بازیابی اطلاعات هاردی ویروسی یا باج افزار گرفته

ویروس باج افزار چگونه کار میکند؟

تعدادی از وکتورها ransomware می توانند به یک کامپیوتر دسترسی داشته باشند.
یکی از رایج ترین سیستم های تحویل، هرزنامه فیشینگ است که پیغامی است
که در یک ایمیل به قربانی می رسد و به عنوان یک پرونده ای که باید به آن اعتماد کند، پنهان می شود.
هنگامی که آنها دریافت می شوند و باز می شوند، می توانند کامپیوتر قربانی را به دست بیاورند،
به خصوص که تولید کنندگان ransomware یک ابزار مهندسی اجتماعی ساخت اند که به طور ناخودآگاه
شما به آنها توانایی دسترسی به فایل ها را به عنوان یک admin میدهید.

برخی دیگر از فرم های تهاجمی تر ransomware، مانند NotPetya، از سوراخ های امنیتی استفاده می کنند
تا بدون نیاز به فریب کاربران کامپیوتر ها را آلوده کنند.

چندین کار هست که بد افزار ها انجام می دهند که یکی از آن کار ها این است که کامپیوتر قربانی را تصاحب میکند
ولی اغلب این باج افزار ها یا Ransomware همه یا تعدادی از  فایل های قربانی را کد گذاری میکند.
موسسه Infosec نگاهی عمیق به چگونگی کار این باج افزار ها و یا افراد پرداخته است.
مهم ترین چیزی که در مورد بازگشت اینگونه اطلاعات است این است که در آخر از شما یک رمز میخواهد
که attacker فقط آنرا دارد.و در اینجا یک پیام به قربانی ارسال میشود که تنها با یک bitcoin غیر قابل پیش بینی
قایل برگشت است.

در برخی از انواع نرم افزارهای مخرب، مهاجم ممکن است ادعا کند
که اداره اجرای قانون کامپیوتر را به دلیل حضور پورنوگرافی یا نرم افزارهای جاسوسی
بر روی آن متوقف کرده و خواستار پرداخت «جریمه» شده است.

همچنین یک لاین با نام leakware یا doxware نامیده می شود
که در آن مهاجم تهدید می کند که اطلاعات حساس بر روی هارد دیسک قربانی را پخش میکند، مگر اینکه پرداخت شود.

ویروس باج افزار چیست؟
ویروس باج گیر لاکی (Locky) یکی از مخرب ترین ویروس های مالی به شمار می آید. که کار اصلی آن رمزگذاری, قفل کردن اطلاعات و فایل های کامپیوتر سپس تقاضای پرداخت براخت باج برای باز کردن رمز است. این ویروس به نحوه کار می کند که تمامی اطلاعات کامپیوتر را مختل می کند. مثلا درایو ها را قفل می کند. یا با اسکن کردن سیستم فایل هایی که بیشتر سر و کار با آنها را دارید.مخفی می کند. یا اینکه کلا کامپیوتر قربانی را قفل می کند. سپس از قربانی می خواهد که مبلغی را به عنوان باج پرداخت کند. تا کامپیوتر و اطلاعات آن آزاد کرد.

این ویروس به حدی مخرب است. که پس از ورود به سیستم و آلودکردن فایل کارایی کامپیوتر را به طور کامل مختل می کند. بعد از آلوده شدن سیستم کامپیوتری کاربر به ویروس Ransomware یک پنجره پاپ آپ بر روی صفحه کامپیوتر قربانی فعال می شود. و یک پیغام و اخطار بر روی صفحه کامپیوتر فعال می شود.” کامپیوتر یا فایل های شما باز نخواهد شد. مگر اینکه مبلغ مثلا ۵۰ دلار برای باز کردن آن پرداخت کنید. یک لینک هم زیر پیغام گذاشته می شود و از شما می خواهد برای پرداخت مبلغ ذکر شده اقدام کنید.

رمزنگاری مورد استفاده این ویروس ترکیبی از دو رمزنگاری بسیار پیچیده RSA و AES-128 می‌باشد که هر دو واقعاً از رمزنگاری‌های قوی هستند. در حال حاضر امکان شکستن سریع این نوع رمزنگاری بدون داشتن کلید رمز میسر نیست.

راه های نفوذ باج افزار (Ransomware ) و ویروس لاکی به شبکه کامپیوتر یا کامپیوتر شخصی:

ویروس باج افزار لاکی به سراغ سیستم های متصل به اینترنت می رود. سیستم هایی که بتوان از راه دور آنها را کنترل کنند. به محض ورود این ویروس به سیستم قربان و اتصال آن به اینترنت, عملیات مورد نظر مثل آلود کردن فایل شامل مخفی کردن, رمزگذاری فایل و یا قفل کردن کامل سیستم را انجام می دهد.

ویروس لاکی نه تنها فایل موجود در درایو C یا درایو ویندوز را آلود و رمزگذاری می کند. بلکه قادر است تمامی فایل های هارد دیسک, و سایر حافظه های متصل به کامپیوتر مانند فلش مموری و هارد اکسترنال را نیز رمزگذاری کند.

باج افزار از راه های زیر به سیستم نفوذ می کند.

