وضعیت سرورها

وبــلاگ

وضعیت سرورها
  • حذف باج افزار و ویروس باجگیر – بخش سوم

    سهرابی نیا چهارشنبه ۱۵ دی ۱۳۹۵ امنیت

    ransomware-as-a-service-1024x512

    حذف باج افزار و ویروس باجگیر – بخش اول

    حذف باج افزار و ویروس باجگیر – بخش دوم

    ‫از آنجایی که باجگیرها یا باج افزارها، مانند ویروس ها یک گروه خاص در میان انواع برنامه های مخرب (بدافزارها) هستند، استفاده از ترکیب “ویروس باجگیر” و به طور کلی استفاده از لغت “ویروس” برای هر بدافزاری با وجود رایج بودنش اشتباه است.

    روش دوم : بازگردانی به کمک نسخه یکسان( Shadow copy)

    سرویس نسخه یکسان مجموعه‌ای از رابط‌های کاربری COM است که با پیاده‌سازی یک چارچوب باعث بهبود عملکرد پارتیشن‌های پشتیبان شده و به آن‌ها اجازه می‌دهد هنگامی که برنامه‌ها روی سیستم در حال اجرا هستند اطلاعات را بر روی پارتیشن‌ها کپی نماید.

    به عنوان مثال، هنگامی که یک restore point در نظر می‌گیریم درواقع پارتیشنی برای پشتیبان‌گیری در نظر گرفته‌ایم ( به همراه کپی یکسان) و می‌توانیم فایل‌ها را از همان پارتیشن بازگردانی نماییم.

    این یک خصوصیت پیش‌فرض برای تمامی سیستم‌عامل‌های ویندوزی از ویندوز XP تا کنون است. بنابراین به احتمال زیاد شما نسخه کپی یکسان خود را دارید در حالی که از آن بی اطلاع هستید.

    ما از ابزارهای رایگانی استفاده می کنیم که به ما اجازه می‌دهد نسخه های کپی یکسان خود را بررسی کنیم. این ابزارها با عنوان shadow explorer شناخته می‌شوند.

    توجه داشته باشید که اگر از ویندوز XP استفاده می‌کنید، باید نسخه قدیم این نرم‌افزارها را دانلود نمایید.

    اگر ابزار vssadmin.exe را برای مسائل امنیتی تغییر نام داده‌اید، برای اطمینان از عملکرد صحیح آن باید نامش را به حالت اولیه برگردانده و اجازه دهید به صورت عادی کار کند.

    دستورات زیر را مرحله به مرحله دنبال نموده و برای بازگردانی فایل‌های باج افزار Jigsaw استفاده نمایید.

    11

    پنجره اصلی shadow explorer به شما اجازه می دهد تا پارتیشنی که می‌خواهید نسخه کپی را در آن ذخیره نمایید انتخاب کنید. برای تاریخ نسخه‌های کپی باید با احتیاط عمل کرد زیرا ممکن است بیش از یک snapshot از پارتیشن پشتیبان وجود داشته باشد. (بیش تر از دو نقطه بازگشت)

    12

    هنگامی که داده‌هایی که می‌خواهید بازگردانی کنید تشخیص دادید، می‌توانید بر روی پوشه آن کلیک راست نموده و فایل‌ها را از طریق export، استخراج نمایید.

    13

    در نمونه ما، همانطوری که در عکس بالا مشاهده میکنید ۱۰۰% از فایل هایمان را بازگردانی کردیم، زیرا باج افزار Jigsaw کپی های یکسان را پاک نمی کند.

    این روش واقعا بر روی میزبان آلوده شده به وسیله باج افزار موثر است زیرا بیشتر باج افزار‌ها به وسیله ابزارهای vssadmin نسخه‌های کپی یکسان را از بین می‌برند.

    این روش هنگامی که باج افزار بیش از حد در شبکه‌های متصل به شبکه محلی منتشر شده‌ بسیار موثر است و نمی‌تواند به سیستم عامل هایی با ویژگی های vssadmin دسترسی پیدا کند.

    بنابراین همچنان نسخه کپی یکسان را در تمامی سیستم‌هایی که به صورت غیر‌مستقیم و به وسیله باج افزار آلوده شده‌اند، داریم.

    اکیدا پیشنهاد می‌کنیم سرویس‌های disabling vssadmin.exe را برای جلوگیری از پاک شدن کپی‌های یکسان در نسخه‌های ویندوز فعال نمایید. در بیشتر نمونه‌ها این سرویس‌ها به قربانیان اجازه می‌دهند تا فایل‌های رمزنگاری‌شده هارد‌سیستم خود را بازگردان نمایند.

    حذف باج افزار و ویروس باجگیر – بخش چهارم

    برچسب ها :

با عضویت در خبرنامه شما را از آخرین تجربیات مان و مطالب تخصصی آگاه خواهیم کرد.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *