده میکنید شبیه تصویر زیر است:
تنظیم پسوند فایل ها، اساسا به دو روش در رجیستری قابل انجام است. یا اطلاعات مربوط به این که این پسوند مربوط به چه اپلیکیشنی است، به طور مستقیم در داخل کلید رجیستری پسوندِ فایل ذخیره شده، یا این اطلاعات به طور جداگانه در مسیری ذخیره شده و پسوند فایل صرفا به آن مسیر وصل شده است.
برای اینکه دریابید در کدام وضعیت قرار دارید، باید ببینید خود کلید رجیستری پسوند فایل، زیر شاخه ای دارد یا خیر. در مثال ما زیر شاخه ای وجود ندارد، چون فلشی در کنار این گزینه دیده نمیشود. بنابراین از مقدار “NTGQBAPSQKOSXWE” کپی گرفته و کلید رجیستری مذکور را حذف میکنیم.
حالا کلید رجیستری “NTGQBAPSQKOSXWE” را بررسی میکنیم. این همان کلیدی است که مشخص میکند چه اپلیکیشنی اجرا شود:
با حذف این کلید، پسوندی که توسط بدافزار اضافه شده بود به طور کامل حذف میشود.
در قدم آخر باید بخش های دیگر سیستم را هم پاکسازی کنیم. اکثر ابزارهای رمزگشا فایل متنی باج افزار را به همراه فایلهای قفل شده، بنا بر احتیاط نگه میدارند. چرا که داشتن یک پشتیبان رمزنگاری شده بهتر از این است که اصلا هیچ پشتیبانی نداشته باشید. اما بعد از این که با موفقیت توانستید همه فایل های خود را بازگردانی کنید و مطمئن شدید که فایل ها آسیبی ندیدهاند، میتوانید کپی های رمزنگاری شده آن ها را حذف کنید.
پس در قدم آخر، با استفاده از بخش جستجوی فایل ویندوز، به دنبال همه فایل های رمزنگاری شده و فایل متنی باج افزارها میگردیم تا آن ها را حذف کنیم:
کافی است همه فایل هایی که پیدا میشود را انتخاب و آن ها را مانند هر فایل دیگری حذف کنید. بدین ترتیب مراحل حذف باج افزار و بازیابی فایل ها به پایان میرسد.
پیشگیری از آلوده شدن به باج افزارها
باج افزارها به طور خلاصه همان بدافزارهای معمولی هستند. بنابراین همه تدابیری که در مقابل بدافزارهای معمولی کارساز باشد، در برابر باج افزارها هم کارآمد است، از جمله:
- نرمافزار و سیستم عامل خود را بروز نگه دارید تا هدف اکسپلویت ها و دانلودهای ناخواسته قرار نگیرید.
- درگیر رفتارهای پرخطر مثل دانلود نرمافزارهای کرک شده یا باز کردن پیوست های ایمیل از منابع ناشناس نشوید. حتی اگر منبع را میشناسید، حواستان جمع باشد. هیچ دلیلی ندارد که کسی بخواهد صورتحساب، تاییدیه سفارش یا هر چیز دیگری را درون فایل فشردهی ZIP قرار داده و آن را از طریق ایمیل برای شما ارسال کند، چرا که اکثر فایلهای متنی به صورت خودکار فشرده هستند. سیستم فشردهی ZIP حجم ایمیل را کاهش نمیدهد بلکه فقط باعث میشود پیوست مذکور، از فیلترهای موجود عبور کند و فایل های مخرب را به دست گیرنده برساند.
- برای در امان ماندن از این خطرات از یک آنتی ویروس و ضد بدافزار با کیفیت استفاده کنید.
برای در امان ماندن قدمهای دیگری هم وجود دارد که میتوانید بردارید. بکاپ گرفتن از جمله مهم ترین کارهاست. اگرچه بکاپ ها در برابر باج افزارها از شما محافظت نمیکنند، ولی میتوانند میزان صدمات را کاهش دهند. قاعده کلی برای بکاپ گیری قاعده ۳-۲-۱ است. یعنی ۳ نسخه از اطلاعات مهمتان تهیه کنید.۲ نسخه از آن ها نباید در دسترس سیستم و شبکه شما باشد و یکی از این نسخهها باید به صورت آفلاین ذخیره شود.
یکی از روش های رایج نفوذ مجرمان سایبری به سرورها، از طریق ابزارهای دسترسی از راه دور مانند RDP یا TeamViewer است. اگر بر روی سیستم های خود از چنین ابزارهایی استفاده میکنید، در هنگام نصب پَچ های امنیتی باید حواس خود را بسیار زیاد جمع کنید. علاوه بر این توصیه میکنیم از نام کاربری و پسوردهای پیچیدهای استفاده کنید که حدس زدن آن ها راحت نباشد و کسی نتواند آن را از دیکشنری های موجود برای پسوردها پیدا کند، در غیر این صورت شما هم مانند هزاران شرکت دیگر، قربانی حمله Brute Force میشوید.
ذکر این نکته هم حائز اهمیت است که نباید از نام کاربری و پسورد خود در هیچ جای دیگری استفاده کنید، چون به خطر افتادن امنیت آن سیستمها و پلتفرمها میتواند امنیت سیستم شما یا سرور را هم به خطر بیندازد. اگر میتوانید، بهتر است دسترسی به پورت های دسترسی از راه دور را به بازه خاصی از IPها محدود کنید.
اگر این امکان را ندارید، تغییر پورت پیش فرض باعث میشود کار مهاجم برای این که بفهمد شما از نرم افزارهای دسترسی از راه دور استفاده میکنید یا نه، دشوارتر شود.
📢وقتی صحبت از نفوذ از طریق نرم افزارهای دسترسی از راه دور میشود، هیچ نرمافزار امنیتی نمیتواند به شما کمک کند. دلیلش این است که مهاجم به راحتی میتواند پیش از اجرای باج افزار، آنتی ویروس شما را حذف یا غیرفعال کند. پس فوق العاده حیاتی است که تا جای ممکن دسترسی از راه دور به سیستم خود را محدود نموده و از پسوردهای پیچیده و استاندارد استفاده کنید.
روز فوق العاده و بدون باج افزاری داشته باشید!
برگرفته شده از:
بدون نظر