آشنایی با انواع باج افزار ها و روش برخورد با آن ها

آلوده شدن به باج‌افزار می‌تواند خیلی ترسناک باشد. اگر یادداشتی روی صفحه‌ی کامپیوتر شما ظاهر شد که اعلام می‌کرد دستگاه‌تان قفل یا فایل‌هایتان رمزگذاری شده، نترسید. در عوض، یک نفس عمیق بکشید، آرام بنشینید و گزینه‌های موجود را بررسی کنید.

گویا آی تی: قبل از این که به این فکر کنید که پول هکرها را بدهید یا نه، برای بازپس‌گیری کنترل سیستم و فایل‌های خود چند راه پیش رو دارید.

ببینید این باج‌افزار از چه نوعی است

ابتدا باید ببینید به چه نوع باج‌افزاری آلوده شده‌اید؛ آیا این یک باج‌افزار رمزگذاری است، یا باج‌افزاری صفحه قفل کن می‌باشد، شاید هم بدافزار دیگری است که تظاهر به باج‌افزار بودن می‌کند. ببینید امکان دسترسی به فایل‌ها و پوشه‌ها را دارید یا نه.

اگر نمی‌توانید یادداشت باج‌خواهانه‌ی موجود بر روی صفحه را رد کنید، احتمالاً به یک باج‌افزار صفحه قفل کن آلوده شده‌اید که البته گونه‌ی خیلی بدی هم نیست. اگر یادداشتی می‌بینید که ادعا می‌کند از طرف پلیس، FBI یا IRS است و می‌گوید از شما مدارکی دال بر تماشای محتوای مستهجن یا فرار از پرداخت مالیات دارد و به خاطر آن باید جریمه شوید، این بدافزار هم احتمالاً نوعی باج‌افزار صفحه قفل کن است.

اگر می‌توانید وارد پوشه‌ها و برنامه‌ها شوید ولی نمی‌توانید فایل‌های معمولی آفیس، فیلم‌ها، تصاویر یا ایمیل‌های خود را باز کنید، باج‌افزار مذکور از نوع رمزگذاری است که نسبت به مدل قبلی خیلی بدتر است.

اگر می‌توانید در سیستم بچرخید و اکثر فایل‌ها را مشاهده کنید، احتمالاً با بدافزاری مواجه هستید که به باج‌افزار بودن تظاهر می‌کند تا شما را به پرداخت پول ترغیب کند. پس می‌توانید یادداشت باج‌خواهانه‌ی آن را نادیده بگیرید. سعی کنید مرورگر خود را ببندید. اگر نمی‌توانید دکمه‌های ترکیبی Control + Shift + Esc را به طور همزمان فشار دهید تا پنجره‌ی Task Manager باز شود، سپس به زبانه‌ی Application بروید، روی برنامه‌ی مرورگر خود کلیک راست کنید و دکمه‌ی End Task را انتخاب نمایید.

آیا باید باج بدهیم؟

خیلی از متخصصان امنیتی، مثل خود مایکروسافت، انجام این کار را توصیه نمی‌کنند. هیچ تضمینی وجود ندارد که در صورت پرداخت پول به فایل‌هایتان دسترسی پیدا کنید. علاوه بر این پرداخت پول هکرها را به انجام دوباره‌ی این حملات تشویق می‌کند. (حداقل بابت باج‌افزارهای صفحه قفل کن پول ندهید، چون تقریباً همیشه می‌توانید این‌ها را به نوعی دور بزنید.)

با این حال، اگر می‌خواهید اسناد قانونی، پزشکی، شرکتی، عکس‌های خانوادگی یا سایر فایل‌های مهم خود را برگردانید، پرداخت ۳۰۰ دلار یا مبلغی در همین حد گزینه‌ی معقولی به حساب می‌آید. اکثر مجرمان باج‌افزاری هم معمولاً بعد از پرداخت پول فایل‌های شما را آزاد می‌کنند. بنابراین ما درباره‌ی اخلاقی بودن یا نبودن پرداخت این باج‌ها موضعی نمی‌گیریم و توصیه‌ای نمی‌کنیم.

با باج‌افزارهای رمزگذاری چگونه برخورد کنیم؟

با توجه به این که باج‌افزارهای رمزگذاری رایج‌ترین و آسیب‌زاترین نوع باج‌افزارها هستند، ابتدا به بررسی آن‌ها می‌پردازیم. مراحل زیر را به ترتیب انجام دهید، حتی اگر قبلاً از فایل‌های خود پشتیبان تهیه کرده‌اید.

۱. دستگاه خود را از سایر دستگاه‌ها و درایوهای اکسترنال جدا کنید. اگر به شبکه وصل هستید از آن قطع شوید. نباید بگذارید باج‌افزار به سایر دستگاه‌های موجود در شبکه یا سرویس‌های همگام‌سازی فایل مثل دراپ‌باکس راه پیدا کند.

۲. با استفاده از موبایل یا دوربین از این یادداشت باج‌خواهانه عکس بگیرید. اگر بعداً بخواهید از مراجع قضایی علیه سازنده‌ی باج‌افزار اقدام کنید به این عکس نیاز خواهید داشت.

۳. برای پاک کردن باج‌افزار از آنتی ویروس یا ضد بدافزار استفاده کنید، ولی فقط در صورتی این روش را به کار ببرید که مطمئن شده باشید که نمی‌خواهید باج را بپردازید. (در غیر این صورت، تا بازیابی شدن فایل‌ها صبر کنید.) برای انجام این کار احتمالاً لازم است وارد حالت Safe Mode شوید.

پاک کردن باج‌افزار باعث باز شدن قفل فایل‌ها نمی‌شود، و حتی ممکن است باعث شود شانس بازیابی فایل‌ها را از دست بدهید. اما این کار به شما اجازه می‌دهد بدون ریسک قفل شدن فایل‌های جدید یا ایجاد اخلال در روند بازیابی، قدم‌های بعدی را انجام دهید.

۴. ببینید امکان بازیابی فایل‌های حذف شده وجود دارد یا نه. بسیاری از باج‌افزارها ابتدا از فایل‌ّهای شما کپی می‌گیرند، سپس کپی آن‌ها را رمزگذاری و در نهایت نسخه‌ی اصلی فایل‌ها را پاک می‌کنند. خوشبختانه، غالباً با کمک ابزارهای رایگانی مثل ShadowExplorer یا موارد پولی مثل Data Recovery Download، به سادگی می‌توانید فایل‌های خود را بازیابی کنید.

۵. ببینید دقیقاً با چه نوع باج‌افزار رمزگذاری مواجه هستید. اگر این باج‌افزار نامی از خود نشان نمی‌دهد، از ابزار آنلاین Crypto Sheriff یا ID Ransomware استفاده کنید. با آپلود فایل‌های قفل شده در این ابزارها می‌توانید بفهمید که فایل‌ها قابل بازیابی هستند یا نه. (در بسیاری از موارد این امکان وجود ندارد.)

۶. ببینید ابزاری برای رمزگشایی فایل‌ها وجود دارد یا نه. اگر می‌دانید این باج‌افزار از چه نوعی است، با مراجعه به لیست ابزارهای رمزگشایی وبسایت No More Ransom ببینید ابزاری برای شما وجود دارد یا نه. (دو گزینه‌ی بالای لیست یعنی Rakhni و Rannoh، توانایی رمزگشایی چندین مدل از باج‌افزارها را دارند.) این لیست بر اساس حروف الفبا مرتب نشده و رمزگشاهای جدید به پایین آن اضافه می‌شود.

اگر ابزار مورد نظر خود را پیدا نمی‌کنید، به سایر سایت‌هایی که ابزارهای رمزگشا را لیست کرده‌اند مراجعه نمایید:

 

https://fightransomware.com/ransomware-resources/breaking-free-list-ransomware-decryption-tools-keys

https://heimdalsecurity.com/blog/ransomware-decryption-tools

https://www.watchpointdata.com/ransomware-decryptors

 

علاوه بر این می‌توانید به وبسایت آنتی ویروس‌های مختلف بروید و از صفحه‌ی مربوط به رمزگشاها به دنبال ابزارهای جدیدی که هنوز به لیست‌های بالا اضافه نشده‌اند بگردید:

Avast: https://www.avast.com/ransomware-decryption-tools

AVG: http://www.avg.com/us-en/ransomware-decryption-tools

Bitdefender: https://www.bitdefender.com/free-virus-removal

Emsisoft: https://decrypter.emsisoft.com

Kaspersky Lab: https://noransom.kaspersky.com

 

McAfee:

 

https://www.mcafee.com/us/downloads/free-tools/shadedecrypt.aspx

https://www.mcafee.com/us/downloads/free-tools/tesladecrypt.aspx

https://www.mcafee.com/us/downloads/free-tools/wildfiredecrypt.aspx

Trend Micro: https://success.trendmicro.com/solution/1114221-downloading-and-using-the-trend-micro-ransomware-file-decryptor

 

۷. فایل‌های خود را از روی نسخه‌ی پشتیبان بازیابی کنید. اگر به طور مرتب از دستگاه خود پشتیبان گرفته باشید، می‌توانید فایل‌ها را از روی یکی از این پشتیبان‌ها برگردانید.

با این حال، باید مطمئن شوید که فایل‌های پشتیبان نیز رمزگذاری نشده باشد. پس درایو پشتیبان خود را به یک دستگاه دیگر وصل کنید یا وارد سرویس پشتیبان‌گیری آنلاین خود شوید تا ببینید فایل‌ها در چه وضعیتی قرار دارند. (علاوه بر این باید مطمئن شوید که رسانه‌ی نصب و/یا کلیدهای لایسنس اپلیکیشن‌های شخص ثالث را دارید.)

اگر همه چیز درست است، باید درایو را کاملاً پاک کرده، سیستم عامل را از نو نصب و سپس فایل‌ها را از روی نسخه‌ی پشتیبان بازیابی نمایید.

البته بدون پاک کردن درایو و نصب مجدد سیستم عامل هم می‌توانید صرفاً فایل‌ها را از درایو پشتیبان برگردانید، ولی این کار ایده‌ی چندان خوبی نیست، چون ممکن است حتی بعد از اسکن کامل آنتی ویروس آثار باج‌افزار بر روی دستگاه باقی بماند.

اگر این روش‌ها جواب نداد، بالاخره باید تصمیم نهایی را بگیرید: یا باج را بپردازید، یا از خیر فایل‌ها بگذرید.

۸. اگر قصد پرداخت باج را دارید، ابتدا مذاکره کنید. در خیلی از یادداشت‌های باج‌افزاری اطلاعات مربوط به نحوه‌ی برقراری تماس با صاحب بدافزار قرار داده شده است. اگر چنین بود، با آن‌ها تماس بگیرید و کمی بر سر قیمت چانه بزنید. این شیوه در اغلب اوقات موثر واقع می‌شود.

بعد از این که بر سر قیمت به توافق رسیدید، مراحل مربوط به پرداخت را انجام دهید. هیچ تضمینی مبنی بر برگشت فایل‌های شما وجود ندارد، اما باج‌افزارهای حرفه‌ای و پیشرفته معمولاً بر سر حرف خود می‌مانند.

۹. از خیر فایل‌ها بگذرید و سیستم عامل را مجدداً نصب کنید. اگر بیخیال فایل‌ها شدید، باید درایو را کاملاً پاک کنید و بعد سیستم عامل را دوباره نصب نمایید. در بسیاری از دستگاه‌ها می‌توان ویندوز ۱۰ را Factory Reset کرد، ولی در سایر سیستم عامل‌ها به دیسک نصب ویندوز یا ایمیجی که بر روی USB ریخته شده باشد نیاز دارید.

۱۰. به پلیس شکایت کنید. این کار در ظاهر بی‌فایده به نظر می‌رسد، اما اگر می‌خواهید از خدمات بیمه استفاده کنید لازم است که شکایت رسمی خود را ثبت نمایید. با این کار به مقامات قضایی نیز کمک می‌کنید تا اطلاعات بیشتری درباره‌ی نرخ آلودگی و میزان گستردگی آن داشته باشند.

نکته‌ای ویژه در مورد کرم باج‌افزار Petya

 

کرم باج‌افزار Petya که در ماه ژوئن ۲۰۱۷ در سطح گسترده‌ای اروپا را تحت تاثیر قرار داد مورد عجیبی بود. این بدافزار موجب می‌شود کامپیوتر Restart شود و بعد سعی می‌کند Master Boot Record ویندوز را بازنویسی کند. اگر بتوانید مانع از ریبوت شدن کامپیوتر شوید، شاید بتوانید از این اتفاق جلوگیری کنید.

اگر Master Boot Record بازنویسی شود، متن باج‌خواهانه‌ی زیر را می‌بینید:

ولی ناامید نشوید. ایجاد Master Boot Record جدید خیلی دشوار نیست. اگر دیسک نصب ویندوز را دارید، برای انجام این کار می‌توانید از آموزش زیر استفاده کنید:

http://neosmart.net/wiki/fix-mbr/

در غیر این صورت، کامپیوتر خود را نزد یک تعمیرکار معتبر ببرید و از او بخواهید تا برایتان یک Master Boot Record جدید بسازد.

اما Petya یک ماژول پشتیبانی دارد که در صورت عدم موفقیت در بازنویسی Master Boot Record فایل‌های شما را قفل می‌کند. اگر چنین اتفاقی برای دستگاه شما رخ داد، دستورالعمل عادی مواجهه با باج‌افزار را دنبال کنید.

هر کاری که می‌خواهید بکنید، ولی با دادن باج به Petya خودتان را به زحمت نیندازید. این بدافزار طوری نوشته شده که اطلاعات رمزگذاری شده‌ی آن قابل بازیابی نیست. علاوه بر این، تنها آدرس ایمیلی که برای ارتباط در صفحه‌ی باج‌خواهی این برنامه قرار داده شده توسط سرویس‌دهنده‌ی آن سرویس ایمیلی غیرفعال شده است.

با باج‌افزارهای صفحه قفل کن چگونه برخورد کنیم؟

باج‌افزارهای صفحه قفل کن به اندازه‌ی گذشته شایع نیستند، ولی هنوز هم گاهی اوقات خودی نشان می‌دهند. برای حذف این بدافزارها مراحل زیر را دنبال کنید:

۱. دستگاه خود را از سایر دستگاه‌ها و درایوهای اکسترنال جدا کنید. اگر به شبکه وصل هستید از آن قطع شوید. نباید بگذارید باج‌افزار به سایر دستگاه‌های موجود در شبکه یا سرویس‌های همگام‌سازی فایل مثل دراپ‌باکس راه پیدا کند.

۲. با استفاده از موبایل یا دوربین از این یادداشت باج‌خواهانه عکس بگیرید. اگر بعداً بخواهید از مراجع قضایی علیه سازنده‌ی باج‌افزار اقدام کنید به این عکس نیاز خواهید داشت.

۳. کامپیوتر را به Safe Mode ببرید. بعد از این که دستگاه Restart شد، نرم‌افزار آنتی ویروس خود را اجرا کنید تا باج‌افزار حذف شود.

۴. اگر Safe Mode کار نمی‌کند، از قابلیت System Restore استفاده کنید. اکثر دستگاه‌های ویندوزی امکان بازگشت به یک وضعیت پایدار قبلی را در اختیار شما می‌گذارند.

در ویندوز ۷، کامپیوتر را مجدداً راه‌اندازی کرده و چندین بار کلید F8 را فشار دهید تا دستگاه وارد منوی Advanced Boot Options شود. گزینه‌ی Repair Your Computer را انتخاب کنید، گذرواژه‌ی خود را وارد نمایید، و System Restore را انتخاب کنید.

در ویندوز ۸، ۸.۱ یا ۱۰، کامپیوتر را مجدداً راه‌اندازی کرده و کلید Shift را نگه دارید تا وارد صفحه‌ی بازیابی شوید. حالا Troubleshoot، سپس Advanced Options و در نهایت System Restore را انتخاب کنید.

اگر نمی‌توانید وارد صفحات بازیابی شوید ولی دیسک نصب ویندوز خود را در اختیار دارید، دستگاه را با کمک آن ریبوت کنید و بعد به جای نصب مجدد سیستم عامل، گزینه‌ی Repair Your Computer را انتخاب نمایید.

۵. برای پاک‌سازی سیستم یک بار دیگر نرم‌افزار آنتی ویروس را اجرا کنید.

۶. به پلیس شکایت کنید. این کار در ظاهر بی‌فایده به نظر می‌رسد، اما اگر می‌خواهید از خدمات بیمه استفاده کنید لازم است که شکایت رسمی خود را ثبت نمایید. با این کار به مقامات قضایی نیز کمک می‌کنید تا اطلاعات بیشتری درباره‌ی نرخ آلودگی و میزان گستردگی آن داشته باشند.

منبع