اگر تصاویر، فیلم‌ها، اطلاعات و… شما توسط باج‌ افزار Stop/Djvu رمزگذاری شده باشند، نگران نباشید. این روزها بسیاری از افراد در اطلاعات ریز و درشت خود با این مشکلات مواجه می‌شوند و آن‌ها پس از حملات باج افزار دیگر دسترسی برای آن‌ها امکان پذیر نیست. این باج افزار یکی دیگر از انواع باج افزار است که بسیاری از شرکت‌ها و کاربران از آن رنج می‌برند. برای حذف باج‌ افزار Stop/Djvu و ریکاوری دیتابیس فقط کافی است به متخصصان ما اعتماد کنید.

باج‌ افزار Stop/Djvu چیست؟

باج‌ افزار Stop/Djvu بدون اغراق بدترین چیزی است که کاربر در فضای مجازی انتظارش را دارد. نه تنها باجگیر‌ها اغلب مبالغ هنگفتی را درخواست می‌کنند، بلکه حتی پس از پرداخت باج، فقط گاهی اوقات امکان رمزگشایی صحیح این فایل ها وجود دارد و در بسیاری از موارد گزارش شده هیچ گونه رمزگشایی صورت نگرفته است.

نوع باج افزار	باج افزار STOP/Djvu
پسوند فایل	zput, zpww, zpas, ithh, itrz, itqw, pthh, ptrz, ptqw, mlrd, mlap, and etc
تشخیص	Ransom.Win32.STOP.bot, Ransom.Win32.STOP.gd, Ransom.Win32.STOP.dd, Ransom.Win32.STOP.vb
الگوریتم	Salsa20
مقدار باج	از 490 تا 980 دلار (به بیت کوین)
درجه آسیب	⮞ فقط 150 کیلوبایت اول فایل‌ها را رمزگذاری می‌کند. ⮞ می‌تواند کپی‌های Volume Shadow را حذف کند تا تلاش قربانی برای بازیابی داده‌ها غیرممکن شود. ⮞ قبل از رمزگذاری، رمز عبور Redline، Vidar، Amadey، DcRat را روی دستگاه قربانی نصب می کند.
شیوه توزیع ویروس	⮞ نرم افزار دزدان دریایی و تورنت‌ها ⮞ اسکریپت‌های مخرب؛ ⮞ سایت‌های مشکوک و نامعتبر که برای دانلود فیلم‌ها ارائه می‌دهند.

یادداشت‌های باج‌ افزار Stop/Djvu

در این یادداشت که متن انگلیسی آن را کامل شرح داده‌ایم باج‌ افزار Stop/Djvu در ابتدا خطاب به کاربر می‌گوید تمام اطلاعات شما رمزگزاری شده است و تنها روش بازیابی فایل‌ها خرید ابزار یا همان کلید رمزگشایی است. او برای نشان دادن درستی حرفش در قبال در دست داشتن فایل ها می‌گوید که یکی از فایل ها را برای ما ارسال کنید که رمزگشایی کنیم. و بعد از آن قیمت کلید که حدودا 1000 دلار است را پیشنهاد می‌دهد. البته اگر قبل از 72 ساعت نصف این مبلغ پرداخت شود فایل‌ها را در اختیار کاربر قرار می‌دهد.

باج‌ افزار Stop/Djvu از چه طریقی وارد می‌شود؟

از آنجایی که باج‌ افزار Stop/Djvu روش خاص تعریف شده‌ای برای ورود به سیستم ندارد، انتقال آن می‌تواند متفاوت باشد. به همین دلیل، مهاجمان رویکرد نسبتاً مختلفی دارند که پیش‌بینی و تشخیص نشانه‌های اولیه را برای مدافعان سخت و پیشبینی ناپذیر می‌کند. برای مثال، استفاده از ایمیل‌های هرزنامه که از پیوست‌های خراب استفاده می‌شد روش اصلی انتشار این ویروس بود. با این حال، باج‌ افزار Stop/Djvu می تواند به عنوان طیف گسترده‌ای از انواع فایل در سایت‌های متفاوت ظاهر شود.

پسوند فایل‌های جعلی

✔ یکی از راه‌های ورود محبوب باج‌ افزار Stop/Djvu از طریق پسوند فایل‌های جعلی است. برای مثال، کاربران تازه کاری که سعی در دانلود برخی فایل‌ها، مانند سند word دارند، ممکن است با فایلی با پسوند دوگانه *.dox.exe مواجه شوند. در این حالت، آخرین پسوند واقعی خواهد بود، که به احتمال زیاد کاربر متوجه آن نخواهد شد، زیرا نماد فایل با فایل .dox واقعی یکسان خواهد بود. بنابراین، توجه به برنامه‌های افزودنی، دانلود در رایانه شما ضروری است.

اسکریپت‌های مخرب

✔ ویروس باج‌ افزار Stop/Djvu می‌تواند از طریق اسکریپت‌های مخرب نیز گسترش یابد. اغلب این انواع اسکریپت‌ها در وب‌سایت‌های مشکوک قابل دسترسی هستند. به عنوان مثال، زمانی که به سایت‌های پورنو در شبکه‌های ناامن مراجعه می‌کنید یا فایل‌ها را از طریق این پلتفرم‌ها به اشتراک می‌گذارید، خطر آلوده شدن کامپیوتر شما وجود دارد. همچنین، وقتی روی پاپ‌آپ‌ها یا بنرهای متناظر کلیک می‌کنید، ممکن است مسیر مرورگر شما به سایت‌های مخرب تغییر مسیر دهد. در نهایت، زمانی که در این پلتفرم‌ها برای دریافت هشدارها یا اعلان‌ها ثبت‌نام می‌کنید، بدافزار به رایانه شما دسترسی پیدا کرده و به آن نفوذ می‌کند.

تبلیغات و ارسال هرزنامه

✔ جلب توجه شرکت‌های مختلف و ارسال کلاهبردارانه ایمیل‌ها از تکتیک‌های مجرمانه است که توسط افراد بدنام بهره‌برداری می‌شود. در این روش، اطلاعات جعلی در هدر ایمیل ارسالی قرار می‌گیرد تا قربانی معتقاعد شود که ایمیل از سوی یک شرکت معتبر ارسال شده است. ایمیل به قربانی خبر می‌دهد که تلاش شده تا بسته به آدرس او تحویل داده شود، اما موفقیت آمیز نبوده است. گاهی اوقات این ایمیل‌ها ادعا می‌کنند که اعلان‌های مهمی دارند که شما انجام داده‌اید، اما به واقعیت، ایمیل حاوی یک فایل آلوده به عنوان پیوست ارسال شده است. باز کردن این فایل می‌تواند به عواقب بدی منجر شود.

همچنین، باج‌ افزار Stop/Djvu به طور متداول با بدافزارهای دیگر مانند Redline، Vidar، Amadey، DcRat و … همکاری می‌کند. به عنوان مثال، DJVU قادر است قبل از رمزگذاری روی دستگاه قربانی، دزدان اطلاعات را در دستگاه قرار دهد. این تعامل با دیگر خانواده‌های بدافزار، باعث می‌شود که DJVU تهدیداتی حتی مخرب‌تر ایجاد کند. به علاوه، DJVU به عنوان یک محموله از خانواده‌ی برنامه‌های مخرب مانند SmokeLoader نیز به کار گرفته می‌شود.

اجرای مراحل باج‌ افزار Stop/Djvu به صورت گام به گام

ویروس باج‌ افزار Stop/Djvu با هدف کاهش سرعت تجزیه و تحلیل کد توسط متخصصان امنیتی و جعبه‌های ابزار خودکار، زنجیره اجرایی خود را با چندین مرحله پیچیده طراحی کرده است. فعالیت مخرب DJVU زمانی آغاز می‌شود که از بخش heap به منظور محافظت از فایل اجرایی استفاده می‌کند، تا پوسته‌های رمزگذاری‌شده موجود در فایل اجرایی قابل‌حمل (PE) را آغاز کند. این مرحله ابتدایی از کد پوسته با استفاده از الگوریتم رمزگذاری کوچک (TEA) رمزگذاری می‌شود. نویسندگان این بدافزار تلاش کرده‌اند تا به صورت جداگانه ثوابت رمزگذاری را پنهان کنند که به عنوان یک روش اضافی برای مقابله با تجزیه و تحلیل انجام شده است. این اقدام احتمالاً به منظور جلوگیری از شناسایی الگوریتم TEA انجام شده است، زیرا بدافزار عمدتاً از این الگوریتم استفاده می‌کند.

⬅در مرحله دوم از الگوریتم پایه XOR برای رمزگذاری استفاده می‌شود. در اینجا کلید با استفاده از یک الگوریتم تولید اعداد شبه‌تصادفی، که قابل پیش‌بینی نیز است، تغییر می‌کند. سپس با استفاده از روشی معمول‌تر به نام Virtual Alloc، محتویات مرحله دوم در حافظه بارگذاری می‌شود. در این مرحله ، کد پوسته یک فرآیند جدید را با استفاده از همان باینری راه‌اندازی می‌کند. در نهایت، از یک فرآیند پاکسازی برای تزریق یک نسخه بازنشده از بدافزار به فرآیند جدید استفاده می‌کند. این مراحل تا زمانی که محموله در نهایت فعال شود، پیش می‌روند.

⬅فرآیند شروع فعالیت مخرب با تشخیص موقعیت دستگاه قربانی شروع می‌شود. برای این منظور، نرم‌افزار مخرب مکان دستگاه را با ارسال یک درخواست GET به api.2ip.ua/geo.json و استفاده از سرویس جستجوی GeoIP بررسی می‌کند.

⬅بدافزار یک پوشه جدید در مسیر %\AppData\Local\% ایجاد می‌کند. نام فایل ایجاد شده به صورت تصادفی با استفاده از UUID Version4 و با بهره‌گیری از UuidCreate و UuidToStringW تولید می‌شود. وقتی یک پوشه بااستفاده از تابع CreateDirectoryW ایجاد می‌شود، بدافزار یک نسخه از خود را در این مسیر کپی می‌کند.

⬅در مرحله بعد، باج‌ افزار Stop/Djvu از ابزار “icacls.exe”، یک ابزار خط فرمان ویندوز، برای تلاش در محافظت از پوشه ایجاد شده استفاده می‌کند. این ابزار با دستوراتی سعی می‌کند نسخه DJVU را با مجوزهای بالاتری اجرا کند. سپس از API های ShellExecute با استفاده از فعل “runas” استفاده می‌کند تا تلاش کند خود را با حقوق مدیریتی اجرا کند. بسته به تنظیمات دستگاه قربانی، ممکن است یک کادر محاوره‌ای کنترل حساب‌های کاربری (UAC) نمایش داده شود و از سیستم درخواست دهد تا حقوق مدیر را به فرآیند اختصاص دهد. اگر بدافزار با این امتیازات اجرا شود، این امکان فراهم می‌شود که فایل‌های مهم‌تر روی سیستم رمزگذاری شوند.

⬅محموله با مجوزهای مدیریتی بالا و با استفاده از آرگومان‌های “-Admin IsNotAutoStart IsNotTask” راه‌اندازی می‌شود. سپس باج‌ افزار Stop/Djvu با استفاده از ابزار schtasks.exe به عنوان روش‌های مشهور برای ایجاد وظایف از طریق زمان‌بندی کار، وظایفی با ماندگاری ایجاد می‌کند. این کار به معنی افزایش احتمال شناسایی آنها است، زیرا این وظایف به طور مستمر اجرا می‌شوند.

⬅سپس payload آدرس MAC کارت شبکه را استخراج می کند و یک هش MD5 از آن آدرس ایجاد می کند. آیا سپس از هش MD5 برای اتصال به سیستم مخرب C2 از طریق URL استفاده می کند: hxxps[:]//acacaca[.]org/d/test1/get.php?pid={MAC Address_MD5}&first=true. پاسخ به این پیام در فایل “Bowsakkdestx.txt” که در فهرست %\AppData\Local\% قرار دارد، ذخیره می شود.

⬅مقداری که در این فایل ذخیره می‌شود، شامل کلید عمومی و شناسه می‌باشد. این تهدید همچنین شناسه را در یک فایل جدیدی که در مسیر C:\SystemID\PersonalID.txt ایجاد می‌شود ذخیره می‌کند.

⬅هنگامی که کلیدها ذخیره می‌شوند، بدافزار به دو دامنه دیگر نیز متصل می‌شود. یکی از این دامنه‌ها به نام RedLine به عنوان یک سیستم شناخته شده برای سرقت اطلاعات از نوامبر 2022 شناخته می‌شود.

⬅به منظور ذخیره بیشتر، بدافزار یک کلید راه‌اندازی رجیستری به نام “SysHelper” را در مسیر رجیستری “HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run” ایجاد می‌کند.

⬅سپس، قبل از آغاز فرآیند رمزگذاری، بدافزار یک mutex با نام “{1D6FC66E-D1F3-422C-8A53-C0BBCF3D900D}” ایجاد می‌کند. این عمل به منظور جلوگیری از رمزگذاری مضاعف انجام می‌شود و فایل را غیرقابل بازیابی می‌کند. این بدافزار همچنین شامل یک کلید عمومی و شناسه رمزگذاری شده است.

در طی فرآیند رمزگذاری، باج‌ افزار Stop/Djvu از فایل ها و پسوندهای زیر چشم پوشی می کند:

باج‌ افزار Stop/Djvuهمچنین دارای یک فهرست است که به پوشه‌های اصلی که بخشی از سیستم عامل ویندوز هستند اشاره دارد. علاوه بر این، بدافزار در تلاش است تا نام یک فایل سخت‌کد شده با پسوند .jpg را پیدا کند، اگرچه هدف از این جستجو باید مشخص شود. در پایان فرآیند رمزگذاری، بدافزار فایل _readme.txt را در ریشه درایو C:\ ذخیره می‌کند.

بازیابی فایل های رمزگذاری شده توسط باج‌ افزار Stop/Djvu

به طور قطع می‌توانید به افرادی که باج‌افزار را اجرا کرده‌اند پرداخت کنید، اما لازم به ذکر است که آنها افراد کلاهبردار هستند و هیچ تضمینی وجود ندارد که پس از پرداخت مبلغ مورد نظر، کلید رمزگشایی را دریافت کنید. علاوه بر این، این افراد ممکن است پس از دریافت وجه، شما را نادیده بگیرند و کاری نداشته باشند جز اینکه به دنبال راه‌های جدیدی برای افزایش مبلغی که از شما دریافت می‌کنند باشند. همچنین باید به این نکته توجه داشت که برخی محدودیت‌هایی برای بازیابی فایل‌ها وجود دارد. به عبارت دیگر، شما ممکن است توسط ابزارهای رمزگشایی آفلاین که توسط توسعه‌دهندگان Emsisoft Decryptor ارائه شده است، توانایی بازگشایی اطلاعات رمزگذاری شده با کلید‌های آفلاین را داشته باشید. با این حال، شما نمی‌توانید فایل‌هایی که با شناسه ONLINE و برخی از نسخه‌های اخیر STOP/DJVU که پس از آگوست 2019 توسعه یافته‌اند را بازگشایی کنید. در مورد نسخه‌های قدیمی‌تر، ممکن است با استفاده از جفت فایل‌های رمزگذاری‌شده و منبع ارائه‌شده در پورتال Decryptor STOP Djvu، توانایی بازگشایی فایل‌ها را داشته باشید.

چگونه از ورود باج‌ افزار Stop/Djvu جلوگیری کنیم؟

✔از اطلاعات خود پشتیبان تهیه کنید❕

تهیه نسخه پشتیبان از اطلاعات شما بهترین راه برای حفاظت از آنها است. بهتر است از اطلاعات خود روی یک رسانه جداگانه که به سیستم شما متصل نیست نسخه پشتیبان تهیه کنید. البته، نیازی نیست که از همه چیز پشتیبان گیری کنید، بلکه می‌توانید از مهم‌ترین فایل‌ها نسخه پشتیبان تهیه کنید. به عنوان مثال، برخی از ویروس‌های باج‌افزار ممکن است فایل‌هایی که در ابرهای ذخیره‌سازی آنلاین قرار دارند را آسیب برسانند، بنابراین استفاده از یک هارد دیسک خارجی که در جایی جدا از سیستم شما قرار دارد، بهترین انتخاب خواهد بود.

✔ سیستم عامل خود را همیشه به روز نگه دارید❕

استفاده از یک سیستم و نرم‌افزار به‌روز به این معناست که شما از بهترین نسخه‌های ممکن در آن زمان استفاده می‌کنید. استفاده از نرم‌افزارهای قدیمی احتمال هک شدن یا آلوده شدن کامپیوتر شما را افزایش می‌دهد. توسعه‌دهندگان نرم‌افزار به‌روزرسانی‌هایی را برای رفع باگ‌ها، آسیب‌پذیری‌ها و مشکلات منتشر می‌کنند و نصب آنها به معنای بهبود ضعف‌های نرم‌افزار و جلوگیری از سوء استفاده هکرها از آن‌ها است.

نتیجه‌گیری:

در دنیای امروزی، باج‌ افزار Stop/Djvu یک تهدید جدی در دنیای سایبری به شمار می‌رود که به داده‌ها و اطلاعات کاربران آسیب می‌زند. این مقاله به معرفی عملکرد و ویژگی‌های این باج‌افزار پررنگ و همچنین ارائه راهکارهای اساسی برای مقابله با آن پرداخت. مهمترین اقدامات شامل پشتیبان‌گیری منظم از داده‌ها، به‌روزرسانی نرم‌افزارها و سیستم‌عامل، استفاده از نرم‌افزارهای امنیتی و عدم پرداخت هزینه‌های مورد نیاز برای رمزگشایی فایل‌ها می‌باشند. اهمیت این اقدامات نمی‌تواند بیشتر تأکید شود و به کاربران و سازمان‌ها کمک می‌کند تا داده‌های خود را از دست ندهند و از تهدیدات سایبری محافظت کنند. این راهکارها باید به عنوان یک جزء اساسی از استراتژی امنیتی هر کاربر و سازمان در دنیای دیجیتال در نظر گرفته شوند. توجه به این موارد می‌تواند به جلوگیری از از دست دادن داده‌های ارزشمند و کاهش تأثیر باج‌افزارها کمک کند.

https://gridinsoft.com/ransomware/djvu

باج افزار Exfiltration یکی دیگر از انواع باج افزار است که به استخراج داده‌ها می‌پردازد. این روزها گروه‌های باج‌افزار با تهدید به انتشار عمومی داده‌های محرمانه، فشار بیشتری را بر قربانیان وارد می‌کنند تا قربانیان به خاطر وعده حذف کامل یا محرمانه نگه داشتن داده‌ها باج را بپردازند. گروه‌های باج‌افزار علاوه بر ارسال عمومی داده‌ها، داده‌های دزدیده شده را در انجمن‌های مجرمان سایبری و بازارهای وب تاریک برای درآمد بیشتر می‌فروشند. داده‌های Chainalysis نشان می‌دهد که مبلغ پرداختی توسط قربانیان باج‌افزار 311 درصد در سال 2020 افزایش یافته و همچنین 350 میلیون دلار ارز دیجیتال نیز باج گرفته شده است. برای پاکسازی باج افزار Exfiltration با ما تماس بگیرید.

باج افزار Exfiltration چیست؟

باج‌افزار Exfiltration یک نوع نرم‌افزار خبیث است که به منظور دسترسی غیرمجاز به داده‌ها و اطلاعات سازمانی طراحی شده است. این نوع باج‌افزار به شکل‌های مختلفی عمل می‌کند، از جمله رمزگذاری اطلاعات یا انتقال آنها به سرورهای مختصری که توسط مهاجمین کنترل می‌شوند. علاوه بر این، باج‌افزار Exfiltration معمولاً از روش‌هایی مبتنی بر شبکه برای انتقال اطلاعات استفاده می‌کند، مانند پروتکل‌های مخفی‌کاری یا استفاده از پورت‌های غیرمعمول.

حذف باج افزار Exfiltration

پاکسازی ویروس باج گیر یک وظیفه چالش برانگیز و حساس است که نیاز به توجه و مهارت دارد. در صورتی که سازمان یا شخصی با حمله این نوع باج‌افزار مواجه شود، مراحل زیر می‌توانند به حذف آن کمک کنند:

1. جدا سازی سیستم‌های آلوده: اگر ممکن است یک یا چند سیستم آلوده باج‌افزار Exfiltration داشته باشند، باید آن سیستم‌ها از شبکه جدا شوند تا جلوی انتشار بیشتر باج‌افزار را بگیرند.
2. تخلیه شبکه: پس از جدا سازی سیستم‌های آلوده، تخلیه شبکه از هر نوع ترافیک مخرب و مشکوک می‌تواند به جلوگیری از انتقال داده‌ها توسط باج‌افزار Exfiltration کمک کند.
3. تجزیه و تحلیل باج‌افزار: برای شناسایی نوع و عملکرد باج‌افزار Exfiltration، نیاز به تجزیه و تحلیل آن دارید. متخصصان امنیت می‌توانند به شناسایی کدها و عملکرد نرم‌افزار کمک کنند.
4. تخلیه و بازنشانی سیستم‌ها: سیستم‌هایی که تأیید شده است که توسط باج‌افزار آلوده شده‌اند، باید تخلیه و بازنشانی شوند. این به معنای حذف کامل نرم‌افزار باج‌افزار و نصب مجدد سیستم عامل و برنامه‌ها است.
5. به روزرسانی نرم‌افزارها و سیستم عامل: به‌روز نگه‌داشتن تمام نرم‌افزارها و سیستم عامل به آخرین نسخه‌ها و پچ‌های امنیتی موجود می‌تواند به جلوگیری از حملات مشابه در آینده کمک کند.
6. پیگیری و آموزش: پس از حذف باج‌افزار Exfiltration، مهم است تا برای پیگیری و ارتقاء امنیت سیستم‌ها و داده‌ها تلاش کنید. آموزش کارکنان در مورد شناسایی و پیشگیری از حملات امنیتی نیز بسیار اهمیت دارد.

تکنیک‌های باج افزار Exfiltration

بیشتر آلودگی‌های باج‌افزار از طریق یک حمله اولیه ساده، مانند ایمیل فیشینگ یا بهره‌برداری از پروتکل دسک‌تاپ از راه دور آغاز می‌شوند. پس از دسترسی اولیه، مجرمان سایبری از بدافزارها، ابزارهای تست نفوذ منبع باز و… برای افزایش امتیازات و حرکت جانبی در سراسر شبکه قربانی استفاده می‌کنند. افزایش دسترسی شبکه به CTA ها اجازه می‌دهد داده های حیاتی برای استخراج و رمزگذاری مورد هدف قرار گیرند.

تأثیرات باج افزار Exfiltration

باج‌افزار Exfiltration تأثیرات جدی بر امنیت سازمان‌ها و افراد دارد. این تأثیرات شامل موارد زیر می‌شوند:

1. دسترسی به داده‌های حساس: باج‌افزار Exfiltration به مهاجمین اجازه می‌دهد تا به داده‌ها و اطلاعات حساس سازمان دسترسی یابند. این اطلاعات می‌تواند اطلاعات مالی، اطلاعات مشتریان، یا اطلاعات مهم دیگر باشد.
2. خسارت به اعتبار سازمان: از آنجایی که باج‌افزار Exfiltration معمولاً به تهدید امنیت داده‌ها پایان می‌دهد و اطلاعات را تا زمان پرداخت اجازه بازیابی نمی‌دهد، سازمان‌ها ممکن است خسارات مالی و اعتباری قابل توجهی ببینند.

روش‌های پیشگیری و مقابله با باج افزار Exfiltration

برای پیشگیری از حملات باج‌افزار Exfiltration و مقابله با آن، سازمان‌ها می‌توانند اقدامات امنیتی زیر را اتخاذ کنند:

1. استفاده از نرم‌افزارهای امنیتی: استفاده از نرم‌افزارهای مخصوص امنیت، اسکنرهای آنتی‌ویروس و جلوگیری از نفوذ می‌تواند به شناسایی و جلوگیری از حملات Exfiltration کمک کند.
2. آموزش کارکنان: آموزش کارکنان در مورد شناسایی پیام‌های پیشنهادی، نگهداری از رمزها و به‌روزرسانی نرم‌افزارها می‌تواند به جلوگیری از حملات موفق Exfiltration کمک کند.
3. رمزنگاری داده‌ها: استفاده از رمزنگاری برای محافظت از داده‌های حساس در صورت دسترسی مهاجمین به آنها می‌تواند اطلاعات را محافظت کند.
4. پشتیبان‌گیری منظم: ایجاد نسخه‌پشتیبان منظم از داده‌ها به سازمان‌ها کمک می‌کند تا در صورت حملات Exfiltration قادر به بازیابی اطلاعات باشند.

باید توجه داشت که مقابله با باج افزار Exfiltration نیاز به همکاری با تیم‌های امنیتی حرفه‌ای دارد. همچنین، پرداخت هزینه‌های باج‌افزار توصیه نمی‌شود، زیرا ممکن است به تقویت تهدیدات امنیتی دیگر انگیزه دهد.

باج افزار Bucbi یکی از انواع باج افزار است که با پیشرفت فناوری و استفاده گسترده از اینترنت، حفظ امنیت اطلاعات در مقابل حملات سایبری امری بسیار حائز اهمیت شده است. نرم افزارهای مخرب و مخصوصاً برنامه‌های باج افزار، به عنوان یکی از تهدیدات عمده در حوزه امنیت سایبری شناخته می‌شوند. در این مقاله، با نرم افزار باج افزار Bucbi آشنا خواهیم شد و درک بهتری از اهمیت آن در حفاظت از اطلاعات خواهیم داشت.

۱. باج افزار Bucbi چیست و عملکرد آن به چه صورت است؟

۱.۱ تعریف باج افزار

باج افزارها یک نوع نرم افزار مخرب هستند که از طریق رمزگذاری فایل‌ها یا محدود کردن دسترسی به سیستم، از کار انداختن آن را ایجاد می‌کنند. بعد از آن، قربانی برای بازگرداندن دسترسی یا اطلاعات خود مجبور به پرداخت یک مبلغ از قبیل بیت کوین می‌شود.

۱.۲ باج افزار Bucbi

باج افزار Bucbi یکی از مخرب‌ترین و پرطرفدارترین نرم افزارهای باج افزار است. این نرم افزار مخرب ابتدا با نفوذ به سیستم هدف، فایل‌های مختلف را رمزگذاری می‌کند و سپس تقاضای پرداخت باج را نمایش می‌دهد. تلاش برای بازیابی اطلاعات بدون پرداخت مبلغ مشخصی، ممکن است باعث از دست رفتن داده‌های مهم و ارزشمند شود.

مطلب مرتبط: پاکسازی ویروس باج افزار

۲. خطرات و اثرات آسیب‌رسان باج افزار Bucbi

۲.۱ تهدید امنیتی

باج افزار Bucbi به عنوان یک تهدید جدی در حوزه امنیت سایبری شناخته می‌شود. وقتی این نرم افزار مخرب وارد یک سیستم می‌شود، می‌تواند تمامی فایل‌ها را رمزگذاری کند و از کار انداختن سیستم را ممکن سازد. این موضوع می‌تواند منجر به آسیب جدی به سازمان‌ها و فردی شود که در معرض این تهدید قرار گیرند.

۲.۲ از دست دادن اطلاعات مهم

با پرداخت باج، فرد مورد حمله قادر به بازیابی فایل‌های خود می‌شود؛ اما در صورتی که این مبلغ پرداخت نشود، اطلاعات مهم و ارزشمندی که در فایل‌ها قرار دارند از بین خواهد رفت. این مسئله برای شرکت‌ها و فردانی که از اطلاعات حساس استفاده می‌کنند، بسیار خطرناک است.

۳. راهکارهای مقابله با باج افزار Bucbi

۳.۱ بروزرسانی نرم افزارها

بروزرسانی نرم افزارها و سیستم عامل به آخرین نسخه‌ها، از جمله راهکارهای مهم در مقابله با باج افزار Bucbi است. بروزرسانی‌ها عموماً شامل بهبودهای امنیتی می‌شوند که می‌توانند از نفوذ این نرم افزار جلوگیری کنند.

۳.۲ پشتیبان‌گیری منظم

برای جلوگیری از از دست دادن اطلاعات در صورت حمله باج افزار Bucbi، باید بر روی پشتیبان‌گیری منظم از داده

‌ها تأکید کرد. به این ترتیب، در صورت لزوم، می‌توان از نسخه‌های پشتیبان فایل‌ها استفاده کرد و از از دست رفتن اطلاعات جلوگیری کرد.

۴. نتیجه‌گیری

باج افزار Bucbi به عنوان یک نرم افزار مخرب قدرتمند، تهدید جدی‌ای در حوزه امنیت سایبری است. در این مقاله، با مفهوم باج افزار و عملکرد نرم افزار Bucbi آشنا شدیم و همچنین خطرات و اثرات آسیب‌رسان آن را مورد بررسی قرار دادیم. همچنین، راهکارهایی را برای مقابله با این تهدید ارائه دادیم. حفظ امنیت اطلاعات از اهمیت بسیاری برخوردار است و برای جلوگیری از وقوع حملات باج افزاری مانند Bucbi، باید از راهکارهای مؤثر و قابل اعتماد استفاده کرد. این باج افزار برای سازمان‌ها و افرادی که به اطلاعات حساس دسترسی دارند، تهدید جدی‌ای محسوب می‌شود. برای حفاظت از اطلاعات خود، باید از راهکارهای امنیتی مناسبی مانند بروزرسانی نرم افزارها و پشتیبان استفاده کرد.

پرسش‌های متداول

پرسش ۱: آیا باج افزار Bucbi فقط بر روی سیستم‌های ویندوز اثر می‌گذارد؟

پاسخ: خیر، باج افزار Bucbi قابلیت تأثیرگذاری بر روی سیستم‌های عامل مختلف از جمله ویندوز، مک، و لینوکس را دارد.

پرسش ۲: آیا پرداخت باج تضمین بازیابی فایل‌ها را به معنایی حتمی دارد؟

پاسخ: هرچند با پرداخت باج می‌توانید دسترسی به فایل‌های خود را بازیابی کنید، اما هیچ تضمینی وجود ندارد که پس از پرداخت باج، اطلاعات شما بدون تغییر بازگردانده شود.

پرسش ۳: آیا نصب یک نرم افزار ضد ویروس می‌تواند از نفوذ باج افزار Bucbi جلوگیری کند؟

پاسخ: نصب یک نرم افزار ضد ویروس می‌تواند به طور قابل توجهی امنیت سیستم را تقویت کند، اما برای مقابله با باج افزار Bucbi، باید از روش‌های دیگری همچون بروزرسانی نرم افزارها و پشتیبان‌گیری منظم نیز استفاده کرد.

پرسش ۴: آیا قربانیان باج افزار Bucbi می‌توانند با اطلاعات دیگری به غیر از بیت کوین برای پرداخت باج مواجه شوند؟

پاسخ: به طور کلی، باج افزارها از پرداخت با بیت کوین برای سادگی و ردیابی دشوارتر مبالغ استفاده می‌کنند. بنابراین، در بسیاری از موارد، پرداخت باج با استفاده از بیت کوین درخواست می‌شود.

پرسش ۵: چه تدابیری باید در صورت آلوده شدن سیستم به باج افزار Bucbi اتخاذ کرد؟

پاسخ: در صورت آلوده شدن سیستم به باج افزار Bucbi، اهمیت دارد که فوراً به یک تکنسین حرفه‌ای مراجعه کنید. آنها می‌توانند با استفاده از ابزارها و تکنیک‌های مختلف، تلاش کنند تا فایل‌های رمزگذاری شده را بازیابی کنند و به حل مشکل کمک کنند.

ویروس باج افزار یا باج‌ گیر (ransomware) نوعی از بد‌‌افزارها هستند که کارشان حمله به سیستم‌های مختلفی مانند کامپیوتر، لپتاپ، موبایل و… است که باعث از بین رفتن دسترسی کاربر به اطلاعاتش از طریق “رمزگذاری داده‌های” او می‌شوند و برای اجازه‌ی دسترسی دوباره باج می‌خواهند. باج‌افزار Locky(لاکی) یکی دیگر از خطرناک‌ترین انواع باج‌افزار است. نوعی حمله سایبری است که با استفاده از بدافزارها دسترسی به یک سیستم رایانه‌ای یا فایل‌های موجود در آن را تا زمان پرداخت باج مسدود کند.

باج افزار locky (لاکی) چیست؟

باج افزار Locky یکی از انواع بدافزار است که به رمزگذاری فایل‌های مهم رایانه شما می‌پردازد و آن‌ها را غیر قابل دسترس می‌کند. این باج افزار اطلاعات قربانیان را به گروگان می‌گیرد و در ازای بازگشت فایل‌ها از آن‌ها باج می‌خواهد.

باج افزار Locky یکی از بدترین انواع باج افزاری است که در حال حاظر به دیتابیس‌های شرکتی و کسب و کارها حمله می‌کند. یکی از ویژگی‌های متمایز کننده این باج افزار عملکرد آن در حالت آفلاین است و این ویژگی از او در مقابل مراجع قانونی و بسیاری از آنتی ویروس‌های آنلاین محافظت میکند.

روش رمزگذاری باج افزار Locky

این باج افزار بعد از اینکه فایل‌ها را رمزگذاری کرد، فایل HELPinstructions.html را در هر پوشه که حاوی فایل‌های رمزگذاری شده است را ایجاد می‌کند و همچنین تصویر دسکتاپ را نیز تغییر می‌دهد.

در اینجا فایل متنی و تصویر زمینه حاوی پیام یکسانی هستند که کاربران را از رمزگذاری مطلع می‌کنند و از طریق آن به قربانیان گفته می‌شود که فایل‌ها در صورتی باز می‌شوند یا دوباره در دسترس قرار می‌گیرند که یا از یک decrypter پیشرفته استفاده شود و یا توسط مجرمان و با پرداخت هزینه تقریبا 0.5 بیتکوین رمزگشایی شود.(که این رقم درطول زمان دائما در حال تغییر است).

اما این نکته را باید در نظر گرفت که در حال حاضر، هیچ ابزاری خاصی وجود ندارد که بتواند به رمزگشایی فایل‌های آسیب دیده توسط این باج افزار بپردازد و تنها راه حل موجود برای این مشکل این است که از یک نسخه پشتیبان برای بازگشایی رمزها استفاده شود.

نمونه هایی زیاد و گوناگونی از باج افزارهایی که مشابه باج افزار Locky(لاکی) عمل کنند وجود دارند. باج افزارهایی مانند Cryptowall، JobCrypter، UmbreCrypt، TeslaCrypt که تفاوت اصلی آن‌ها با باج افزار فوق در اندازه باج خواسته شده و نوع الگوریتم استفاده شده برای رمزگذاری فایل‌ها است.

در تحقیقات اخیر و گزارشات مختلف اذعان شده است که تضمین خاصی از سوی باج‌گیران وجود ندارد که فایل‌های رمزگذاری شده را حتی بعد از پرداخت وجه خواسته شده، رمزگشایی کنند و فایل‌ها را در اختیار کاربران قرار دهند.

چگونه می توانم باج افزار Locky را شناسایی کنم؟

اصلی ترین راه ورود این باج افزار از طریق ایمیل‌های اسپم شده و فایل‌های مخرب است. این ایمیل‌ها اغلب به صورت حساب‌های پرداختنی با موضوعاتی مانند پرداخت‌های آینده و اطلاعیه‌های مختلف کاری به دست کاربر می‌رسد. از آنجایی که اکثر کاربران قربانی شرکت‌ها و کسب و کارها هستند همچین پیغامی ممکن است آن‌ها را به باز کردن ایمیل‌ها و این پیوست‌ها ترغیب کند.

در اینجا اگر نکات ایمنی قبل از هجوم را رعایت کرده باشیم و یک ضد باج افزار قوی روی سیستم نصب شده باشد، می‌توان به راحتی به شناسایی باج افزار بپردازید و قبل از باز کردن فایل‌ها و پخش ویروس بر روی سیستم آن را حذف کنید.

چگونه می توان باج افزار Locky را حذف کرد؟

این باج افزار را نمیتوان به صورت دستی  حذف کرد و یا با استفاده از آنتی ویروس به مقابله با آن پرداخت. برای از بین بردن باج افزار Locky باید تمام کدهای اعمال شده بر روی فایل ها را دی‌کد یا رمزگشایی کرد. برای این کار شما به متخصصانی احتیاج دارید که توانایی بازگشت تام و تمام اطلاعاتتان را داشته باشد. برای اینکار میتوانید به تیم ما اطمینان کامل داشته باشید.

اورژانس باج‌افزار که از گروهی از متخصصان امنیت دیجیتال تشکیل شده است، تلاش می‌کند راهکارهایی برای جلوگیری از آلودگی، شکستن قفل و بازیابی اطلاعات دیتابیس‌های آلوده به باج‌افزار را با جدیدترین متدهای روز جهان در اختیار شما قرار دهد و تمام اطلاعات به سرقت رفته شما را در کمتر از 24 ساعت بازیابی کند.

راهکارهای حفاظتی برای مقابله با باج افزار Locky:

بسیاری از راهکار های قبل از حمله این باج افزار با دیگر انواع باج افزار مشابه است که ما در مقاله مقابله با باج افزار به طور مفصل به توضیح آنها پرداخته‌ایم و در اینجا نیز برخی از راهکارهای حفاظتی مهم برای مقابله با این باج افزار را ارائه کرده‌ایم که به شرح زیر است:

محافظت از دیتا بیس‌های شرکت در برابر باج افزار Locky

بهترین راه برای محافظت از اطلاعات خود در برابر اثرات ناشی از حملات باج افزار Locky، در وهله ی اول جلوگیری از ورود این بدافزار به سیستم است. یک رویکرد گسترده نسبت به امنیت داخلی ابتدایی ترین چیزی است که ما توصیه می کنیم.

_نصب یک آنتی ویروس خوب برای محافظت از اطلاعات هر شرکتی ضروری است، اما کافی نیست. برای محافظت کامل، توصیه می‌شود که ابزاری را انتخاب کنید که می‌تواند فیلتر DNS، اسکن سریع و لحظه‌ای، مسدود کردن بدافزار مبتنی بر ترافیک و حفاظت چندلایه مبتنی بر هوش مصنوعی را ارائه دهد. یکی از آنتی ویروس‌های شناخته شده برای این آنتی ویروس Avast One است که هم بصورت رایگان و هم پریمیوم آن در دسترس است.

امنیت ایمیل

بسیاری از هکرها بر این امر که شما توجه خاصی به محتوای واقعی ایمیل‌هایتان ندارید تکیه کرده‌اند و امید دارند که با باز کردن یک پیوست مخرب ارسال شده یا کلیک روی یک پیوند جعلی آلوده شوید. هرگز پیوست‌ها را باز نکنید و یا پیوندهای دریافتی از منابع ناشناخته و غیرمنتظره را نادیده بگیرید. همچنین همه‌ی شرکت‌ها باید در مورد یک راه حل محافظت از ایمیل فکر کنند.

محافظت از حساب های شخصی خود در برابر باج افزار Locky

هنگام محافظت از سیستم خود در برابر حملاتی مانند حملات ویروس Locky، مهم است بدانید فایروال شما به تنهایی قادر به محافظت از دستگاه‌های شما نیست. داشتن یک راه حل امنیتی همه جانبه در محل زندگی خود به همان اندازه روش‌های حفاظتی که در محل کار خود انجام می دهید مهم است.

سخن پایانی…

در دنیایی که امروز در آن زندگی می کنیم که بخش اعظمی از آن را فضای دیجیتال در بر گرفته است، شناختن و دانستن در مورد تهدیدهای بالقوه‌ای که در میان ما زندگی می‌کنند و هر لحظه ممکن است دچار ترس و استرس ما شوند بسیار مهم است. ما دیگر نمی توانیم دست روی دست بگذاریم و منتظر بمانیم تا اتفاقی بیفتد و سپس واکنش نشان دهیم.

ما باید فعالانه در مورد تهدیدهای اطرافمان بیاموزیم، در غیر این صورت هکرها و مهاجمان سایبری به طور دائم و پیوسته می‌توانند دستگاه‌های ما را به خطر بیاندازند و اطلاعات ما رمزگذاری کنند و یا از بین ببرند. و تفاوتی ندارد که در مورد چه نوع ویروسی سخن گفته می‌شود، باید هر لحظه مطمئن شوید که شما و شرکتتان اقدامات لازم را انجام داده‌اید.

باج افزار Petya(پیتا) یکی دیگر از انواع باج افزار است که در دسته‌ی باج افزار Crypto( رمزگذاری) قرار می‌گیرد که سروکارش با ویندوز مایکروسافت است و به آلوده کردن رایانه‌هایی می‌پردازد که از این ویندوز استفاده می‌کند.

ویروس باج افزار چیست؟

ویروس باج‌ افزار (ransomware) نوعی از بد‌‌افزارها هستند که کارشان حمله به سیستم‌های مختلفی مانند کامپیوتر، لپتاپ، موبایل و… است که باعث از بین رفتن دسترسی کاربر به اطلاعاتش از طریق “رمزگذاری داده‌های” او می‌شوند و برای اجازه‌ی دسترسی دوباره باج می‌خواهند. باج افزار پتیا (Petya)، بایگانی و یا فضای اصلی بوت را آلوده و باری را اجرایی می‌کند که به رمزگذاری داده‌های روی هارد دیسک بپردازد. قفل داده‌ها تنها در صورت در دست داشتن کلید رمزگذاری باز می‌شود؛ یعنی پس از پرداخت باج و تهیه کلید رمزگشایی.

تاریخچه باج افزار Petya(پتیا):

پتیا برای اولین بار در سال 2016 دیده شد، ولی در سال 2017 با یک حمله سایبری وسیع علیه اهداف اوکراینی، بسیار خبرساز شد. این ویروس به سرعت در سراسر جهان گسترش یافت، کسب و کارها را فلج کرد و باعث خسارت چند میلیارد دلاری به آن‌ها شد. نوع جدیدی از این باج افزار وجود دارد که به دلیل تفاوت‌های کلیدی با نسخه اصلی، «NotPetya» نامیده می‌شود. این گونه‌ی جدید بدون اینکه کاربر کاری انجام دهد، سیستم‌های جدید را آلوده می‌کند. این نوع رفتار بیشتر به “کرم باج”(ransomworm) شبیه است تا یک ویروس سنتی. NotPetya به طور محدود مورد استفاده قرار گرفت، اگرچه به سرعت رشد کرد و به یک تهدید گسترده تبدیل شد اما به خیلی محدود مورد استفاده قرار گرفت. در مورد این ویروس جالب است که حتی با وجود نمایش نشانه‌های معمول حمله باج‌افزار – مانند تقاضای باج‌افزار – این ویروس برای باج گیری ساخته نشده بود. بررسی این ویژگی‌ها باعث این نتیجه‌گیری از سوی محققان شد که این ویروس نه یک عمل و حمله‌ی سایبری بلکه یک حمله مخرب تحت حمایت دولت است.

_{اورژانس باج افزار گروهی از متشکل از متخصصان امینت سایبری در کنار شماست تا بتوانید بدون پرداخت باج، اطلاعاتتان را بصورت کامل بازیابی کنید و اقدام به از بین بردن باج افزار کنید} ❗❗❗

نحوه حذف باج افزار Petya (پتیا)

مانند اکثر ویروس‌های باج افزار، حذف کردن باج افزار Petya پس از انتشار و آلوده کردن سیستم به سختی انجام پذیر است. در بیشتر موارد، قربانی به امید اینکه کلید را به دست می‌آورد یا نه باید تصمیم بگیرد که باج را بپردازد یا اینکه همه چیز را از بین ببرد و به بازیابی اطلاعات از طریق نسخه بشتیبانی بپردازد. ما در اینجا به طور کلی میخواهیم به آنچه که باید قبل، در زمان وقوع و بعد از حمله انجام دهید را شرح خواهیم داد.👇

قبل از وقوع حمله

در اینجا نیز قابل بازگویی است که پیشگیری بهتر از درمان است. یعنی اینکه بهترین استراتژی امنیتی این است که به طور کامل باعث عدم ورود باج افزار به سیستم شویم. که البته این امر مستلزم برنامه ریزی قبل از وقوع بحران است.

• پشتیبان گیری و بازیابی: مهمترین بخش هر استراتژی امنیتی باج افزار، پشتیبان‌گیری پیوسته و منظم از داده‌های در دست است. به طور چشمگیری آمار نشان دهنده این است که  تعداد کمی از سازمان‌ها، پشتیبان‌گیری و بازیابی را انجام می‌دهند. هر دو بخش_پشتیبان گیری و بازیابی_ دارای اهمیت هستند. انجام بازیابی در بازه‌های زمانی مختلف به صورت تمرینی، تنها راهی است که می‌توان دانست که آیا طرح پشتیبان ما فعال است و کار می کند یا نه❗
• به روز رسانی و تعمیر مشکلات سیستم: سیستم عامل‌ها، نرم افزارهای امنیتی و پچ‌ها یا همان برنامه های تعمیرگر نارسایی های سیستمی، برای همه بخش های دستگاه باید به روز باشند.
• تعلیم و آموزش کاربران: آموزش و آگاهی کارکنان بسیار مهم است. کارمندان شما و یا تمام یوزرهای متصل به سیستم شما باید بدانند چه بکنند و چه نه، چگونه از باج افزار دوری کرده و یا چگونه آن را گزارش دهند. اگر کارمندان با درخواست باج از طرف باج‌افزاری را دریافت کردند، باید بدانند که سریعا آن را به تیم امنیتی گزارش داده – و هرگز و هرگز سعی در پرداخت باج نداشته باشند.
• سرمایه گذاری در راه حل‌های امنیتی برای حذف باج افزار Petya: حتی با انجام  بهترین آموزش برای کاربران نمی‌توان امید داشت که هیچ وقت به ویروس باج افزار مبتلا نمی‌شویم. راه‌حل‌های امنیتی پیشرفته‌ای برای ایمیل وجود دارد که سیستم را در برابر پیوست‌ و لینک‌های مخرب، اسناد و URLهای موجود در ایمیل‌ها که باعث نفوذ باج‌افزار می‌شوند، مقاوم و از آن محافظت می‌کند.

در طول حمله

• کامپیوتر را خاموش کنید و از شبکه جدا شوید: ویروس باج افزار Petya تقریبا یک ساعت پس از آلوده کردن سیستم و نمایش پیام مبنی بر اینکه سیستم فایل در حال تعمیر است، منتظر می‌ماند. کارشناسان می گویند با خاموش کردن دستگاه ممکن است برخی از فایل ها کدگذاری و یا آلوده نشوند. زمانی که کارمندان تقاضای باج افزار را ببینند یا متوجه شوند چیز غیر عادی‌ای رخ داده است، باید از شبکه جدا و سیستم آلوده را به بخش فناوری اطلاعات ببرند و فقط تیم امنیت فناوری اطلاعات باید به راه‌اندازی مجدد سیستم بپردازد.
• محدوده مشکل را بر اساس اطلاعات تهدید مشخص کنید: پاسخ شما به چندین عامل بستگی دارد:
  • نوع حمله
  • چه کسی در شبکه شما در معرض خطر است.
  • هر حساب در معرض خطر چه مجوزهای شبکه ای دارد.
• بازیابی از پشتیبان گیری: تنها راه برای بازیابی کامل از آلودگی باج افزار، بازیابی همه اطلاعات از پشتیبان است.

روی ابزارهای رمزگشایی رایگان باج افزار حساب نکنید❗

اکثر ابزارهای رایگان فقط برای یکی از انواع باج افزار یا نهایتا برای یک کمپین خاص حمله کارایی دارند. به همان طریقی که مهاجمان سایبری، باج افزار خود را به روز می‌کنند، ابزارهای رایگان قدیمی توان مقابله با آن‌ها را ندارند. آن‌ها کاراییشان را از دست داده و احتمالاً برای باج افزارهای جدید کار نکنند و آنها را از بین نبرند.

بعد از وقوع حمله

توصیه ما به شما این است که یک ارزیابی امنیتی کامل را برای یافتن تهدیدهایی که ممکن است هنوز در محیط شما باقی مانده باشند را انجام دهید. ابزارها و روش های امنیتی خود را به شکل دقیق و موشکافانه ای بررسی کنید که متوجه شوید کجا کم کاری کرده اید.

• پاک کردن: برخی از باج افزارها حاوی تهدیدات دیگر یا تروجان‌های به جا مانده‌ای هستند که می توانند در آینده به نوعی تهدید تبدیل شوند. در خیلی از موارد دیده شده است، محیط که قبلا آلوده شده بود خود به عنوان دری برای ورود مجدد باج افزار عمل کرده استبه دنبال تهدیدها و خطرات پنهانی باشید که ممکن است نادیده گرفته شده باشند.
• بررسی پس از حذف: آنچه که به نظرتان باعث این حملات شده است را بررسی کرده و زنجیره رویدادهایی و پاسختان نسبت به تهدید های بالقوه را مرور کنید. بدون اینکه کشف کنید که حمله باج افزار چگونه صورت گرفته است، هیچ راهی برای توقف حمله بعدی نخواهید داشت.
• ارزیابی آگاهی کاربران: مطمعا شوید که کارمندان، کارکنان یا اعضای مربوطه و متصل به وظیفه خود عمل به طور کامل عمل می کنند. چرا که یک کارمند مطلع و آگاه آخرین کسی است که قادر به دفاع از حملات است.
• آموزش کارکنان: یک برنامه منظم برای رسیدگی به آسیب پذیری کارکنان در برابر حملات سایبری بسیار کمک کننده است. در صورتی که در آینده حمله ای رخ داد، یک برنامه ارتباطی بحران بسازید.

راه حل های را دنبال کنید که با تهدیدات جدید و نوظهور سازگار باشند و به شما کمک کنند سریعتر به آلودگی ها پاسخ دهید.

باج افزار Thanos توسط GrujaRS که یک پژوهشگر مستقل امنیتی است شناخته شد و یکی دیگر از انواع باج افزار است که در دسته‌ی باج افزار Crypto( رمزگذاری) قرار می‌گیرد. این باج افزار با افزودن پسوند “locked” نام فایل‌ها را تغییر و پس از آن پیغام درخواست باج را نمایش می‌دهد. به عنوان مثال پس از رمزگذاری، “1.jpg” به “1.jpg.locked” و “jpg2” به “2.jpg.locked” و غیره تغییر پیدا می‌کنند. در مقاله پسوندهای باج افزار به طور مفصل به پسوندهای مورد استفاده باج افزار پرداخته‌ایم. باج افزار Thanos فایل متنی “HOW_TO_DECYPHER_FILES.txt” (پیام باج) را در پوشه‌هایی که رمزگذاری شده‌اند را ایجاد کرده و به نمایش در می‌آورد.

یادداشتی که باج افزار Thanos نمایش می‌دهد

پیام باج افزار تانوس(Thanos) بدین شرح است: همه فایل‌های سیستم شما رمزگذاری شده و کپی‌های shadow  از بین رفته‌اند. همچنین، تمام فایل‌های موجودی که در کامپیوتر شما ذخیره شده‌اند را دانلود کرده‌ایم و در صورت عدم پرداخت باج، تمامی اطلاعات در دست را پخش خواهیم کرد.

متأسفانه، قربانیان حملات باج‌ گیر تانوس (Thanos) قادر نخواهند بود که فایل‌های خود را بدون ابزارهایی که مهاجمان و توسعه دهندگان این باج افزار در دست دارند را رمزگشایی کنند. بدین وسیله هیچ ابزاری از طرف شخص دیگری وجود ندارد که اطلاعاتی را که توسط باج افزار Thanos رمزگذاری شده را باز کند. تنها راه بازیابی فایل ها، از طریق پشتیبان است. و هیچوقت فراموش نکنید که به این مجرمان هرگز نباید اعتماد کرد؛ آنها اگر حتی قربانیان باج را پرداخت کنند هیچ نرم افزار یا کلید رمزگشایی را ارسال نخواهند کرد.

در تصویر زیر فایل‌های رمزگذاری شده توسط باج افزار تانوس (Thanos) را مشاهده می‌کنید (پسوند. locked):

مطالب مرتبط: باج افزار ( Ransomware) چیست؟

یکی از پیام های باج افزار Thanos  که کاربران را تشویق به پرداخت باج برای رمزگشایی می‌کند.

خلاصه اطلاعاتی از باج افزار تانوس (Thanos)

نام	باج افزار تانوس (Thanos)
نوع تهدید	باج افزار، ویروس رمزنگاری، قفل فایل ها
پسوند فایل های رمزگذاری شده	locked
پیام درخواست باج	HOW_TO_DECYPHER_FILES.txt
نام های تشخیص	AVG (FileRepMalware), BitDefender (Gen:Variant.MSILHeracles.3694), ESET-NOD32 (A Variant Of MSIL/Filecoder.Thanos.A), Kaspersky (HEUR:Trojan-Ransom.Win32.Generic), Microsoft (Ransom:MSIL/Filecoder.DL!MTB)
نشانه‌ها	فایل‌های ذخیره شده در سیستم شما قفل شده‌اند، فایل‌های کاربردی قبلی پسوندشان عوض شده است،(مثلا my.docx.locked). پیغام درخواست باج روی دسکتاپ سیستم شما ظاهر می‌شود. مهاجمان برای باز کردن قفل فایل‌های شما، تقاضای باج (معمولاً به بیت کوین) دارند
روش های پخش ویروس	لینک‌های ایمیل آلوده (ماکروها)، وب سایت‌های تورنت(Torrent )، تبلیغات مخرب و آسیب‌زا.
آسیب	همه فایل‌ها و اطلاعات رمزگذاری شده‌اند و بدون اینکه باج را پرداخت باز نمی‌شوند.

حذف باج افزار Thanos

در بالا هم گفتیم که روشی دستی برای حذف این باج افزار وجود ندارد و شما یا می‌توانید از طریق پشتیبانی و یا پرداخت باج که اکیدا توصیه نمی‌شود به نتیجه برسید، اما اگر رایانه شما قبلاً به باج افزار Thanos آلوده شده است و با پرداخت باج و یا اینکه از پشتیبان استفاده کرده‌اید، توصیه می‌کنیم یک آنتی ویروس یا آنتی باج افزار را از Combo Cleaner Antivirus  بر روی ویندوز خود اجرا کنید تا به طور خودکار این باج افزار را از بین ببرید.

سوالات رایج:

کامپیوتر من از چه طریقی هک شده و مهاجمان چگونه فایل‌های من را رمزگذاری کرده‌اند؟

اغلب موارد، باج‌افزار فایل‌ها را از طریق لینک‌های آسیب دیده و خراب یا لینک‌های دریافتی از طریق ایمیل، یا صفحات دانلود نرم‌افزار کرک شده رمزگذاری می‌کند. مجرمان از روش های گوناگونی برای فریب کاربران استفاده می‌کنند.

چگونه فایل های رمزگذاری شده توسط باج افزار Thanos را باز کنیم؟

بدون رمزگشایی فایل ها  نمی توان به آن ها دسترسی  داشت.

کجا باید به دنبال ابزارهای رمزگشایی رایگان برای باج افزار Thanos بگردم؟

در صورت حمله باج افزار، باید وب سایت No More Ransom را بررسی کنید

آیا تیم اورژانس باج افزار می‌تواند این باج افزار را حذف کند؟

پاسخ ما به شما بله است.

اورژانس باج افزار با سابقه بیش از ده سال فعالیت، متشکل از گروهی از متخصصان امینت سایبری است. شما با کمک این تیم متخصص می‌توانید بدون پرداخت باج، اطلاعاتتان را بصورت کامل بازیابی کنید و به پاکسازی باج افزار بپردازید.

در این مقاله فهرست کاملی از پسوندهای باج افزار و گونه‌ های باج افزاری که از این پسوندها استفاده می‌کنند را بر اساس گزارشاتی از کسپرسکی نوشته‌ایم که دقیقا برای شناختی بهتر و جزئی‌تر از ویروس باج گیر (ransomware) است.

ویروس باج افزار به رمزگذاری فایل‌های کاربران می‌پردازد و پسوند فایلشان را به کلی به چیز دیگری تغییر می‌دهد. دقیقا این‌کار را به این خاطر انجام می‌دهد که قربانی متوجه فایل‌های قفل شده دستگاهش شود. پسوند موجود نشان می‌دهد که چه نوع ویروس باج افزاری به سیستم ما هجوم آورده است. شما با استفاده از این لیست می‌توانید باج افزار را تشخیص دهید و با شناخت نوع باج افزار به استفاده از رمزگشا یا ضد باج افزار مناسب به پاکسازی باج افزار بپردازید.

پسوندهای باج افزار و نوع باج افزار به کار برده شده:

پسوند	نوع باج افزار
micro	ویروس باج افزار TeslaCrypt 3.0
zepto	ویروس باج افزار Locky
cerber	ویروس باج افزار Cerber
locky	ویروس باج افزار Locky
cerber3	ویروس باج افزار Cerber 3
cryp1	ویروس باج افزار CryptXXX
mole	ویروس باج افزار CryptoMix (variant)
onion	ویروس باج افزار Dharma
axx	ویروس باج افزار AxCrypt
osiris	ویروس باج افزار Locky (variant)
crypz	ویروس باج افزار CryptXXX
crypt	ویروس باج افزار Scatter
locked	ویروس باج افزار Various
odin	ویروس باج افزار Locky
ccc	ویروس باج افزار TeslaCrypt or Cryptowall
cerber2	ویروس باج افزار Cerber 2
sage	ویروس باج افزار Sage
globe	ویروس باج افزار Globe
exx	ویروس باج افزار Alpha Crypt
good	ویروس باج افزار Scatter
wallet	ویروس باج افزار Globe 3 (variant)
1txt	ویروس باج افزار Enigma
decrypt2017	ویروس باج افزار Globe 3
encrypt	ویروس باج افزار Alpha
ezz	ویروس باج افزار Alpha Crypt
zzzzz	ویروس باج افزار Locky
MERRY	ویروس باج افزار Merry X-Mas
enciphered	ویروس باج افزار Malware (ransomware)
r5a	ویروس باج افزار 7ev3n
aesir	ویروس باج افزار Locky
ecc	ویروس باج افزار Cryptolocker or TeslaCrypt
enigma	ویروس باج افزار Coverton
cryptowall	قفل شده توسط باج افزار Cryptowall
encrypted	ویروس باج افزار Various
loli	ویروس باج افزار LOLI RanSomeWar
breaking_bad	ویروس باج افزار Files1147@gmail(.)com
coded	ویروس باج افزار Anubis
ha3	ویروس باج افزار El-Polocker
damage	ویروس باج افزار Damage
wcry	ویروس باج افزار WannaCry
lol!	ویروس باج افزار GPCode
cryptolocker	رمز گذاری شده توسط CryptoLocker
dharma	ویروس باج افزار CrySiS
MRCR1	ویروس باج افزار Merry X-Mas
sexy	ویروس باج افزار PayDay
crjoker	ویروس باج افزار CryptoJoker
fantom	ویروس باج افزار Fantom
keybtc@inbox_com	ویروس باج افزار KeyBTC
rrk	ویروس باج افزار Radamant v2
legion	ویروس باج افزار Legion
kratos	ویروس باج افزار KratosCrypt
LeChiffre	ویروس باج افزار LeChiffre
kraken	ویروس باج افزار Rakhni
zcrypt	ویروس باج افزار ZCRYPT
maya	ویروس باج افزار HiddenTear (variant)
enc	ویروس باج افزار TorrentLocker
file0locked	ویروس باج افزار Evil
crinf	ویروس باج افزار DecryptorMax or CryptInfinite
serp	ویروس باج افزار Serpent (variant)
potato	ویروس باج افزار Potato
ytbl	ویروس باج افزار Troldesh (variant)
surprise	ویروس باج افزار Surprise
angelamerkel	ویروس باج افزار Angela Merkel
windows10	ویروس باج افزار Shade
lesli	ویروس باج افزار CryptoMix
serpent	ویروس باج افزار Serpent
PEGS1	ویروس باج افزار Merry X-Mas
dale	ویروس باج افزار Chip
pdcr	ویروس باج افزار PadCrypt
zzz	ویروس باج افزار TeslaCrypt
xyz	ویروس باج افزار TeslaCrypt
1cbu1	ویروس باج افزار Princess Locker
venusf	ویروس باج افزار Venus Locker
coverton	ویروس باج افزار Coverton
thor	ویروس باج افزار Locky
rnsmwr	ویروس باج افزار Gremit
evillock	ویروس باج افزار Evil-JS (variant)
wflx	ویروس باج افزار WildFire
nuclear55	ویروس باج افزار Nuke
darkness	ویروس باج افزار Rakhni
encr	ویروس باج افزار FileLocker
rekt	ویروس باج افزار HiddenTear (variant)
kernel_time	ویروس باج افزار KeRanger OS X
zyklon	ویروس باج افزار ZYKLON
Dexter	ویروس باج افزار Troldesh (variant)
locklock	ویروس باج افزار LockLock
cry	ویروس باج افزار CryLocker
VforVendetta	ویروس باج افزار Samsam (variant)
btc	ویروس باج افزار Jigsaw
raid10	ویروس باج افزار Globe [variant]
dCrypt	ویروس باج افزار DummyLocker
zorro	ویروس باج افزار Zorro
AngleWare	ویروس باج افزار HiddenTear/MafiaWare (variant)
EnCiPhErEd	ویروس باج افزار Xorist
purge	ویروس باج افزار Globe
[email protected]	ویروس باج افزار Fsociety
shit	ویروس باج افزار Locky
atlas	ویروس باج افزار Atlas
exotic	ویروس باج افزار Exotic
crypted	ویروس باج افزار Nemucod
padcrypt	ویروس باج افزار PadCrypt
xxx	ویروس باج افزار TeslaCrypt 3.0
hush	ویروس باج افزار Jigsaw
bin	ویروس باج افزار Alpha/Alfa
vbransom	ویروس باج افزار VBRansom 7
RMCM1	ویروس باج افزار Merry X-Mas
cryeye	ویروس باج افزار DoubleLocker
unavailable	ویروس باج افزار Al-Namrood
braincrypt	ویروس باج افزار Braincrypt
fucked	ویروس باج افزار Manifestus
crypte	ویروس باج افزار Jigsaw (variant)
_AiraCropEncrypted	ویروس باج افزار AiraCrop
stn	ویروس باج افزار Satan
paym	ویروس باج افزار Jigsaw
spora	ویروس باج افزار Spora
dll	ویروس باج افزار FSociety
RARE1	ویروس باج افزار Merry X-Mas
alcatraz	ویروس باج افزار Alcatraz Locker
pzdc	ویروس باج افزارScatter
aaa	ویروس باج افزار TeslaCrypt
encrypted	ویروس باج افزار Donald Trump
ttt	ویروس باج افزار TeslaCrypt 3.0
odcodc	ویروس باج افزار ODCODC
vvv	ویروس باج افزار TeslaCrypt 3.0
ruby	ویروس باج افزار Ruby
pays	ویروس باج افزار Jigsaw
comrade	ویروس باج افزار Comrade
enc	ویروس باج افزار Cryptorium
abc	ویروس باج افزار TeslaCrypt
xxx	ویروس باج افزار help_dcfile
antihacker2017	ویروس باج افزار Xorist (variant)
herbst	ویروس باج افزار Herbst
szf	ویروس باج افزار SZFLocker
rekt	ویروس باج افزار RektLocker
bript	ویروس باج افزار BadEncriptor
crptrgr	ویروس باج افزار CryptoRoger
kkk	ویروس باج افزار Jigsaw
rdm	ویروس باج افزار Radamant
BarRax	ویروس باج افزار BarRax (HiddenTear variant)
vindows	ویروس باج افزار Vindows Locker
helpmeencedfiles	ویروس باج افزار Samas/SamSam
hnumkhotep	ویروس باج افزار Globe 3
CCCRRRPPP	ویروس باج افزار Unlock92
kyra	ویروس باج افزار Globe
fun	ویروس باج افزار Jigsaw
rip	ویروس باج افزار KillLocker
73i87A	ویروس باج افزار Xorist
bitstak	ویروس باج افزار Bitstak
kernel_complete	ویروس باج افزار KeRanger OS X
payrms	ویروس باج افزار Jigsaw
a5zfn	ویروس باج افزار Alma Locker
perl	ویروس باج افزار Bart
noproblemwedecfiles​	ویروس باج افزار Samas/SamSam
lcked	ویروس باج افزار Jigsaw (variant)
p5tkjw	ویروس باج افزار Xorist
paymst	ویروس باج افزار Jigsaw
magic	ویروس باج افزار Magic
payms	ویروس باج افزار Jigsaw
d4nk	ویروس باج افزار PyL33T
SecureCrypted	ویروس باج افزار Apocalypse
paymts	ویروس باج افزار Jigsaw
kostya	ویروس باج افزار Kostya
lovewindows	ویروس باج افزار Globe (variant)
madebyadam	ویروس باج افزار Roga
powerfulldecrypt	ویروس باج افزار Samas/SamSam
gefickt	ویروس باج افزار Jigsaw (variant)
kernel_pid	ویروس باج افزار KeRanger OS X
ifuckedyou	ویروس باج افزار SerbRansom
grt	ویروس باج افزار Karmen HiddenTear (variant)
conficker	ویروس باج افزار Conficker
edgel	ویروس باج افزار EdgeLocker
PoAr2w	ویروس باج افزار Xorist
oops	ویروس باج افزار Marlboro
adk	ویروس باج افزار Angry Duck
encrypted	ویروس باج افزار KeRanger OS X
Whereisyourfiles	ویروس باج افزار Samas/SamSam
czvxce	ویروس باج افزار Coverton
theworldisyours	ویروس باج افزار Samas/SamSam
info	ویروس باج افزار PizzaCrypts
razy	ویروس باج افزار Razy
rmd	ویروس باج افزار Zeta
fun	ویروس باج افزار Jigsaw (variant)
kimcilware	ویروس باج افزار KimcilWare
paymrss	ویروس باج افزار Jigsaw
dxxd	ویروس باج افزار DXXD
pec	ویروس باج افزار PEC 2017
rokku	ویروس باج افزار Rokku
lock93	ویروس باج افزار Lock93
vxlock	ویروس باج افزار vxLock
pubg	ویروس باج افزار PUBG
crab	ویروس باج افزار GandCrab

سخن پایانی…

در این لیست که بر گرفته از مقاله‌ای از سایت techviral است سعی بر آن شد که تمامی پسوندهای باج افزار رایج در چند سال گذشته و مخصوصا در سال 2022 را ارائه کنیم و همچنین نوع ویروس حمله کننده را به شما معرفی کنیم. برای هر یک از این ویروس‌ها ضد باج افزارهای مناسبی اعم از رایگان و غیر رایگان وجود دارد که به راحتی می‌توانید از آن‌ها بهره ببرید.

چنانچه حذف باج افزار به صورت دستی و یا به وسیله‌ی این ضد باج افزارها امکان پذیر نبود، می‌توانید بصورت شبانه روزی با کارشناسان ما در تماس باشید و از خدمات اورژانس باج افزار بهره ببرید.

باج افزار GandCrab(گندکرب) یکی دیگر از انواع باج افزار است که در دسته RaaS (باج افزار به عنوان یک سرویس) قرار دارد. این باج افزار در سال 2018 توسط کارشناسان شرکت امنیت سایبری LMNTRIX کشف شد. گردانندگان این نوع باج‌افزار که حتی به باج‌افزار چابک معروف شده، با انتشار بدافزاری که تعداد کمی از آن ساخته شده بود شروع به کار کردند و روز به روز روند کار رو تسریع و آن را بهبود می‌دادند. تبلیغ و ترویج این باج افزار معمولا بین هکرهای روسی در دارک وب انجام و در یک برنامه وابسته اجرا می شود.

اورژانس باج‌افزار که از گروهی از متخصصان امنیت دیجیتال تشکیل شده است، در تلاش است که راهکارهایی برای جلوگیری از آلودگی، شکستن قفل و بازیابی اطلاعات دیتابیس‌های آلوده به باج‌افزار را با جدیدترین و بهترین متدهای روز جهان در اختیار شما قرار دهد.

باج افزار GandCrab چگونه کار می‌کند؟

برای توزیع این باج افزار از کیت‌ها یا بسته‌های بهره‌برداری RIG و GrandSoft از راه ارسال ایمیل‌های فیشینگ استفاده می‌شود. در اولین ماه شروع کار این باج گیر، آلوده‌شدن حدود 50000 هزار رایانه تخمین زده شد، که بیشتر این قربانیان اروپایی بودند و از هر قربانی چیزی حدود 400 تا 700،000 دلار ارز دیجیتال DASH باج خواسته شده بود.

باج افزار GandCrab و Vidar – یک ترکیب بدافزاری خطرناک

تقریباً یک سال پس از کشف باج افزار GandCrab، یک حمله ترکیبی از GandCrab و Vidar، شناسایی شد. Vidar طیف وسیع و زیادی از داده‌ها، از جمله گذرواژه‌ها، اسناد، اسکرین شات‌ها، اطلاعات احراز هویت دو مرحله ای ذخیره شده و کیف پول‌های ارزهای دیجیتال را برداشته و آن‌ها را به سرور C&C خود ارسال کرده بود. مرحله بعد، GandCrab رمزگذاری سیستم آلوده را شروع کرد و درخواست باج را برای قربانیان به نمایش گذاشته بود. این باج افزار برای توزیع این ترکیب از  Fallout Exploit Kit استفاده کرده بود.

مهاجمان در اینجا حتی قبل از استقرار باج افزار به اجرای یک  infostealer می‌پردازند، که حتی اگر قربانی از پرداخت باج امتناع کند، باعث تضمین حداقل درآمدی برای مهاجمان می‌شود. بدین معنا که مجرمان سایبری اگر هیچ استفاده‌ای هم از اطلاعات نکنند، به راحتی می‌توانند آن را در بازارهای زیرزمینی بفروشند.

تا چه حد باید نگران باج افزار GandCrab(گندکرب) باشیم؟

نسخه‌های اولیه این باج گیر کم‌خطر یا بعضا بی‌خطر بودند، و در محیط‌هایی کار می‌کردند که امنیت آن‌طور که باید وجود نداشت. اما الان هر کسی که هنوز از ویندوز XP یا ویندوز 2003 استفاده می‌کند در معرض خطر این باج افزار قرار دارد. در حالی که پچ مایکروسافت برای سیستم‌عامل‌های قدیمی‌تر (به استثنای ویندوز 2000) در دسترس است. واین نکته هم نیز مهم است که بسیاری از راه‌حل‌های AV خیلی وقت است از این سیستم‌عامل‌های قدیمی‌تر پشتیبانی نمی‌کنند، و آنها را تبدیل به اهداف اصلی این باج‌افزار جدید و ارتقا یافته می‌کند.

مطالب مرتبط:حذف باج افزار، رمزگشایی داده‌ها و بازیابی اطلاعات

روش محافظت در برابر باج افزار GandCrab

برای این کار فقط کافیست مراحل زیر را به درستی اجرا کنید و بعد از آن نگران این ویروس نباشید.

_از فایل های خود نسخه پشتیبان تهیه کنید

با پشتیبان‌گیری منظم، ویروس باج‌افزار خیلی کم‌خطر و بی‌آزار می‌شود. خیلی راحت سیستم خود را پاک کرده و بازیابی کنید و خیلی راحت ادامه دهید.

_مراقب پیوست‌ها و لینک‌های موجود در ایمیل باشید

اگر ایمیلی از طرف یک دوست یا هر شخص دیگری دریافت می‌کنید و به نظرتون ظاهر عجیبی داشت، مجددا آن را بررسی کنید. اگر این ایمیل از طرف شرکتی است که با آن کار می‌کنید، سعی کنید آن‌ را به وب سایت شرکت هدایت کنید و در صورت امکان، از برنامه‌های ضد بدافزار استفاده کنید.

_به طور مرتب پچ و بروزرسانی کنید

به روز نگه داشتن سیستم، مهاجمان را از سوء استفاده برای دسترسی غیرمجاز به رایانه شما جلوگیری می‌کند.

_دسترسی از راه دور را محدود کنید

بهترین راه برای محافظت در برابر حمله پروتکل دسکتاپ از راه دور (RDP) محدود کردن دسترسی آن است. از خود بپرسید این سوال واقعا پرسیدنی است که آیا واقعاً نیاز به دسترسی از راه دور به این سیستم وجود دارد؟ اگر بله که تا حد ممکن دسترسی را فقط به کاربرانی که واقعا نیاز دارند بدهید و بقیه دسترسی ها را مسدود و محدود کنید. روش بهتر، پیاده سازی یک شبکه خصوصی مجازی (VPN) برای کاربران است، این کار باعث خنثی شدن هگونه احتمال حمله RDP می‌شود.

_از رمزهای عبور قوی استفاده کنید

از رمزهای عبور یکسان در سایت‌ها استفاده نکنید. در صورتی که یک سیستم کاملاً نیاز به دسترسی از راه دور داشته باشد، از یک رمز عبور مناسب با احراز هویت چند عاملی استفاده کنید. شاید برایتان مسئله باشد که به خاطر سپردن تمام رمزهای عبور برای همه سایت‌ها و برنامه‌های مختلف کار سختی است ؛ اما جای نگرانی نیست و به راحتی میتوان از یکی از ابزارهای مدیریت رمز عبور استفاده کنید.

_ از نرم افزارهای امنیت سایبری استفاده کنید

به عنوان مثال، Malwarebytes Premium ویروس‌ها، تروجان‌ها، دانلودهای مخرب، لینک‌های بد و وب‌سایت‌های جعلی را مسدود می‌کند و با اینکار از ورود باج‌افزارهایی مانند GandCrab و سایر آلودگی‌های بدافزار جلوگیری می‌کند.

برای شناخت بیشتر باج افزارها و انواع دیگر آن به مقاله باج افزار چیست؟ رجوع کنید.

نحوه حذف باج افزار GandCrab

اگر جزء قربانیان قبلی  GandCrab بوده‌اید، احتمال زیاد نیازی به پرداخت باج نداشته باشید. در غیر این صورت، این مراحل را باید برای حذف GandCrab از رایانه شخصی خود انجام دهید.

1.نمایش پسوند فایل در ویندوز

 به طور پیش فرض، مایکروسافت ویندوز پسوندهای فایل (مانند .exe و .doc) را پنهان می کند و قبل از اینکه بتوانید مراحل بعدی را اجرا کنید ، باید پسوندها ببینید و آن‌ها را از حالت پنهان بیرون بیاورید. برای این‌کار، File Explorer را باز کرده، روی تب View کلیک کنید، و در آخر File Name Extensions را علامت بزنید. در اینجا شناخت درست و دقیق پسوندهای باج افزار و انواع مرتبط با آن‌ها ضروری است.

2.نسخه باج افزار GandCrab را تعیین کنید.

 اکنون که پسوند فایل‌ها را می‌ببینید، می‌توانید با تأیید پسوندهای فایل‌های رمزگذاری‌شده، متوجه شوید که کدام نسخه از GandCrab را سیستم شما را آلوده کرده است.

• نسخه 1 GandCrab پسوند gdcb را دارد
• نسخه 2 و 3  GandCrab پسوند crab را دارد.
• نسخه 4 GandCrab پسوند krab را دارد.
• نسخه 5 GandCrab یک پسوند تصادفی 5 حرفی را نشان می‌دهد.

3.رمزگشا(decryptor) را دانلود کنید.

 یک رمزگشای رایگان GandCrab برای GandCrab(گندکرب) نسخه های 1، 4، 5.01 و 5.2 وجود دارد. اگر پسوند فایل شما با این نسخه های ذکر شده مطابقت دارد، خیلی نگران نباشید و می‌توانید از این رمزگشا استفاده کنید. اما متأسفانه، هیچ ابزار رمزگشای رایگان برای GandCrab نسخه 2 و نسخه 3 وجود ندارد.

4.باج را نپردازید

 اگر به GandCrab نسخه 2 یا نسخه 3 آلوده شده اید، ممکن است به پرداخت باج ترغیب شوید اما این کار را نکنید. با فرض اینکه سرورهای GandCrab هنوز فعال هستند، FBI، Europol و INTERPOL همگی توصیه به عدم پرداخت باج دارند. چرا که هیچ تضمینی برای بازگرداندن فایل‌های خود ندارید و این کار تنها باعث میشه شما به طعمه ای خوب برای حملات بعدی باج افزار تبدیل بشید.

سخن پایانی…

در این مقاله سعی بر این بود که باج افزار GandCrab(گندکرب) را به طور کامل معرفی و نحوه پیشروی آن، روش مقابله با آن و همچنین حذف آن بصورت دستی را ارائه دهیم و امیدواریم که این برایتان مفید واقع شود و بتوانید در زمان وقوع حمله این باج افزار به درستی با آن مقابله کنید.

آیا سازمان شما چندین هزار دلار برای پرداخت باج را دارد؟ آیا شناسایی باج افزار برای پیشگیری بهتر از حملات، راه حل بهتری نیست؟ آیا شناسایی باج افزار هزینه کمتری تا تلاش برای حذف باج افزار ندارد؟

برای مبارزه با باج افزار، بسیاری از مباحث در خصوص پیشگیری و عکس العمل بعد از حمله است. با این حال، در واقع شناسایی باج افزار برای “ایمن سازی” کسب و کار اگر به همان اندازه مهم نباشد مطمعنا کمتر نیز نیست. برای درک بهتر این مطلب میخواهم به مثال زیر توجه کنید:

فرض کنید شما یک دامدار هستید و گله‌ای گوسفند دارید، پس طبیعتا نگران حمله گرگ نیز هستید. برای رفع این نگرانی یک حصار بزرگ برای محافظت نصب کرده اید و برای ترساندن گرگ از بوق استفاده می‌کنید. بنظر من این نوع پاسخ بسیار در خورد است. اما سوال اینجاست! آیا بهتر نیست از یک سیستم هشدار اسستفاده کنید که سریعا قبل از اینکه گرگ حمله کند شما اقدام کنید ؟! آیا این کار بهتر و درخورتر نیست؟

بیایید نگاهی به “پنج ستون اصلی تشخیص تغییرات” در زمان واقعی بیندازیم تا ابزارهایی را که برای استفاده از این تکنیک‌ها برای شناسایی باج افزار و کاهش تأثیر آن لازم است را بهتر بشناسیم.

1. تجزیه و تحلیل فایل استاتیک

فرض کنید در یک تیم فناوری اطلاعات هستید و یک هشدار امنیتی در یکی از سرورهای کلیدی سازمان فعال شده است. هشدار خیلی شفاف نیست اما بیانگر این است که یک فایل مشکوک به باج افزار شناسایی شده است.

بدتر اینکه هش کدهای فایل (Hash Code) در VirusTotal نیست و شما هم نمی‌توانید اطلاعاتی را در اینترنت پیدا کنید که تشخیص دهید آیا فایل موجود مخرب است یا نه.

برای تشخیص باج افزار و فهمیدن اینکه آیا این فایل باج افزار است یا نه (یا هر بدافزاری دیگر)، یکی از گزینه‌ها بررسی یا تجزیه و تحلیل فایل استاتیک است. تجزیه و تحلیل این فایل، نوعی تجزیه و تحلیل است که به مشکوک بودن یک فایل اجرایی بدون اینکه به شکل واقعی کد را اجرا کندیا نموضوع را بررسی می‌کند که آیا این فایل اجرایی مشکوک است یا نه.

در مورد باج‌افزار، بررسی و آنالیز فایل استاتیک در پی دنباله‌های کد مخربی است که شناخته‌شده‌اند و به دنبال سرنخ‌های مشکوکی، مانند “پسوندهای فایل هدف‌گذاری شده” معمول و کلمات رایج مورد استفاده در یادداشت‌های باج است.

یکی از ابزارهای رایگانی که می‌تواند مفید باشد PeStudio است. این ابزار، مصنوعات مشکوک را در فایل‌های اجرایی علامت‌گذاری می‌کند و برای بررسی رشته‌های تعبیه‌شده، کتابخانه‌ها، واردات و سایر شاخص‌های سازش (IOC) در یک فایل استفاده شود.

مزایا:

• نرخ مثبت غیر واقعی آن پایین است.
• در برابر باج افزارهای معروف موثر است.
• برای اینکه هیچ فایلی رمزگذاری نشود، حملات را قبل از اجرا متوقف می‌کند

معایب:

•  –    انجام آن  بصورت دستی زمان‌بر است.
•     – با استفاده از Packers / Crypter یا با جایگزین کردن کاراکترها با ارقام یا کاراکترهای خاص می‌توان آن را خیلی راحت دور زد.

انواع باج افزار: 5 نوع از مرسوم ترین شکل حملات باج افزارها| چند نکته مهم برای تیم‌های IT

2.ایجاد لیست سیاهی از پسوندهای رایج باج افزار

با ابزارهای نظارت بر دسترسی به فایل، می‌توان برای معروف‌ترین “پسوندهای باج‌افزار“ عمل تغییر نام فایل را در لیست سیاه قرار داد، یا اینکه به محض ایجاد فایل جدیدی با پسوندهای باج افزار، هشدار داده شود.

به عنوان مثال، یکی از ابزارهای نظارت بر دسترسی به فایل توسط Netapp این امکان را می‌دهد که انواع خاصی از افزونه‌ها را قبل از ذخیره شدن در سیستم و یا اشتراک‌گذاری‌، مسدود کنید. سایر راه حل های لیست سیاه باج افزار شامل ownCloud یا Netwrix است.

لیست های متنوعی در اینترنت با از پسوندهای رایج باج افزار وجود دارد. به عنوان مثال https://fsrm.experiant.ca/

مزایا:

• نرخ مثبت غیر واقعی آن پایین است.
• در برابر باج افزارهای معروف موثر است.

معایب:

• باج افزارها به راحتی می‌توانند آن را با پسوند جدید رمزگذاری دور بزنند.
• راه حل نظارت بر فایل که دارای ویژگی لیست سیاه پسوند باشد به راحتی پیدا نمی‌شود.

3. استفاده از فایل های Honeypot برای شناسایی باج افزار

فایل honey یک تکنیک برای فریب است که عمداً برای شناسایی مهاجم در یک پوشه قرار می‌گیرد و به محض باز شدن فایل، زنگ هشدار به صدا در می‌آید. مثلا، فایلی با این نام passwords.txt می تواند به عنوان فایل honey در یک workstation استفاده شود.

یکی از راه های محبوب و رایج برای ساخت سریع و آسان فایل های honey استفاده از Canarytokens است. Canarytokens یک ابزار رایگان است که  Canarytokens _یک شناسه منحصر به فرد یا توکن_ را در سندی  مانند Microsoft Word، Microsoft Excel، Adobe Acrobat، تصاویر، پوشه‌های دایرکتوری و غیره جاسازی می‌کند.

بعد از اینکه Canarytoken دسترسی پیدا کرد، Canary یک ایمیل اعلان به آدرس مرتبط با توکن مربوطه را برای شما ارسال می کند. می‌توان نام فایل‌های Canary را به نام‌هایی تغییر داد که باجگیرها در شبکه قربانی بدنبال آن هستند، مانند «statement »، «policy » یا « insurance ».

مزایا:

• شناسایی باج افزارهایی که موتورهای ساکن آن را نمی‌گیرند.

معایب:

•   به شکل کاذب و معیوبی برخی از موارد را مثبت نشان می‌دهد، زیرا کاربران و برنامه‌ها ممکن است فایل‌هایی را باز کنند که به عنوان طعمه گذاشته شده‌اند.
• وقتی پوشه‌های خاصی را تارگت می‌کند از برخی فایل‌ها یا پوشه‌های مخفی عبور می‌کند

4_نظارت پویا بر عملیات فایل‌های انبوه و حجیم

با اینکار می‌توان در یک بازه زمانی معین، حمله باج‌افزارها را که در زمان واقعی اتفاق می‌افتد را شناسایی کرد و حتی به طور خودکار آن را مسدود کرد.

برای شناسایی باج افزار از این طریق، ابزار نظارت بر یکپارچگی فایل(File Integrity Monitoring)  می تواند کارا باشد. یک FIM آخرین نسخه فایل‌ها را با هم مقایسه کرده و با یک «خط مبنا» قابل اعتماد وشناخته شده اعتبارسنجی می‌کند و آن زمان که فایل‌ها تغییر، به‌روزرسانی یا در معرض خطر قرار گرفته‌اند به شما هشدار می‌دهد.

ابزارهای رایگانی از FIM مانند OSSEC و Samhain File Integrity  در دسترس است، که بسرعت قابل اصلاح هستند تا بتوان فورا برای پاسخ خودکار این تهدیدات، باج افزار شناسایی شده را مسدود کرد.

مزایا:

• شناسایی باج افزارهایی که موتورهای ساکن آن را نمی‌گیرند.

معایب:

• رمزگذاری فایل‌ها فراتر از حد تعریف شده.
• با ایجاد تاخیر بین رمزگذاری‌ها به راحتی دور می‌خورند.

5_اندازه گیری تغییرات داده های فایل ها (آنتروپی)

درمباحث امنیت سایبری، آنتروپی یک فایل به معیار خاصی از تصادفی بودن به نام «آنتروپی شانون» اشاره دارد. برای تشخیص انواع باج افزار، فایل‌های متنی معمولی دارای آنتروپی کمتری هستند و فایل‌های رمزگذاری شده یا فشرده آنتروپی بالاتری دارند. به بیان دیگر، در صورت تغییر نرخ داده‌های فایل‌ها، می‌توان تشخیص داد که فایل‌ها رمزگذاری شده‌اند یا نه.

ابزار رایگان Patrick Wardle’s RansomWhere?

 ابزاری است برای اندازه گیری تغییرات داده های فایل ها(آنتروپی) که به  شناسایی باج افزار و مسدود کردن آن می‌پردازد. این ابزار فرآیندهای مشکوک و نامعتبر که فایل های شخصی شما را رمزگذاری می کنند،شناسایی می‌کند. RansomWhere همچنین می‌تواند فرآیندها را پس از تغییرات متعدد و تغییرات قابل توجه را مسدود کنند.

مزایا:

• شناسایی انواع باج افزارهایی که موتورهای ساکن آن را نمی‌گیرند.
• نکات مثبت مصنوعی کمتری نسبت به تکنیک‌های دینامیکی که قبلا ذکر شد را نشان می‌دهدو دقیق‌تر است.

معایب:

•     در نقطه پایانی از CPU در سطح بالایی استفاده می‌کند.
•   فایل‌ها تا سرحد اطمینان تعیین شده رمزگذاری می‌شوند، بنابراین همه آسیب‌ها و تخریبات مسدود نخواهد شد.

نتیجه گیری:

تکنیک‌ها برای شناسایی باج افزار و تشخیص عفونت‌های باج افزار میتوانند بسیار کمک کننده باشند. هدف اصلی ما در اینجا معرفی راه‌های مختلفی برای تشخیص انواع باج افزار قبل از ایجاد آسیب جدی بود. همچنین این بخش را می‌توان بخش مهمی از استراتژی‌های حفاظت از باجگیرها دانست.

برگرفته از مقاله Top 5 ransomware detection techniques: Pros and cons of each

این روزها باج افزار ransomware مهمترین دغدغه‌ی “امنیت سایبری” برای شرکت‌ها شده است؛ چرا که میتواند تاثیرات بسیار مخربی را ایجاد کند. از جمله مهمترین این آسیب‌ها، از دست رفتن داده‌ها، بالابودن هزینه‌های بازیابی و همچنین آسیب به شهرت کسب و کارها است.  در این راستا اگر بدانید با چه باج افزاری روبه رو هستید و بتوانید به تشخیص باج افزار بپردازید شاید تا حد خیلی زیادی بشود با استفاده از برنامه‌های مختلف به محافظت از کسب و کارتان در مقابل حملات آن‌ها بپردازید. اما سوال اصلی اینجاست که با این افزایش چشمگیر حملات سایبری، چگونه میتوان از اطلاعات ارزشمند خود محافظت کرده و یا به حذف باج افزار بپردازیم؟ در این پست سعی داریم برخی از مهمترین انواع باج افزار که امروزه نسبت به شکل‌های دیگر آن استفاده می‌شنوند را بررسی کنیم. همچنین بزرگترین حملات باج افزاری را نیز به اختصار توضیح می‌دهیم.

_{اورژانس باج افزار گروهی از متشکل از متخصصان امینت سایبری در کنار شماست تا بتوانید بدون پرداخت باج، اطلاعاتتان را بصورت کامل بازیابی کنید و اقدام به از بین بردن باج افزار کنید} ❗❗❗

اصلی ترین انواع باج افزار کدام است؟

باج افزار به اشکال مختلفی عرضه می شود که همه آنها دارای چندین ویژگی مشترک هستند. انواع مختلفی از باج افزار وجود دارد؛ اما میتوان گفت که همه‌ آن‌ها دارای ویژگی‌های زیر هستند:

• اول اینکه همه آنها انگیزه مالی دارند(که میتوان اصلی ترین ویژگیشان دانست)
• دوم حامل نوعی تهدید برای سیستم‌های IT هستند.
• و سوم اینکه پیامی اخطار دهنده را بر روی سیستم قربانی نشان میدهند که از آن‌ها باج میخواهد. اما تفاوت اصلی و متمایز کننده انواع باج افزار ها به خاطر نحوه‌ی حمله آنها و تکنیکی است که به کار میبردند. با بررسی نمونه‌های زیر دقیقا متوجه میشوید که منظورمان از تکنیک چه است.

❗❗❗ برای شناخت پسوندهای باج افزارکلیک کنید

باج افزارCrypto  (رمزنگاری)

باج افزار کریپتو(رمزنگاری) یکی از مهمترین باج افزارهای موجود است. یک روش برای حمله موثر سایبری‌ها محسوب می‌شود که بسیار سودآور نیز است. این گونه باج افزار به “رمزگذاری داده‌ها“ می‌پردازد و آن‌ها را غیرقابل خواندن می‌کند. سپس برای رمزگشایی و ارائه کد از قربانی باج می‌خواهد. توسعه دهندگان این نوع از انواع باج افزار اغلب یک “شماره معکوس” را در صفحه قربانی اضافه می‌کنند و این اخطار را نمایش می‌دهند:” اگر تا انتهای شمارش معکوس باج پرداخت نشود همه فایل‌های رمزگذاری شده حذف خواهد شد“. و در نتیجه، بسیاری هستند که برای برگرداندن داده‌های خود حاظر به پرداخت باج هستند.

 باج افزار Exfiltration

باج افزار Exfiltration که یکی از مهمترین انواع باج افزار است به عنوان doxware یا leakware نیز شناخته می‌شود، با دزدیدن اطلاعات و داده‌های قربانی او را تهدید به نشر عمومی آن‌ها می‌کند. این مورد علاوه بر اینکه به کسب و کار و شهرت قربانیان آسیب می‌رساند، همچنین منجر به جریمه شدن توسط مراجع قضایی در نقض مقررات حفاظت نیز میشود. مهاجمان اغلب داده‌هایی را رمزگذاری می‌کنند که مرتبط با یکدیگر هستند و به این دلیل میتوانند فشار را برای پرداخت باج چندین برابر کنند.

باج افزار DDoS

برخلاف باج‌افزارهای رمزنگاری‌شده و نفوذ کننده، حملات باج‌افزار (DDoS) به خدمات شبکه است و کاری به اطلاعات و داده‌های کاربر ندارد. آنها برای متوقف کردن سرورهای کاربر شروع به “درخواست‌های اتصال جعلی” میکنند تا با ایجاد ترافیک کاذب، سایت مورد نظر را درگیر کنند. با این کار تمام منابع سرورها صرفا درگیر این درخواست‌ها می‌شوند و این امر باعث می‌شود کاربران اصلی برای اتصال به سرور با مشکل روبه رو شوند.  پس از انجام این حملات با نمایش یک یادداشت، کاربر را به پرداخت باج برای اتمام حمله ترغیب می‌کند. اما DDoS از آن نوع حملاتی هستند که گاهی اوقات مهاجمان چه با پرداخت باج و چه عدم پرداخت آن، دست از حمله بر می‌دارند. یک حمله باج‌افزار DDoS به شدت نیازمند منابع است. بنابراین یک هکر ممکن است برای حفظ آن برای مدت طولانی تلاش کند. علاوه بر این، باج افزار DDoS خطری برای داده‌های واقعی شما ایجاد نمی کند.

باج افزار Scareware یا ترس افزار

این بدافزار از روشی به اسم” تاکتیک‌های مهندسی اجتماعی” استفاده می‌کند. این روش به این معناست که کاربر را فریب می‌دهد که با مشکلی مانند بدافزارها مواجه است و او را ترغیب میکند که مثلا برای حل این مشکل نیاز به خریداری و نصب فلان نرم افزار را دارد. این هشدار به صورت “پاپ آپ” و اغلب موارد “لوگوی نرم افزار امنیتی قانونی” به نمایش گذاشته می‌شود و دستور خریداری نرم افزاری را می‌دهد؛ که ممکن است حاوی بدافزار باشد یا شروع به آسیب رساندن‌های حادتری بکند.

WannaCry

کار WannaCry رمزگذاری باج افزار است. از یک آسیب پذیری در “پروتکل SMB“ ویندوز سوء استفاده می‌کند و وارد می‌شود. WannaCry شروع به تکثیر کرده و از این طریق به آلوده کردن سیستم‌های دیگر نیز می‌پردازد. WannaCry یک برنامه مستقل است. این برنامه قابلیت این را دارد که فایل‌های حاوی کلیدهای رمزگذاری، برنامه های کاربردی رمزگذاری/رمزگشایی و “برنامه ارتباطی Tor” را استخراج کند. مهاجمان WannaCry را مبهم و پیچیده نمی‌کنند و به راحتی میتوان آن را شناسایی و سپس حذف کرد. بیشترین نرخ آلودگی آن در سال 2017 بوده است که  23000 دستگاه را در 150 کشور جهان تحت تأثیر قرار داد. و همچنین حدود 4 میلیارد دلار خسارت وارد کرد.

Cerber

Cerber یک باج افزار از دسته (RaaS)_باج افزار به عنوان سرویس_ است. Cerber زمانی که در حال اجرای رمزگذاری است، بدون شناسایی، فایل های رمزگذاری را اجرا کرده و از فعالیت آنتی ویروس‌ها تا حد ممکن جلوگیری می‌کند. بعد از آنکه که به طور درست فایل ها را روی دستگاه رمزگذاری کرد، یک یادداشت حامل درخواست باج را در پس زمینه دسکتاپ به نمایش می‌گذارد.

CryptoLocker

باج افزار در چند دهه گذشته به اشکال مختلف ظهور کرده است . در سال 2013، CryptoLocker، به شهرت رسید. فروشندگان و متخصصان فناوری اطلاعات، در می 2014 پس از اخاذی 3 میلیون دلار از قربانیان توسط مجرمان سایبری، بات نت اصلی CryptoLocker را کاملا از بین بردند. با این حال و با از بین رفتن CryptoLocker، کپی کردن آن توسط مجرمان به راحتی انجام می‌گیرد. اما این تغییرات با نسخه اصلی آن مرتبط نیست. تعداد CryptoLocker به حدی زیاد شده است که آن را حتی مترادف با باج افزار می‌دانند.

Locky

باج افزار Locky یا لاکی با به کارگیری بات نت Necurs شروع به توزیع ایمیل‌های فیشینگ کرد که حاوی دستورالعمل‌های مخرب بود. این عمل از طریق پیوست های Excel یا Word صورت می‌گرفت. نسخه Locky در سال 2016 مشخص شد که در جعبه ایمنی نیز قابل اجرا است و یک ماه بعد این بد افزار حتی قادر به رمزگذاری فایل‌ها به صورت آفلاین بود. Locky در سپتامبر 2017 در حمله‌ای فعال شد که در آن حدودا 23 میلیون پیام فیشینگ توسط مهاجمان در مدت 24 ساعت فرستاده شد.

باج افزار Maze

Maze یکی دیگر از انواع باج‌افزار است که از سال 2019 اثراتش دیده شده است. اولین بار یک گروه اصلی Maze را ایجاد کردند،اما چندی بعد برخی دیگر از مهاجمین از Maze برای اهداف باج گیری خود شروع به استفاده از آن کرده‌اند. بیشتر اپراتورهای Maze علاوه بر رمزگذاری، “داده‌هایی را که رمزگذاری می‌کنند را نیز کپی کرده” و همچنین تهدید به افشای آن‌ها می‌کنند و با اینکار فشار زیادی را برای پرداخت باج اعمال می‌کنند.

باج افزار Maze بیشتر از طریق پیوست‌های ایمیل مخرب توزیع می‌شد. اما در حملات اخیر از روش‌های دیگری برای به خطر انداختن شبکه استفاده می‌کنند. به عنوان مثال، بسیاری از حملاتی که  باج‌افزار Maze انجام می‌دهد از اعتبارنامه‌های پروتکل دسکتاپ از راه دور (RDP) دزدیده شده و برای نفوذ به شبکه استفاده کرده‌اند. حملات دیگر با به خطر انداختن سرور شبکه خصوصی مجازی (VPN) آغاز شده اند.

مطالب مرتبط: باج افزار چیست❗

Ryuk

Ryuk  باج افزاری است که با یک برنامه dropper توزیع شده و روی دستگاه قربانی مستقر می‌شود. سپس یک بد افزار را نصب می‌کند و راه ارتباط دائمی را با سرور فرمان و کنترل (C&C) باز می کند. “ویروس” Ryuk از طریق TrickBot وارد شبکه می‌شود. و این کار را از راه‌های مختلفی انجام می‌دهد. ایمیل اسپم شده یکی از رایج‌ترین روش‌هایی است که از آن استفاده می‌کند. همچنین از طریق بات‌نت Emotet که از قبل وجود داشت، پخش می‌شود، که از ایمیل‌های مخرب – به‌ویژه، پیوست‌های ایمیل و سند word برای آلوده کردن رایانه‌ها استفاده می‌کند.

Stop/Djvu

باج‌ افزار Stop/Djvu بدون اغراق بدترین چیزی است که کاربر در فضای مجازی انتظارش را دارد. نه تنها باجگیر‌ها اغلب مبالغ هنگفتی را درخواست می‌کنند، بلکه حتی پس از پرداخت باج، فقط گاهی اوقات امکان رمزگشایی صحیح این فایل ها وجود دارد و در بسیاری از موارد گزارش شده هیچ گونه رمزگشایی صورت نگرفته است.

نکته‌ های امنیتی مربوط به فضاهای ذخیره‌سازی

برای مقابله با هر یک از انواع باج افزارها، نکات زیر به ارائه بخش مهمی از اقداماتی که تیم های ذخیره سازی داده محور می توانند برای محافظت از کسب و کارها در برابر تهاجم انواع ویروس باج افزار پرخطر را انجام دهند، ارائه می دهد.

مجوزهای فایل ناامن را شناسایی و اصلاح کنید

کاربران باید اطلاعات و داده‌های خود را به درستی بشناسند تا از آنها محافظت کنند. مخصوصا این نکته را  باید بدانند که کسب و کارشان چه داده‌هایی را ذخیره می‌کند و دسترسی آنها در اختیار چه کسانی است. برای شروع، تجزیه و تحلیل مجوزهای فایل میتواند گزینه مناسبی باشد. تجزیه و تحلیل مجوزهای فایل این قابلیت را به مدیران می‌دهد که توانایی رصد کردن کاربرانی را داشته باشند که داده‌های آن‌ها در اختیارشان است و میتوانند بررسی کنند که چه کاری را می‌توانند انجام دهند. و بعد از آن شروع به سخت‌گیری در مورد اعطای مجوزهایی کنند که آنچنان ضروری نیستند.

آن‌ها باید سوء استفاده از مجوزهایی که توسط کاربرانی که در حال خواندن، تغییر یا حذف داده‌هایی هستند که جزئی از کارشان نیست را پیگیری کنند و آن‌ها را لغو کنند. مثلا، یک توسعه‌دهنده برنامه‌های کاربردی را در نظر داشته باشید که اطلاعات شرکت را در سیستم تغییر می‌دهد. با این حال، درک عمیق در مورد مجوزهای فایل در صورتی کامل است که ماهیت داده‌های که در دسترس هست را نیز بشناسیم. به همین جهت، به ابزارهایی نیاز است که بتوانند تجزیه و تحلیل مجوز فایل‌ها را با اطلاعات متنی، مانند انواع داده در دسته‌های مختلف، حساسیت، مالکیت و مکان ذخیره‌سازی را قدرتمند کنند.

الگوهای استفاده از داده‌ها ثبت و سپس نظارت شوند

علاوه بر نکات گفته شده، تمام فعالیت‌های صورت گرفته توسط کاربر باید برای نظارت و تجزیه و تحلیل ثبت شود. این امر در صورت هجوم بسیار کاربردی خواهد بود، چرا که این گزارش‌های ثبت شده حاوی اطلاعاتی است که در ارزیابی هجوم و پس از آن انجام اقدامات اصلاحی بسیار میتواند کمک کننده باشد.

آنها همچنین جزئیات را برای کمک به  تعیین علت اصلی حمله در آینده ارائه می دهند. با این وجود میتوان به اجرای اقدامات پیشگیرانه پرداخت.

حمله گونه های باج افزار دارای چنین نشانه‌هایی است:  

• خواندن، نوشتن، یا حذف تمام فعالیت‌ها بصورت گروهی
• رمزگذاری‌ها به شکلی غیرطبیعی افزایش پیدا کند
• کاربران در ساعات غیر عادی به سیستم‌ها دسترسی داشته باشند
• از یک موقعیت زمانی- مکانی که مورد انتظار نیست یک دستگاه دسترسی به داده‌ها و یا سیستم را داشته باشد.

نه تنها باید بر فعالیت کاربر نظارت داشت، بلکه باید رفتار سیستم را نیز در نظر گرفت و کنترل کرد. این کار کمک می‌کند که در زمان حمله سیگنال های دیگر شناسایی شوند.

رمزگذاری داده‌ها در حالت پرواز

برای جلوگیری از نفوذ، بهترین راه رمزگذاری داده‌ها است؛ چرا که دسترسی را عملا از مهاجمان میگیرد و داده‌ها بی فایده می‌شوند. اما این تنها در صورتی امکان پذیر است که مهاجمان نتوانند کلیدهای رمزنگاری شما را به دست بیاورند. این نکته نیز قابل بازگویی است که اطلاعات پشتیبانی که شمار در اختیار دارید به همان اندازه برای مهاجمان نیز سودمند است. به همین خاطر باید داده‌ها را در زمان استراحت یا حالت پرواز در محیط پشتیبان و در زمانی که مشغول به پشتیبانی از داده‌های خود هستید به فرآیند رمزگذاری بپردازید. همچنین برای جلوگیری از افتادن کلید‌های شما به دست مهاجمان یا سایبری‌ها باید از بهترین روش‌های مدیریت کلیدها استفاده کرد.

در نهایت، باید توجه داشت که رمزگذاری نمی‌تواند به صورت تمام و کمال باج افزار رمزنگاری را متوقف کند، زیرا سایبری‌ها می توانند حتی شکل رمزگذاری شده داده‌ها را رمزگذاری کنند. و این معنی را می‌دهد که در صورتی که این اتفاق بیوفتد باید برای رمزگشایی هر دو کلید خو و مهاجم را داشته باشید.

نسخه پشتیبان دیتاهای خود را تهیه کنید

این نکته حائز اهمیت است که داشتن یک استراتژی پشیبانی برای حفاظت در مقابل حمله‌ی احتمالی crypto بسیار مهم و حیاتی است. اصل پشتیبان گیری1-2-3 باید مورد استفاده قرار گیرد که به شرح زیر است:

• حداقل باید در سه نسخه داده‌ها را ذخیره کنید
• برای کاهش حداکثری خطر، حداقل از دو فضای مختلف محیط برای ذخیره سازی استفاده کنید.
• برای داده‌های خود در یکی از فضاهای خارج از سایت نسخه پشتیبان تهیه کنید—و به این صورت به‌طور مؤثری از سیستم فعال و مورد استفاده‌تان جدا می‌شود

برای به حداکثر رساندن محافظت در برابر باج‌افزار، تهیه کردن “نسخه‌های پشتیبان غیرقابل تغییر” نیز مفید است. این نسخه‌ها را هیچ کس نمی‌تواند تا پایان یک دوره قفل مشخص اصلاح، رمزگذاری یا حذف کند، حتی کسانی که  امتیاز سرپرستی را دارند. همچنین باید اطمینان حاصل کرد که پشتیبان‌گیری‌های شما واقعاً درست انجام گرفته‌اند و کار می‌کنند، به همین خاطر نباید فراموش کنید که به طور منظم آن‌ها را آزمایش کنید.

سوالات رایج

رایج ترین انواع باج افزار کدام است؟

رایج‌ترین نوع حمله ویروس باج افزار، باج افزار “کریپتو(crypto)” است. این نوع از حملات به دلیل تاثیر در قفل کردن و غیر دسترس کردن کاربران از داده ها و سیستم‌ها، توسط باج گیرها استفاده می‌شود. این باج افزار، قسمتی یا تمامی از داده‌های کاربر را با کدی مخرب رمزگذاری می‌کند، دسترسی کاربران را قفل می‌کند و سیستم را تا زمان دریافت باج  بی‌استفاده می‌کند. بدیهی است که چرا به این نوع باج‌افزار اغلب «ربایش داده»  می‌گویند.

تهدید کننده ترین حمله انواع باج افزار کدام است؟

از بین تمامی انواع حمله ویروس باج‌افزار، باج‌افزار رمزنگاری(crypto) مؤثرترین روش در قفل کردن و باج گیری از کاربران است و از بسیاری جهات این ویژگی، آن را به تهدیدکننده‌ترین ویروس باج گیر تبدیل می‌کند. Exfiltration یکی دیگر از جدی‌ترین تهدیدات است، زیرا علاوه بر اینکه داده‌ها را قفل و برای باج نگه میدارد، همچنین احتمال دارد آن دسته از داده‌های حساس را به صورت عمومی نیز انتشار کند، که این کار علاوه بر ضرر تجاری، بر اعتبار شرکت نیز ضرر و زیان وارد کند.

باج افزارهای پراستفاده کدام اند ؟

در حالی که باج افزارهای مختلفی وجود دارند، اما چهار مورد از پرکاربردترین آن‌ها عبارتند از: باج افزار رمزنگاری (crypto)، نفوذپذیری یا نشت افزار (exfiltration or leakware)، قفل صفحه(screen lockers) و ابزار ترسناک(scareware). از میان اینها، باج‌افزارهای رمزنگاری‌شده و نفوذپذیری مهم‌ترین تهدیدها را ایجاد می‌کنند، زیرا عملا داده‌های شما را به باج میگیرند، مگر اینکه مالک باج درخواستی را پرداخت کند و یا توانایی محافظت درمقابل باج‌افزار را داشته باشد.

سخن پایانی…

انواع باج افزار ها به گونه‌های مختلفی حمله می‌کنند و در شکل و شمایل متفاوتی دیده می‌شوند. مسیر و جهت حمله یک عامل مهم برای انواع باج افزارها است. برای تخمین اندازه و وسعت حمله، باید همیشه در نظر داشت که چه چیزی‌هایی  در خطر هستند و یا چه داده هایی می توانند نابود شوند یا انتشار یابند. صرف نظر از نوع باج افزار مهاجم، پشتیبان گیری از داده ها از قبل و به صورت منظم و همچنین استفاده صحیح  از نرم افزارهای امنیتی می تواند شدت حمله را به طور چشمگیری کاهش دهد.

این مقاله برگرفته از مقالات زیر است…

• Ransomware Types: 5 Common Types of Ransomware Attack
• Ransomware Attacks and Types – How Encryption Trojans Differ