وضعیت سرورها

وبــلاگ

وضعیت سرورها
  • حذف باج افزار و ویروس باجگیر – بخش چهارم

    سهرابی نیا پنج شنبه ۱۶ دی ۱۳۹۵ امنیت

    حذف باج افزار و ویروس باجگیر – بخش اول

    حذف باج افزار و ویروس باجگیر – بخش دوم

    حذف باج افزار و ویروس باجگیر – بخش سوم

    untitled-1

    ‫از آنجایی که باجگیرها یا باج افزارها، مانند ویروس ها یک گروه خاص در میان انواع برنامه های مخرب (بدافزارها) هستند، استفاده از ترکیب “ویروس باجگیر” و به طور کلی استفاده از لغت “ویروس” برای هر بدافزاری با وجود رایج بودنش اشتباه است.  

    روش سوم : ابزارهای بازیابی داده

    بازیابی اطلاعات در زبان ساده نجات و تعمیر اطلاعات از‌دست‌رفته است. قطعا بازیابی داده‌ها همیشه به راحتی امکان‌پذیر نیست. گاهی اوقات سیستم به قدری آسیب‌دیده و خراب شده که به سختی می‌توان داده‌ها را بازگرداند.

    در این راهنما تکنیک‌های مورد استفاده‌ی ابزارهای بازیابی اطلاعات را پوشش نمی‌دهیم. آنچه باید بدانیم این است که موفقیت بازگردانی داده‌ها به متغیر‌های بسیار زیادی بستگی دارد. (مانند پارتیشن‌های سیستم‌عامل، اولویت در بازنویسی داده‌ها، مدیریت فضای خالی درایو و …) مجموعه زیادی از نرم‌افزارهای بازیابی اطلاعات وجود دارند. در این راهنما از یک ابزار بازیابی رایگان به نام Recuva استفاده می‌کنیم.

    با استفاده از این روش نمونه واقعی زیر را به صورت گام به گام برای بازیابی فایل‌ها از باج افزار Locky.Odin به‌کار می‌بریم:

    1

    برای افزایش احتمال بازیابی فایل‌ها اکیدا توصیه می‌کنیم Recuva را به جای سیستم‌عامل خود بر روی یک فلش مموری و یا هارد اکسترنال نصب نمایید.

    پس از نصب، فرآیندی برای اسکن آغاز می‌شود که پیشنهاد می‌کنیم آن را لغو نموده و برای انجام برای تنظیماتی که در ادامه شرح می‌دهیم وارد فاز اسکن شوید. تنظیماتی که پیشنهاد می‌کنیم به صورت پیش‌فرض فعال نیستند :

    2

    فعال نمودن “Restore folder structure” امکان حفظ ساختار دایرکتوری و نام تمامی فایل های رمزگذاری‌شده را به ما می‌دهد.پس از این مرحله می‌توان اسکن را بر روی هارد مورد نظر اجرا نموده و منتظر نتیجه ماند :

    3

    هنگامی که Recuva اسکن کلیه اطلاعات فایل‌های پاک‌شده را تمام کرد، یک پنجره حاوی اطلاعات بازیابی‌شده نمایش می‌دهد. مطمئنا تمام این فایل‌ها قابل بازیابی نخواهند بود؛ در نتیجه در سربرگ State می توان امکان بازیابی فایل را مشاهده نمود.

    فایل‌های partly recoverable فایل‌هایی هستند که به طور کامل نمی‌توانند بازیابی شوند، به عنوان مثال یک فایل txt ممکن است شامل نیمی عبارات متنی و نیم دیگری عبارات غیرقابل دسترسی و خراب باشد.

    در سربرگ Comment می‌توان فایل‌های تغییر‌ نام یافته و فایل‌هایی که با نام اصلی موجود هستند را تشخیص داد. در این حالت، حتی در صورتی که فایل‌ها قابل بازیابی نباشند باز هم می‌توان نام‌هایشان را استخراج کرد. پس از این می‌توان کلیه فایل‌های قابل بازیابی را انتخاب و مکان ذخیره‌سازی آن را تعیین نمود.