باز کردن یک ایمیل حاوی ضمیمه مخرب و آلوده
کلیک روی لینک های ویران گری که در ایمیل، شبکه های اجتماعی یا سایت ها قرار دارد.
بازدید از سایت های مشکوک که اغلب دارای ماهیت مستهجن هستند.
باز کردن فایل های آلوده به ویروسس های باجگیر Ransomware
باز کردن ماکرو های فاسد در اسناد برنامه ( مثل واژه پرداز ها و صفحه کستر ها)
اتصال به دستگاه های جانبی usb مثلMemory، هارد اکسترنال، Mp3 Player و …

راه های نفوذ باج افزار لاکی:
ویروس لاکی از طریق ایمیل و یک فایل پیوست شده به سیستم نفوذ می کند. به ویژه پیوستی که از نوع فایل ورد (word) باشد. این فایل ورد شامل یک ماکرو است که به محض اجرا شدن «ویروس باج گیر» اصلی را از اینترنت دانلود می‌کند. البته خود ایمیل بدون پیوست نیز قدرت انتقال را دارد بنابراین بهتر است از بازکردن ایمیل‌های تبلیغاتی یا با آدرس ناآشنا بپرهیزید.  در برخی موارد کاربران ایرانی آلوده شده به مرجع آنتی ویروس ایران اعلام نموده‌اند که ایمیلی با عنوان مُعین را باز نموده‌اند و بعد از آن دچار مشکل شده‌اند بطور کلی در بیشتر موارد ایمیل‌های تبلیغاتی و با آدرس‌های ناآشنا بوده‌اند. بطور دقیق‌تر به محض اجرا شدن فایل ورد، ماکرو یک فایل از نوع BAT در هارد دیسک قربانی می‌سازد که قابلیت اجرای دستورات سیستم عامل را دارد. این فایل BAT مانند یک دانلود کننده، فایل دیگری را با فرمت VBScript  از اینترنت گرفته و اجرا می‌کند.

چه فایل های توسط باج افزار لاکی آلوده و رمزگذاری می شوند؟

.doc, .docx, RTF, .pdf, .XLS, .PPT,  .dotx, .docm, .DOT, .max, .xml, .txt, .CSV, .uot, .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm,  .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

نحوه  انتشار ویروس لاکی در شبکه:
باج افزار « لاکی » حمله خود را از یک کامپیوتر آلوده دارای سیستم عامل ویندوز شروع می‌کند و به تدریج به دیگر سیستم‌های قابل دسترس در شبکه گسترش می‌یابد. گرچه حمله از سیستم عامل ویندوز شروع می‌شود اما این ویروس قابلیت آلوده کردن دیگر سیستم عامل‌ها نظیر لینوکس و OS X اپل را نیز دارد.
برای مقابله با باج افزار یا ویروس لاکی چکار باید کرد؟

اقدامات پس از آلوده شدن شیکه و سرور به ویروس باج افزار Locky
اگر بکاپ از فایل های خود در خارج از شبکه یا سرور و سیستم دارید می توانید فایل های سیستم را پاکسازی و سپس بکاپ را جایگزین کنید.

اقدامات پیشگری از نفوذ باج افزار لاکی
سیستم خود را همیشه یه یک آنتی ویروس قدرتمند و آپدیت شده مجهز کنید.
هیچ گاه به ایمیل های ناشناس پاسخ ندهید یا ایمیل هایی را که در قسمت Spam ایمیل تان قرار دارد را باز نکنید.
تنها از وب سایت های امن یا وب سایت هایی که می شناسید استفاده کنید.
قبل از آنلاین شدن، از وجود آنتی ویروس و دیوار آتش مؤثر و به روز روی کامپیوتر خود مطمئن شوید.
به طور منظم از اطلاعات خود نسخه پشتیبان تهیه کنید در خارج از محیط شبکه و سیستم کامپیوتری نگهداری نمایید.
راه های نفوذ که در بالا به آنها اشاره شده را شناسایی و بادانش کافی در شبکه اینترنت فعالیت کنید.
اقدام نهایی برای باز کردن سیستم و فایل های رمزگذاری شده توسط باج افزاری لاکی (Locky)

همانطور که در ابتدای مقاله به شما گفته ایم. هکرها و سازندگان باج افزار پس از سرایت ویروس لاکی به سیستم شما فایل های شما را رمز گذاری می کنند. یا مخفی و حتی فرمت آنها را تغییر می دهند. یا کلا از دسترسی شما به سیستم جلوگیری کرده. و یک صفحه بر روی سیستم شما ظاهر می شود. و از شما تقاقای پرداخت مبلغ مثلا ۵۰ دلار به عنوان باج می شود. خیلی ها بخاطر نیاز ضروری به اطلاعاتشان سریعا این مبلغ رو پرداخت می کنند.

اگر سیستم شما یا سرور شبکه شما به باج افزاری و ویروس لاکی آلود شده و از شما تقاضای پرداخت باج شده. اقدامات زیرا انجام دهید.

آرامش خود را حفظ کنید.

به هیچ وجه باج پرداخت نکنید. حتی یک دلار

چرا که اگر برای باز کردن کامیپوتر یا فایل ها به آنها پول پرداخت کنید. آنان قفل را از روی سیستم شما بر می دارند. یا فایل های شما را از حالت رمزگذاری آزاد می کنند. اما نه برای همیشه. و ویروس برای همیشه از سیستم شما پاک نمی شوند. بلکه بعد از مدتی دوباره سیستم شما را قفل می کنند یا فایل ها مورد نظر و حساس شما مثل عکس های خانوادگی, فیلم ها و داده را قفل گذاری می کند. دوباره از شما می خواهند که برای باز شدن سیستم مبلغ بیشتری را پرداخت کنید. پس به هیچ وجه به آنها باج ندهید.

این نکته را بدانید که حتی حذف و نصب مجدد ویندوز یا سیستم عامل مشکل را حل نمی کند. چرا که ویروس همچنان بر روی سیستم شما باقی هست.

سریعا به یک متخصص امنیتی یا کارشناسان  تماس بگیرید و از آن ها راهنمایی لازم را در این زمینه دریافت کنید.

در صورتی که نیاز به خذمات بازیابی اطلاعات هارد ویروسی یا باج افزار گرفته ذارید با ما تماس بگیرید .