باج افزار Exfiltration یکی دیگر از انواع باج افزار است که به استخراج داده‌ها می‌پردازد. این روزها گروه‌های باج‌افزار با تهدید به انتشار عمومی داده‌های محرمانه، فشار بیشتری را بر قربانیان وارد می‌کنند تا قربانیان به خاطر وعده حذف کامل یا محرمانه نگه داشتن داده‌ها باج را بپردازند. گروه‌های باج‌افزار علاوه بر ارسال عمومی داده‌ها، داده‌های دزدیده شده را در انجمن‌های مجرمان سایبری و بازارهای وب تاریک برای درآمد بیشتر می‌فروشند. داده‌های Chainalysis نشان می‌دهد که مبلغ پرداختی توسط قربانیان باج‌افزار 311 درصد در سال 2020 افزایش یافته و همچنین 350 میلیون دلار ارز دیجیتال نیز باج گرفته شده است. برای پاکسازی باج افزار Exfiltration با ما تماس بگیرید.

باج افزار Exfiltration چیست؟

باج‌افزار Exfiltration یک نوع نرم‌افزار خبیث است که به منظور دسترسی غیرمجاز به داده‌ها و اطلاعات سازمانی طراحی شده است. این نوع باج‌افزار به شکل‌های مختلفی عمل می‌کند، از جمله رمزگذاری اطلاعات یا انتقال آنها به سرورهای مختصری که توسط مهاجمین کنترل می‌شوند. علاوه بر این، باج‌افزار Exfiltration معمولاً از روش‌هایی مبتنی بر شبکه برای انتقال اطلاعات استفاده می‌کند، مانند پروتکل‌های مخفی‌کاری یا استفاده از پورت‌های غیرمعمول.

حذف باج افزار Exfiltration

پاکسازی ویروس باج گیر یک وظیفه چالش برانگیز و حساس است که نیاز به توجه و مهارت دارد. در صورتی که سازمان یا شخصی با حمله این نوع باج‌افزار مواجه شود، مراحل زیر می‌توانند به حذف آن کمک کنند:

1. جدا سازی سیستم‌های آلوده: اگر ممکن است یک یا چند سیستم آلوده باج‌افزار Exfiltration داشته باشند، باید آن سیستم‌ها از شبکه جدا شوند تا جلوی انتشار بیشتر باج‌افزار را بگیرند.
2. تخلیه شبکه: پس از جدا سازی سیستم‌های آلوده، تخلیه شبکه از هر نوع ترافیک مخرب و مشکوک می‌تواند به جلوگیری از انتقال داده‌ها توسط باج‌افزار Exfiltration کمک کند.
3. تجزیه و تحلیل باج‌افزار: برای شناسایی نوع و عملکرد باج‌افزار Exfiltration، نیاز به تجزیه و تحلیل آن دارید. متخصصان امنیت می‌توانند به شناسایی کدها و عملکرد نرم‌افزار کمک کنند.
4. تخلیه و بازنشانی سیستم‌ها: سیستم‌هایی که تأیید شده است که توسط باج‌افزار آلوده شده‌اند، باید تخلیه و بازنشانی شوند. این به معنای حذف کامل نرم‌افزار باج‌افزار و نصب مجدد سیستم عامل و برنامه‌ها است.
5. به روزرسانی نرم‌افزارها و سیستم عامل: به‌روز نگه‌داشتن تمام نرم‌افزارها و سیستم عامل به آخرین نسخه‌ها و پچ‌های امنیتی موجود می‌تواند به جلوگیری از حملات مشابه در آینده کمک کند.
6. پیگیری و آموزش: پس از حذف باج‌افزار Exfiltration، مهم است تا برای پیگیری و ارتقاء امنیت سیستم‌ها و داده‌ها تلاش کنید. آموزش کارکنان در مورد شناسایی و پیشگیری از حملات امنیتی نیز بسیار اهمیت دارد.

تکنیک‌های باج افزار Exfiltration

بیشتر آلودگی‌های باج‌افزار از طریق یک حمله اولیه ساده، مانند ایمیل فیشینگ یا بهره‌برداری از پروتکل دسک‌تاپ از راه دور آغاز می‌شوند. پس از دسترسی اولیه، مجرمان سایبری از بدافزارها، ابزارهای تست نفوذ منبع باز و… برای افزایش امتیازات و حرکت جانبی در سراسر شبکه قربانی استفاده می‌کنند. افزایش دسترسی شبکه به CTA ها اجازه می‌دهد داده های حیاتی برای استخراج و رمزگذاری مورد هدف قرار گیرند.

تأثیرات باج افزار Exfiltration

باج‌افزار Exfiltration تأثیرات جدی بر امنیت سازمان‌ها و افراد دارد. این تأثیرات شامل موارد زیر می‌شوند:

1. دسترسی به داده‌های حساس: باج‌افزار Exfiltration به مهاجمین اجازه می‌دهد تا به داده‌ها و اطلاعات حساس سازمان دسترسی یابند. این اطلاعات می‌تواند اطلاعات مالی، اطلاعات مشتریان، یا اطلاعات مهم دیگر باشد.
2. خسارت به اعتبار سازمان: از آنجایی که باج‌افزار Exfiltration معمولاً به تهدید امنیت داده‌ها پایان می‌دهد و اطلاعات را تا زمان پرداخت اجازه بازیابی نمی‌دهد، سازمان‌ها ممکن است خسارات مالی و اعتباری قابل توجهی ببینند.

روش‌های پیشگیری و مقابله با باج افزار Exfiltration

برای پیشگیری از حملات باج‌افزار Exfiltration و مقابله با آن، سازمان‌ها می‌توانند اقدامات امنیتی زیر را اتخاذ کنند:

1. استفاده از نرم‌افزارهای امنیتی: استفاده از نرم‌افزارهای مخصوص امنیت، اسکنرهای آنتی‌ویروس و جلوگیری از نفوذ می‌تواند به شناسایی و جلوگیری از حملات Exfiltration کمک کند.
2. آموزش کارکنان: آموزش کارکنان در مورد شناسایی پیام‌های پیشنهادی، نگهداری از رمزها و به‌روزرسانی نرم‌افزارها می‌تواند به جلوگیری از حملات موفق Exfiltration کمک کند.
3. رمزنگاری داده‌ها: استفاده از رمزنگاری برای محافظت از داده‌های حساس در صورت دسترسی مهاجمین به آنها می‌تواند اطلاعات را محافظت کند.
4. پشتیبان‌گیری منظم: ایجاد نسخه‌پشتیبان منظم از داده‌ها به سازمان‌ها کمک می‌کند تا در صورت حملات Exfiltration قادر به بازیابی اطلاعات باشند.

باید توجه داشت که مقابله با باج افزار Exfiltration نیاز به همکاری با تیم‌های امنیتی حرفه‌ای دارد. همچنین، پرداخت هزینه‌های باج‌افزار توصیه نمی‌شود، زیرا ممکن است به تقویت تهدیدات امنیتی دیگر انگیزه دهد.

باج افزار Bucbi یکی از انواع باج افزار است که با پیشرفت فناوری و استفاده گسترده از اینترنت، حفظ امنیت اطلاعات در مقابل حملات سایبری امری بسیار حائز اهمیت شده است. نرم افزارهای مخرب و مخصوصاً برنامه‌های باج افزار، به عنوان یکی از تهدیدات عمده در حوزه امنیت سایبری شناخته می‌شوند. در این مقاله، با نرم افزار باج افزار Bucbi آشنا خواهیم شد و درک بهتری از اهمیت آن در حفاظت از اطلاعات خواهیم داشت.

۱. باج افزار Bucbi چیست و عملکرد آن به چه صورت است؟

۱.۱ تعریف باج افزار

باج افزارها یک نوع نرم افزار مخرب هستند که از طریق رمزگذاری فایل‌ها یا محدود کردن دسترسی به سیستم، از کار انداختن آن را ایجاد می‌کنند. بعد از آن، قربانی برای بازگرداندن دسترسی یا اطلاعات خود مجبور به پرداخت یک مبلغ از قبیل بیت کوین می‌شود.

۱.۲ باج افزار Bucbi

باج افزار Bucbi یکی از مخرب‌ترین و پرطرفدارترین نرم افزارهای باج افزار است. این نرم افزار مخرب ابتدا با نفوذ به سیستم هدف، فایل‌های مختلف را رمزگذاری می‌کند و سپس تقاضای پرداخت باج را نمایش می‌دهد. تلاش برای بازیابی اطلاعات بدون پرداخت مبلغ مشخصی، ممکن است باعث از دست رفتن داده‌های مهم و ارزشمند شود.

مطلب مرتبط: پاکسازی ویروس باج افزار

۲. خطرات و اثرات آسیب‌رسان باج افزار Bucbi

۲.۱ تهدید امنیتی

باج افزار Bucbi به عنوان یک تهدید جدی در حوزه امنیت سایبری شناخته می‌شود. وقتی این نرم افزار مخرب وارد یک سیستم می‌شود، می‌تواند تمامی فایل‌ها را رمزگذاری کند و از کار انداختن سیستم را ممکن سازد. این موضوع می‌تواند منجر به آسیب جدی به سازمان‌ها و فردی شود که در معرض این تهدید قرار گیرند.

۲.۲ از دست دادن اطلاعات مهم

با پرداخت باج، فرد مورد حمله قادر به بازیابی فایل‌های خود می‌شود؛ اما در صورتی که این مبلغ پرداخت نشود، اطلاعات مهم و ارزشمندی که در فایل‌ها قرار دارند از بین خواهد رفت. این مسئله برای شرکت‌ها و فردانی که از اطلاعات حساس استفاده می‌کنند، بسیار خطرناک است.

۳. راهکارهای مقابله با باج افزار Bucbi

۳.۱ بروزرسانی نرم افزارها

بروزرسانی نرم افزارها و سیستم عامل به آخرین نسخه‌ها، از جمله راهکارهای مهم در مقابله با باج افزار Bucbi است. بروزرسانی‌ها عموماً شامل بهبودهای امنیتی می‌شوند که می‌توانند از نفوذ این نرم افزار جلوگیری کنند.

۳.۲ پشتیبان‌گیری منظم

برای جلوگیری از از دست دادن اطلاعات در صورت حمله باج افزار Bucbi، باید بر روی پشتیبان‌گیری منظم از داده

‌ها تأکید کرد. به این ترتیب، در صورت لزوم، می‌توان از نسخه‌های پشتیبان فایل‌ها استفاده کرد و از از دست رفتن اطلاعات جلوگیری کرد.

۴. نتیجه‌گیری

باج افزار Bucbi به عنوان یک نرم افزار مخرب قدرتمند، تهدید جدی‌ای در حوزه امنیت سایبری است. در این مقاله، با مفهوم باج افزار و عملکرد نرم افزار Bucbi آشنا شدیم و همچنین خطرات و اثرات آسیب‌رسان آن را مورد بررسی قرار دادیم. همچنین، راهکارهایی را برای مقابله با این تهدید ارائه دادیم. حفظ امنیت اطلاعات از اهمیت بسیاری برخوردار است و برای جلوگیری از وقوع حملات باج افزاری مانند Bucbi، باید از راهکارهای مؤثر و قابل اعتماد استفاده کرد. این باج افزار برای سازمان‌ها و افرادی که به اطلاعات حساس دسترسی دارند، تهدید جدی‌ای محسوب می‌شود. برای حفاظت از اطلاعات خود، باید از راهکارهای امنیتی مناسبی مانند بروزرسانی نرم افزارها و پشتیبان استفاده کرد.

پرسش‌های متداول

پرسش ۱: آیا باج افزار Bucbi فقط بر روی سیستم‌های ویندوز اثر می‌گذارد؟

پاسخ: خیر، باج افزار Bucbi قابلیت تأثیرگذاری بر روی سیستم‌های عامل مختلف از جمله ویندوز، مک، و لینوکس را دارد.

پرسش ۲: آیا پرداخت باج تضمین بازیابی فایل‌ها را به معنایی حتمی دارد؟

پاسخ: هرچند با پرداخت باج می‌توانید دسترسی به فایل‌های خود را بازیابی کنید، اما هیچ تضمینی وجود ندارد که پس از پرداخت باج، اطلاعات شما بدون تغییر بازگردانده شود.

پرسش ۳: آیا نصب یک نرم افزار ضد ویروس می‌تواند از نفوذ باج افزار Bucbi جلوگیری کند؟

پاسخ: نصب یک نرم افزار ضد ویروس می‌تواند به طور قابل توجهی امنیت سیستم را تقویت کند، اما برای مقابله با باج افزار Bucbi، باید از روش‌های دیگری همچون بروزرسانی نرم افزارها و پشتیبان‌گیری منظم نیز استفاده کرد.

پرسش ۴: آیا قربانیان باج افزار Bucbi می‌توانند با اطلاعات دیگری به غیر از بیت کوین برای پرداخت باج مواجه شوند؟

پاسخ: به طور کلی، باج افزارها از پرداخت با بیت کوین برای سادگی و ردیابی دشوارتر مبالغ استفاده می‌کنند. بنابراین، در بسیاری از موارد، پرداخت باج با استفاده از بیت کوین درخواست می‌شود.

پرسش ۵: چه تدابیری باید در صورت آلوده شدن سیستم به باج افزار Bucbi اتخاذ کرد؟

پاسخ: در صورت آلوده شدن سیستم به باج افزار Bucbi، اهمیت دارد که فوراً به یک تکنسین حرفه‌ای مراجعه کنید. آنها می‌توانند با استفاده از ابزارها و تکنیک‌های مختلف، تلاش کنند تا فایل‌های رمزگذاری شده را بازیابی کنند و به حل مشکل کمک کنند.

ویروس باج افزار یا باج‌ گیر (ransomware) نوعی از بد‌‌افزارها هستند که کارشان حمله به سیستم‌های مختلفی مانند کامپیوتر، لپتاپ، موبایل و… است که باعث از بین رفتن دسترسی کاربر به اطلاعاتش از طریق “رمزگذاری داده‌های” او می‌شوند و برای اجازه‌ی دسترسی دوباره باج می‌خواهند. باج‌افزار Locky(لاکی) یکی دیگر از خطرناک‌ترین انواع باج‌افزار است. نوعی حمله سایبری است که با استفاده از بدافزارها دسترسی به یک سیستم رایانه‌ای یا فایل‌های موجود در آن را تا زمان پرداخت باج مسدود کند.

باج افزار locky (لاکی) چیست؟

باج افزار Locky یکی از انواع بدافزار است که به رمزگذاری فایل‌های مهم رایانه شما می‌پردازد و آن‌ها را غیر قابل دسترس می‌کند. این باج افزار اطلاعات قربانیان را به گروگان می‌گیرد و در ازای بازگشت فایل‌ها از آن‌ها باج می‌خواهد.

باج افزار Locky یکی از بدترین انواع باج افزاری است که در حال حاظر به دیتابیس‌های شرکتی و کسب و کارها حمله می‌کند. یکی از ویژگی‌های متمایز کننده این باج افزار عملکرد آن در حالت آفلاین است و این ویژگی از او در مقابل مراجع قانونی و بسیاری از آنتی ویروس‌های آنلاین محافظت میکند.

روش رمزگذاری باج افزار Locky

این باج افزار بعد از اینکه فایل‌ها را رمزگذاری کرد، فایل HELPinstructions.html را در هر پوشه که حاوی فایل‌های رمزگذاری شده است را ایجاد می‌کند و همچنین تصویر دسکتاپ را نیز تغییر می‌دهد.

در اینجا فایل متنی و تصویر زمینه حاوی پیام یکسانی هستند که کاربران را از رمزگذاری مطلع می‌کنند و از طریق آن به قربانیان گفته می‌شود که فایل‌ها در صورتی باز می‌شوند یا دوباره در دسترس قرار می‌گیرند که یا از یک decrypter پیشرفته استفاده شود و یا توسط مجرمان و با پرداخت هزینه تقریبا 0.5 بیتکوین رمزگشایی شود.(که این رقم درطول زمان دائما در حال تغییر است).

اما این نکته را باید در نظر گرفت که در حال حاضر، هیچ ابزاری خاصی وجود ندارد که بتواند به رمزگشایی فایل‌های آسیب دیده توسط این باج افزار بپردازد و تنها راه حل موجود برای این مشکل این است که از یک نسخه پشتیبان برای بازگشایی رمزها استفاده شود.

نمونه هایی زیاد و گوناگونی از باج افزارهایی که مشابه باج افزار Locky(لاکی) عمل کنند وجود دارند. باج افزارهایی مانند Cryptowall، JobCrypter، UmbreCrypt، TeslaCrypt که تفاوت اصلی آن‌ها با باج افزار فوق در اندازه باج خواسته شده و نوع الگوریتم استفاده شده برای رمزگذاری فایل‌ها است.

در تحقیقات اخیر و گزارشات مختلف اذعان شده است که تضمین خاصی از سوی باج‌گیران وجود ندارد که فایل‌های رمزگذاری شده را حتی بعد از پرداخت وجه خواسته شده، رمزگشایی کنند و فایل‌ها را در اختیار کاربران قرار دهند.

چگونه می توانم باج افزار Locky را شناسایی کنم؟

اصلی ترین راه ورود این باج افزار از طریق ایمیل‌های اسپم شده و فایل‌های مخرب است. این ایمیل‌ها اغلب به صورت حساب‌های پرداختنی با موضوعاتی مانند پرداخت‌های آینده و اطلاعیه‌های مختلف کاری به دست کاربر می‌رسد. از آنجایی که اکثر کاربران قربانی شرکت‌ها و کسب و کارها هستند همچین پیغامی ممکن است آن‌ها را به باز کردن ایمیل‌ها و این پیوست‌ها ترغیب کند.

در اینجا اگر نکات ایمنی قبل از هجوم را رعایت کرده باشیم و یک ضد باج افزار قوی روی سیستم نصب شده باشد، می‌توان به راحتی به شناسایی باج افزار بپردازید و قبل از باز کردن فایل‌ها و پخش ویروس بر روی سیستم آن را حذف کنید.

چگونه می توان باج افزار Locky را حذف کرد؟

این باج افزار را نمیتوان به صورت دستی  حذف کرد و یا با استفاده از آنتی ویروس به مقابله با آن پرداخت. برای از بین بردن باج افزار Locky باید تمام کدهای اعمال شده بر روی فایل ها را دی‌کد یا رمزگشایی کرد. برای این کار شما به متخصصانی احتیاج دارید که توانایی بازگشت تام و تمام اطلاعاتتان را داشته باشد. برای اینکار میتوانید به تیم ما اطمینان کامل داشته باشید.

اورژانس باج‌افزار که از گروهی از متخصصان امنیت دیجیتال تشکیل شده است، تلاش می‌کند راهکارهایی برای جلوگیری از آلودگی، شکستن قفل و بازیابی اطلاعات دیتابیس‌های آلوده به باج‌افزار را با جدیدترین متدهای روز جهان در اختیار شما قرار دهد و تمام اطلاعات به سرقت رفته شما را در کمتر از 24 ساعت بازیابی کند.

راهکارهای حفاظتی برای مقابله با باج افزار Locky:

بسیاری از راهکار های قبل از حمله این باج افزار با دیگر انواع باج افزار مشابه است که ما در مقاله مقابله با باج افزار به طور مفصل به توضیح آنها پرداخته‌ایم و در اینجا نیز برخی از راهکارهای حفاظتی مهم برای مقابله با این باج افزار را ارائه کرده‌ایم که به شرح زیر است:

محافظت از دیتا بیس‌های شرکت در برابر باج افزار Locky

بهترین راه برای محافظت از اطلاعات خود در برابر اثرات ناشی از حملات باج افزار Locky، در وهله ی اول جلوگیری از ورود این بدافزار به سیستم است. یک رویکرد گسترده نسبت به امنیت داخلی ابتدایی ترین چیزی است که ما توصیه می کنیم.

_نصب یک آنتی ویروس خوب برای محافظت از اطلاعات هر شرکتی ضروری است، اما کافی نیست. برای محافظت کامل، توصیه می‌شود که ابزاری را انتخاب کنید که می‌تواند فیلتر DNS، اسکن سریع و لحظه‌ای، مسدود کردن بدافزار مبتنی بر ترافیک و حفاظت چندلایه مبتنی بر هوش مصنوعی را ارائه دهد. یکی از آنتی ویروس‌های شناخته شده برای این آنتی ویروس Avast One است که هم بصورت رایگان و هم پریمیوم آن در دسترس است.

امنیت ایمیل

بسیاری از هکرها بر این امر که شما توجه خاصی به محتوای واقعی ایمیل‌هایتان ندارید تکیه کرده‌اند و امید دارند که با باز کردن یک پیوست مخرب ارسال شده یا کلیک روی یک پیوند جعلی آلوده شوید. هرگز پیوست‌ها را باز نکنید و یا پیوندهای دریافتی از منابع ناشناخته و غیرمنتظره را نادیده بگیرید. همچنین همه‌ی شرکت‌ها باید در مورد یک راه حل محافظت از ایمیل فکر کنند.

محافظت از حساب های شخصی خود در برابر باج افزار Locky

هنگام محافظت از سیستم خود در برابر حملاتی مانند حملات ویروس Locky، مهم است بدانید فایروال شما به تنهایی قادر به محافظت از دستگاه‌های شما نیست. داشتن یک راه حل امنیتی همه جانبه در محل زندگی خود به همان اندازه روش‌های حفاظتی که در محل کار خود انجام می دهید مهم است.

سخن پایانی…

در دنیایی که امروز در آن زندگی می کنیم که بخش اعظمی از آن را فضای دیجیتال در بر گرفته است، شناختن و دانستن در مورد تهدیدهای بالقوه‌ای که در میان ما زندگی می‌کنند و هر لحظه ممکن است دچار ترس و استرس ما شوند بسیار مهم است. ما دیگر نمی توانیم دست روی دست بگذاریم و منتظر بمانیم تا اتفاقی بیفتد و سپس واکنش نشان دهیم.

ما باید فعالانه در مورد تهدیدهای اطرافمان بیاموزیم، در غیر این صورت هکرها و مهاجمان سایبری به طور دائم و پیوسته می‌توانند دستگاه‌های ما را به خطر بیاندازند و اطلاعات ما رمزگذاری کنند و یا از بین ببرند. و تفاوتی ندارد که در مورد چه نوع ویروسی سخن گفته می‌شود، باید هر لحظه مطمئن شوید که شما و شرکتتان اقدامات لازم را انجام داده‌اید.

باج افزار Petya(پیتا) یکی دیگر از انواع باج افزار است که در دسته‌ی باج افزار Crypto( رمزگذاری) قرار می‌گیرد که سروکارش با ویندوز مایکروسافت است و به آلوده کردن رایانه‌هایی می‌پردازد که از این ویندوز استفاده می‌کند.

ویروس باج افزار چیست؟

ویروس باج‌ افزار (ransomware) نوعی از بد‌‌افزارها هستند که کارشان حمله به سیستم‌های مختلفی مانند کامپیوتر، لپتاپ، موبایل و… است که باعث از بین رفتن دسترسی کاربر به اطلاعاتش از طریق “رمزگذاری داده‌های” او می‌شوند و برای اجازه‌ی دسترسی دوباره باج می‌خواهند. باج افزار پتیا (Petya)، بایگانی و یا فضای اصلی بوت را آلوده و باری را اجرایی می‌کند که به رمزگذاری داده‌های روی هارد دیسک بپردازد. قفل داده‌ها تنها در صورت در دست داشتن کلید رمزگذاری باز می‌شود؛ یعنی پس از پرداخت باج و تهیه کلید رمزگشایی.

تاریخچه باج افزار Petya(پتیا):

پتیا برای اولین بار در سال 2016 دیده شد، ولی در سال 2017 با یک حمله سایبری وسیع علیه اهداف اوکراینی، بسیار خبرساز شد. این ویروس به سرعت در سراسر جهان گسترش یافت، کسب و کارها را فلج کرد و باعث خسارت چند میلیارد دلاری به آن‌ها شد. نوع جدیدی از این باج افزار وجود دارد که به دلیل تفاوت‌های کلیدی با نسخه اصلی، «NotPetya» نامیده می‌شود. این گونه‌ی جدید بدون اینکه کاربر کاری انجام دهد، سیستم‌های جدید را آلوده می‌کند. این نوع رفتار بیشتر به “کرم باج”(ransomworm) شبیه است تا یک ویروس سنتی. NotPetya به طور محدود مورد استفاده قرار گرفت، اگرچه به سرعت رشد کرد و به یک تهدید گسترده تبدیل شد اما به خیلی محدود مورد استفاده قرار گرفت. در مورد این ویروس جالب است که حتی با وجود نمایش نشانه‌های معمول حمله باج‌افزار – مانند تقاضای باج‌افزار – این ویروس برای باج گیری ساخته نشده بود. بررسی این ویژگی‌ها باعث این نتیجه‌گیری از سوی محققان شد که این ویروس نه یک عمل و حمله‌ی سایبری بلکه یک حمله مخرب تحت حمایت دولت است.

_{اورژانس باج افزار گروهی از متشکل از متخصصان امینت سایبری در کنار شماست تا بتوانید بدون پرداخت باج، اطلاعاتتان را بصورت کامل بازیابی کنید و اقدام به از بین بردن باج افزار کنید} ❗❗❗

نحوه حذف باج افزار Petya (پتیا)

مانند اکثر ویروس‌های باج افزار، حذف کردن باج افزار Petya پس از انتشار و آلوده کردن سیستم به سختی انجام پذیر است. در بیشتر موارد، قربانی به امید اینکه کلید را به دست می‌آورد یا نه باید تصمیم بگیرد که باج را بپردازد یا اینکه همه چیز را از بین ببرد و به بازیابی اطلاعات از طریق نسخه بشتیبانی بپردازد. ما در اینجا به طور کلی میخواهیم به آنچه که باید قبل، در زمان وقوع و بعد از حمله انجام دهید را شرح خواهیم داد.👇

قبل از وقوع حمله

در اینجا نیز قابل بازگویی است که پیشگیری بهتر از درمان است. یعنی اینکه بهترین استراتژی امنیتی این است که به طور کامل باعث عدم ورود باج افزار به سیستم شویم. که البته این امر مستلزم برنامه ریزی قبل از وقوع بحران است.

• پشتیبان گیری و بازیابی: مهمترین بخش هر استراتژی امنیتی باج افزار، پشتیبان‌گیری پیوسته و منظم از داده‌های در دست است. به طور چشمگیری آمار نشان دهنده این است که  تعداد کمی از سازمان‌ها، پشتیبان‌گیری و بازیابی را انجام می‌دهند. هر دو بخش_پشتیبان گیری و بازیابی_ دارای اهمیت هستند. انجام بازیابی در بازه‌های زمانی مختلف به صورت تمرینی، تنها راهی است که می‌توان دانست که آیا طرح پشتیبان ما فعال است و کار می کند یا نه❗
• به روز رسانی و تعمیر مشکلات سیستم: سیستم عامل‌ها، نرم افزارهای امنیتی و پچ‌ها یا همان برنامه های تعمیرگر نارسایی های سیستمی، برای همه بخش های دستگاه باید به روز باشند.
• تعلیم و آموزش کاربران: آموزش و آگاهی کارکنان بسیار مهم است. کارمندان شما و یا تمام یوزرهای متصل به سیستم شما باید بدانند چه بکنند و چه نه، چگونه از باج افزار دوری کرده و یا چگونه آن را گزارش دهند. اگر کارمندان با درخواست باج از طرف باج‌افزاری را دریافت کردند، باید بدانند که سریعا آن را به تیم امنیتی گزارش داده – و هرگز و هرگز سعی در پرداخت باج نداشته باشند.
• سرمایه گذاری در راه حل‌های امنیتی برای حذف باج افزار Petya: حتی با انجام  بهترین آموزش برای کاربران نمی‌توان امید داشت که هیچ وقت به ویروس باج افزار مبتلا نمی‌شویم. راه‌حل‌های امنیتی پیشرفته‌ای برای ایمیل وجود دارد که سیستم را در برابر پیوست‌ و لینک‌های مخرب، اسناد و URLهای موجود در ایمیل‌ها که باعث نفوذ باج‌افزار می‌شوند، مقاوم و از آن محافظت می‌کند.

در طول حمله

• کامپیوتر را خاموش کنید و از شبکه جدا شوید: ویروس باج افزار Petya تقریبا یک ساعت پس از آلوده کردن سیستم و نمایش پیام مبنی بر اینکه سیستم فایل در حال تعمیر است، منتظر می‌ماند. کارشناسان می گویند با خاموش کردن دستگاه ممکن است برخی از فایل ها کدگذاری و یا آلوده نشوند. زمانی که کارمندان تقاضای باج افزار را ببینند یا متوجه شوند چیز غیر عادی‌ای رخ داده است، باید از شبکه جدا و سیستم آلوده را به بخش فناوری اطلاعات ببرند و فقط تیم امنیت فناوری اطلاعات باید به راه‌اندازی مجدد سیستم بپردازد.
• محدوده مشکل را بر اساس اطلاعات تهدید مشخص کنید: پاسخ شما به چندین عامل بستگی دارد:
  • نوع حمله
  • چه کسی در شبکه شما در معرض خطر است.
  • هر حساب در معرض خطر چه مجوزهای شبکه ای دارد.
• بازیابی از پشتیبان گیری: تنها راه برای بازیابی کامل از آلودگی باج افزار، بازیابی همه اطلاعات از پشتیبان است.

روی ابزارهای رمزگشایی رایگان باج افزار حساب نکنید❗

اکثر ابزارهای رایگان فقط برای یکی از انواع باج افزار یا نهایتا برای یک کمپین خاص حمله کارایی دارند. به همان طریقی که مهاجمان سایبری، باج افزار خود را به روز می‌کنند، ابزارهای رایگان قدیمی توان مقابله با آن‌ها را ندارند. آن‌ها کاراییشان را از دست داده و احتمالاً برای باج افزارهای جدید کار نکنند و آنها را از بین نبرند.

بعد از وقوع حمله

توصیه ما به شما این است که یک ارزیابی امنیتی کامل را برای یافتن تهدیدهایی که ممکن است هنوز در محیط شما باقی مانده باشند را انجام دهید. ابزارها و روش های امنیتی خود را به شکل دقیق و موشکافانه ای بررسی کنید که متوجه شوید کجا کم کاری کرده اید.

• پاک کردن: برخی از باج افزارها حاوی تهدیدات دیگر یا تروجان‌های به جا مانده‌ای هستند که می توانند در آینده به نوعی تهدید تبدیل شوند. در خیلی از موارد دیده شده است، محیط که قبلا آلوده شده بود خود به عنوان دری برای ورود مجدد باج افزار عمل کرده استبه دنبال تهدیدها و خطرات پنهانی باشید که ممکن است نادیده گرفته شده باشند.
• بررسی پس از حذف: آنچه که به نظرتان باعث این حملات شده است را بررسی کرده و زنجیره رویدادهایی و پاسختان نسبت به تهدید های بالقوه را مرور کنید. بدون اینکه کشف کنید که حمله باج افزار چگونه صورت گرفته است، هیچ راهی برای توقف حمله بعدی نخواهید داشت.
• ارزیابی آگاهی کاربران: مطمعا شوید که کارمندان، کارکنان یا اعضای مربوطه و متصل به وظیفه خود عمل به طور کامل عمل می کنند. چرا که یک کارمند مطلع و آگاه آخرین کسی است که قادر به دفاع از حملات است.
• آموزش کارکنان: یک برنامه منظم برای رسیدگی به آسیب پذیری کارکنان در برابر حملات سایبری بسیار کمک کننده است. در صورتی که در آینده حمله ای رخ داد، یک برنامه ارتباطی بحران بسازید.

راه حل های را دنبال کنید که با تهدیدات جدید و نوظهور سازگار باشند و به شما کمک کنند سریعتر به آلودگی ها پاسخ دهید.

باج افزار Thanos توسط GrujaRS که یک پژوهشگر مستقل امنیتی است شناخته شد و یکی دیگر از انواع باج افزار است که در دسته‌ی باج افزار Crypto( رمزگذاری) قرار می‌گیرد. این باج افزار با افزودن پسوند “locked” نام فایل‌ها را تغییر و پس از آن پیغام درخواست باج را نمایش می‌دهد. به عنوان مثال پس از رمزگذاری، “1.jpg” به “1.jpg.locked” و “jpg2” به “2.jpg.locked” و غیره تغییر پیدا می‌کنند. در مقاله پسوندهای باج افزار به طور مفصل به پسوندهای مورد استفاده باج افزار پرداخته‌ایم. باج افزار Thanos فایل متنی “HOW_TO_DECYPHER_FILES.txt” (پیام باج) را در پوشه‌هایی که رمزگذاری شده‌اند را ایجاد کرده و به نمایش در می‌آورد.

یادداشتی که باج افزار Thanos نمایش می‌دهد

پیام باج افزار تانوس(Thanos) بدین شرح است: همه فایل‌های سیستم شما رمزگذاری شده و کپی‌های shadow  از بین رفته‌اند. همچنین، تمام فایل‌های موجودی که در کامپیوتر شما ذخیره شده‌اند را دانلود کرده‌ایم و در صورت عدم پرداخت باج، تمامی اطلاعات در دست را پخش خواهیم کرد.

متأسفانه، قربانیان حملات باج‌ گیر تانوس (Thanos) قادر نخواهند بود که فایل‌های خود را بدون ابزارهایی که مهاجمان و توسعه دهندگان این باج افزار در دست دارند را رمزگشایی کنند. بدین وسیله هیچ ابزاری از طرف شخص دیگری وجود ندارد که اطلاعاتی را که توسط باج افزار Thanos رمزگذاری شده را باز کند. تنها راه بازیابی فایل ها، از طریق پشتیبان است. و هیچوقت فراموش نکنید که به این مجرمان هرگز نباید اعتماد کرد؛ آنها اگر حتی قربانیان باج را پرداخت کنند هیچ نرم افزار یا کلید رمزگشایی را ارسال نخواهند کرد.

در تصویر زیر فایل‌های رمزگذاری شده توسط باج افزار تانوس (Thanos) را مشاهده می‌کنید (پسوند. locked):

یکی از پیام های باج افزار Thanos  که کاربران را تشویق به پرداخت باج برای رمزگشایی می‌کند.

خلاصه اطلاعاتی از باج افزار تانوس (Thanos)

نام	باج افزار تانوس (Thanos)
نوع تهدید	باج افزار، ویروس رمزنگاری، قفل فایل ها
پسوند فایل های رمزگذاری شده	locked
پیام درخواست باج	HOW_TO_DECYPHER_FILES.txt
نام های تشخیص	AVG (FileRepMalware), BitDefender (Gen:Variant.MSILHeracles.3694), ESET-NOD32 (A Variant Of MSIL/Filecoder.Thanos.A), Kaspersky (HEUR:Trojan-Ransom.Win32.Generic), Microsoft (Ransom:MSIL/Filecoder.DL!MTB)
نشانه‌ها	فایل‌های ذخیره شده در سیستم شما قفل شده‌اند، فایل‌های کاربردی قبلی پسوندشان عوض شده است،(مثلا my.docx.locked). پیغام درخواست باج روی دسکتاپ سیستم شما ظاهر می‌شود. مهاجمان برای باز کردن قفل فایل‌های شما، تقاضای باج (معمولاً به بیت کوین) دارند
روش های پخش ویروس	لینک‌های ایمیل آلوده (ماکروها)، وب سایت‌های تورنت(Torrent )، تبلیغات مخرب و آسیب‌زا.
آسیب	همه فایل‌ها و اطلاعات رمزگذاری شده‌اند و بدون اینکه باج را پرداخت باز نمی‌شوند.

حذف باج افزار Thanos

در بالا هم گفتیم که روشی دستی برای حذف این باج افزار وجود ندارد و شما یا می‌توانید از طریق پشتیبانی و یا پرداخت باج که اکیدا توصیه نمی‌شود به نتیجه برسید، اما اگر رایانه شما قبلاً به باج افزار Thanos آلوده شده است و با پرداخت باج و یا اینکه از پشتیبان استفاده کرده‌اید، توصیه می‌کنیم یک آنتی ویروس یا آنتی باج افزار را از Combo Cleaner Antivirus  بر روی ویندوز خود اجرا کنید تا به طور خودکار این باج افزار را از بین ببرید.

سوالات رایج:

کامپیوتر من از چه طریقی هک شده و مهاجمان چگونه فایل‌های من را رمزگذاری کرده‌اند؟

اغلب موارد، باج‌افزار فایل‌ها را از طریق لینک‌های آسیب دیده و خراب یا لینک‌های دریافتی از طریق ایمیل، یا صفحات دانلود نرم‌افزار کرک شده رمزگذاری می‌کند. مجرمان از روش های گوناگونی برای فریب کاربران استفاده می‌کنند.

چگونه فایل های رمزگذاری شده توسط باج افزار Thanos را باز کنیم؟

بدون رمزگشایی فایل ها  نمی توان به آن ها دسترسی  داشت.

کجا باید به دنبال ابزارهای رمزگشایی رایگان برای باج افزار Thanos بگردم؟

در صورت حمله باج افزار، باید وب سایت No More Ransom را بررسی کنید

آیا تیم اورژانس باج افزار می‌تواند این باج افزار را حذف کند؟

پاسخ ما به شما بله است.

اورژانس باج افزار با سابقه بیش از ده سال فعالیت، متشکل از گروهی از متخصصان امینت سایبری است. شما با کمک این تیم متخصص می‌توانید بدون پرداخت باج، اطلاعاتتان را بصورت کامل بازیابی کنید و به پاکسازی باج افزار بپردازید.

باج افزار GandCrab(گندکرب) یکی دیگر از انواع باج افزار است که در دسته RaaS (باج افزار به عنوان یک سرویس) قرار دارد. این باج افزار در سال 2018 توسط کارشناسان شرکت امنیت سایبری LMNTRIX کشف شد. گردانندگان این نوع باج‌افزار که حتی به باج‌افزار چابک معروف شده، با انتشار بدافزاری که تعداد کمی از آن ساخته شده بود شروع به کار کردند و روز به روز روند کار رو تسریع و آن را بهبود می‌دادند. تبلیغ و ترویج این باج افزار معمولا بین هکرهای روسی در دارک وب انجام و در یک برنامه وابسته اجرا می شود.

اورژانس باج‌افزار که از گروهی از متخصصان امنیت دیجیتال تشکیل شده است، در تلاش است که راهکارهایی برای جلوگیری از آلودگی، شکستن قفل و بازیابی اطلاعات دیتابیس‌های آلوده به باج‌افزار را با جدیدترین و بهترین متدهای روز جهان در اختیار شما قرار دهد.

باج افزار GandCrab چگونه کار می‌کند؟

برای توزیع این باج افزار از کیت‌ها یا بسته‌های بهره‌برداری RIG و GrandSoft از راه ارسال ایمیل‌های فیشینگ استفاده می‌شود. در اولین ماه شروع کار این باج گیر، آلوده‌شدن حدود 50000 هزار رایانه تخمین زده شد، که بیشتر این قربانیان اروپایی بودند و از هر قربانی چیزی حدود 400 تا 700،000 دلار ارز دیجیتال DASH باج خواسته شده بود.

باج افزار GandCrab و Vidar – یک ترکیب بدافزاری خطرناک

تقریباً یک سال پس از کشف باج افزار GandCrab، یک حمله ترکیبی از GandCrab و Vidar، شناسایی شد. Vidar طیف وسیع و زیادی از داده‌ها، از جمله گذرواژه‌ها، اسناد، اسکرین شات‌ها، اطلاعات احراز هویت دو مرحله ای ذخیره شده و کیف پول‌های ارزهای دیجیتال را برداشته و آن‌ها را به سرور C&C خود ارسال کرده بود. مرحله بعد، GandCrab رمزگذاری سیستم آلوده را شروع کرد و درخواست باج را برای قربانیان به نمایش گذاشته بود. این باج افزار برای توزیع این ترکیب از  Fallout Exploit Kit استفاده کرده بود.

مهاجمان در اینجا حتی قبل از استقرار باج افزار به اجرای یک  infostealer می‌پردازند، که حتی اگر قربانی از پرداخت باج امتناع کند، باعث تضمین حداقل درآمدی برای مهاجمان می‌شود. بدین معنا که مجرمان سایبری اگر هیچ استفاده‌ای هم از اطلاعات نکنند، به راحتی می‌توانند آن را در بازارهای زیرزمینی بفروشند.

تا چه حد باید نگران باج افزار GandCrab(گندکرب) باشیم؟

نسخه‌های اولیه این باج گیر کم‌خطر یا بعضا بی‌خطر بودند، و در محیط‌هایی کار می‌کردند که امنیت آن‌طور که باید وجود نداشت. اما الان هر کسی که هنوز از ویندوز XP یا ویندوز 2003 استفاده می‌کند در معرض خطر این باج افزار قرار دارد. در حالی که پچ مایکروسافت برای سیستم‌عامل‌های قدیمی‌تر (به استثنای ویندوز 2000) در دسترس است. واین نکته هم نیز مهم است که بسیاری از راه‌حل‌های AV خیلی وقت است از این سیستم‌عامل‌های قدیمی‌تر پشتیبانی نمی‌کنند، و آنها را تبدیل به اهداف اصلی این باج‌افزار جدید و ارتقا یافته می‌کند.

مطالب مرتبط:حذف باج افزار، رمزگشایی داده‌ها و بازیابی اطلاعات

روش محافظت در برابر باج افزار GandCrab

برای این کار فقط کافیست مراحل زیر را به درستی اجرا کنید و بعد از آن نگران این ویروس نباشید.

_از فایل های خود نسخه پشتیبان تهیه کنید

با پشتیبان‌گیری منظم، ویروس باج‌افزار خیلی کم‌خطر و بی‌آزار می‌شود. خیلی راحت سیستم خود را پاک کرده و بازیابی کنید و خیلی راحت ادامه دهید.

_مراقب پیوست‌ها و لینک‌های موجود در ایمیل باشید

اگر ایمیلی از طرف یک دوست یا هر شخص دیگری دریافت می‌کنید و به نظرتون ظاهر عجیبی داشت، مجددا آن را بررسی کنید. اگر این ایمیل از طرف شرکتی است که با آن کار می‌کنید، سعی کنید آن‌ را به وب سایت شرکت هدایت کنید و در صورت امکان، از برنامه‌های ضد بدافزار استفاده کنید.

_به طور مرتب پچ و بروزرسانی کنید

به روز نگه داشتن سیستم، مهاجمان را از سوء استفاده برای دسترسی غیرمجاز به رایانه شما جلوگیری می‌کند.

_دسترسی از راه دور را محدود کنید

بهترین راه برای محافظت در برابر حمله پروتکل دسکتاپ از راه دور (RDP) محدود کردن دسترسی آن است. از خود بپرسید این سوال واقعا پرسیدنی است که آیا واقعاً نیاز به دسترسی از راه دور به این سیستم وجود دارد؟ اگر بله که تا حد ممکن دسترسی را فقط به کاربرانی که واقعا نیاز دارند بدهید و بقیه دسترسی ها را مسدود و محدود کنید. روش بهتر، پیاده سازی یک شبکه خصوصی مجازی (VPN) برای کاربران است، این کار باعث خنثی شدن هگونه احتمال حمله RDP می‌شود.

_از رمزهای عبور قوی استفاده کنید

از رمزهای عبور یکسان در سایت‌ها استفاده نکنید. در صورتی که یک سیستم کاملاً نیاز به دسترسی از راه دور داشته باشد، از یک رمز عبور مناسب با احراز هویت چند عاملی استفاده کنید. شاید برایتان مسئله باشد که به خاطر سپردن تمام رمزهای عبور برای همه سایت‌ها و برنامه‌های مختلف کار سختی است ؛ اما جای نگرانی نیست و به راحتی میتوان از یکی از ابزارهای مدیریت رمز عبور استفاده کنید.

_ از نرم افزارهای امنیت سایبری استفاده کنید

به عنوان مثال، Malwarebytes Premium ویروس‌ها، تروجان‌ها، دانلودهای مخرب، لینک‌های بد و وب‌سایت‌های جعلی را مسدود می‌کند و با اینکار از ورود باج‌افزارهایی مانند GandCrab و سایر آلودگی‌های بدافزار جلوگیری می‌کند.

نحوه حذف باج افزار GandCrab

اگر جزء قربانیان قبلی  GandCrab بوده‌اید، احتمال زیاد نیازی به پرداخت باج نداشته باشید. در غیر این صورت، این مراحل را باید برای حذف GandCrab از رایانه شخصی خود انجام دهید.

1.نمایش پسوند فایل در ویندوز

 به طور پیش فرض، مایکروسافت ویندوز پسوندهای فایل (مانند .exe و .doc) را پنهان می کند و قبل از اینکه بتوانید مراحل بعدی را اجرا کنید ، باید پسوندها ببینید و آن‌ها را از حالت پنهان بیرون بیاورید. برای این‌کار، File Explorer را باز کرده، روی تب View کلیک کنید، و در آخر File Name Extensions را علامت بزنید. در اینجا شناخت درست و دقیق پسوندهای باج افزار و انواع مرتبط با آن‌ها ضروری است.

2.نسخه باج افزار GandCrab را تعیین کنید.

 اکنون که پسوند فایل‌ها را می‌ببینید، می‌توانید با تأیید پسوندهای فایل‌های رمزگذاری‌شده، متوجه شوید که کدام نسخه از GandCrab را سیستم شما را آلوده کرده است.

• نسخه 1 GandCrab پسوند gdcb را دارد
• نسخه 2 و 3  GandCrab پسوند crab را دارد.
• نسخه 4 GandCrab پسوند krab را دارد.
• نسخه 5 GandCrab یک پسوند تصادفی 5 حرفی را نشان می‌دهد.

3.رمزگشا(decryptor) را دانلود کنید.

 یک رمزگشای رایگان GandCrab برای GandCrab(گندکرب) نسخه های 1، 4، 5.01 و 5.2 وجود دارد. اگر پسوند فایل شما با این نسخه های ذکر شده مطابقت دارد، خیلی نگران نباشید و می‌توانید از این رمزگشا استفاده کنید. اما متأسفانه، هیچ ابزار رمزگشای رایگان برای GandCrab نسخه 2 و نسخه 3 وجود ندارد.

4.باج را نپردازید

 اگر به GandCrab نسخه 2 یا نسخه 3 آلوده شده اید، ممکن است به پرداخت باج ترغیب شوید اما این کار را نکنید. با فرض اینکه سرورهای GandCrab هنوز فعال هستند، FBI، Europol و INTERPOL همگی توصیه به عدم پرداخت باج دارند. چرا که هیچ تضمینی برای بازگرداندن فایل‌های خود ندارید و این کار تنها باعث میشه شما به طعمه ای خوب برای حملات بعدی باج افزار تبدیل بشید.

سخن پایانی…

در این مقاله سعی بر این بود که باج افزار GandCrab(گندکرب) را به طور کامل معرفی و نحوه پیشروی آن، روش مقابله با آن و همچنین حذف آن بصورت دستی را ارائه دهیم و امیدواریم که این برایتان مفید واقع شود و بتوانید در زمان وقوع حمله این باج افزار به درستی با آن مقابله کنید.