    در گوشه سمت راست دکمه switch to advanced mode اجازه اعمال فیلتر‌هایی بر مبنای مسیر فایل‌ها روی فایل‌های بازیابی‌شده را فراهم می‌کند. بنابراین فیلتر‌های زیر را لحاظ می‌کنیم :

    C:\Personal_Data,C:\Users\Administrator\Personal_Data, C:\Users\Administrator\Desktop\Personal_Data

    و تمامی فایل‌هایی که می‌خواهیم استخراج کنیم را انتخاب می‌کنیم.

    اکیدا پیشنهاد می‌کنیم برای بالا بردن امکان بازیابی اطلاعات، تمامی اطلاعات را بر روی یک درایو یا هارد اکسترنال خارجی بازیابی نمایید.

    4

    در این مورد از مجموع ۳۰۰۲ فایل توانستیم ۹۱۵ فایل را به طور کامل بازیابی کنیم، که به معنای ۳۰% از کل فایل‌هایی که برای بازیابی کامل در نظر گرفته‌ایم است.

    این روش همچنین برای بازیابی نام و آدرس کلیه فایل‌های رمزنگاری شده نیز مناسب است. زیرا برخی از باج افزارها به صورت تصادفی و اتفاقی برخی از حروف نام فایل‌ها را تغییر می‌دهند و ما آن‌ها را به عنوان یک فایل خراب تشخیص می‌دهیم.

    آزمایش ما

    روش ما چقدر موثر بوده است؟

    تصمیم گرفتیم نمونه‌هایی از باج افزارها را گروهبندی نموده (جدیدترین خانواده‌ها) و آن‌ها را بر روی ماشین مجازی خود به منظور آزمایش درصد بازیابی فایل‌ها بر اساس روش پیشنهادی راه‌اندازی کنیم.

    برای ارزیابی نرخ بازیابی هر روش برای هر باج افزار از یک پوشه استفاده کرده (شامل pdf, jpg, ppt, txt, doc, xls) و در سه محل مختلف بر روی سیستم قرار می‌دهیم.

     

    C:\Personal_Data

    C:\Users\Administrator\Personal_Data

    C:\Users\Administrator\Desktop\Personal_Data

    بعد از آن تلاش می‌کنیم فایل‌ها را بر اساس روش خودمان بازیابی نماییم. نرخ بازیابی موفق فایل‌ها را برای هر پوشه محاسبه نموده، این عمل را سه مرتبه برای باج افزار در محل‌های مختلف سیستم آزمایش می‌کنیم و در نهایت میانگین نرخ بازیابی فایل‌ها را محاسبه خواهیم نمود.

    به عنوان مثال نمونه‌ باج افزارهای زیر را تست نموده‌ایم :

    Cerber v.1 md5: 9a7f87c91bf7e602055a5503e80e2313

    Jigsaw md5: 2773e3dc59472296cb0024ba7715a64e

    TeslaCrypt v.4 md5: 0265f31968e56500218d87b3a97fa5d5

    CryptXXX v.2 md5: 19127d5f095707b6f3b6b027d7704743

    Bart md5: d9fe38122bb08d96ef0de61076aa4945

    CryptXXX v.4 md5:  ۶۳۱c36f93b0fc53b8c7be269b02676d0

    Bart v.2  md5: 4741852c23364619257c705aca9b1be3

    Satana Ransomware md5: 46bfd4f1d581d7c0121d2b19a005d3df

    Odin md5: 01f7db952b1b17d0a090b09018896105

    Crypt888 md5: 86c85bd08dfac63df65eaeae82ed14f7

    نتایج نهایی در جدول ارائه شده‌اند. متدهای اول و دوم در قسمت‌های قبلی مقاله راهنمای حذف باج افزار شرح داده‌شده اند که از طریق لینک‌های زیر قابل دسترسی است.

    5

     

     

    برچسب ها :

با عضویت در خبرنامه شما را از آخرین تجربیات مان و مطالب تخصصی آگاه خواهیم کرد.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *