باج افزار چیست ؟
باج افزارها نوعی از بدافزارها هستند که پس از آلوده کردن و به دست گرفتن کنترل کامپیوتر یا موبایل افراد اقدام به اخاذی از آنها میکنند. عموما باج افزارها برای تحت فشار قراردادن قربانی حتی جلوی استفاده های روزمره از سیستم را میگیرند و یا فایل ها و مستندات ذخیره شده در سیستم را رمزگذاری میکنند تا هیچ فردی به اطلاعات داخل آنها دسترسی نداشته باشد.(تصور کنید که سیستم مسئول مالی شرکت شما به باج افزار آلوده شده باشد! تمام اطلاعات حسابداری شما از دست خواهند رفت!)
باج افزار پس از استقرار کامل، اخاذی خود را بصورت یک فایل متنی ساده در مسیرهایی که رمزگذاری شده اند و یا با نمایش صفحهای از یک وب سایت برروی مرورگر وب سیستم به اطلاع قربانی میرساند. باج افزارها از اینکه شما را با استفاده از تهدید برای دریافت سریعتر وجه تحت فشار قرار دهند هیچ ابایی ندارند.
باج افزارها ممکن است به عنوان قسمتی از یک بدافزار یا با استفاده از باگهای موجود در نرمافزارهای روزمره مانند ویندوز/فتوشاپ/فلش/فایرفاکس بصورت کاملا پنهان از مخفی برروی سیستم قربانی نصب شوند. بروزرسانی دایمی و سریع تمام نرم افزارها و استفاده از یک آنتی ویروس مناسب به شما برای جلوگیری از آلوده شدن کمک خواهد نمود.
ویروس باجگیر پلیس نما(Police-themed)
نمونه های جدیدتر باج افزارها تمایل دارند سادهتر دیده شوند، پنهانی اخاذی کنند و حتی نمونههای جدیدتر طراحیهای ماهرانه تری دارند. در سال 2012 ، چند نمونه از باج افزارهای پلیس نما زیرکانه با لباس مبدل و پیام های هشدار دهنده رسمی به جهت اجرای قانون اقدام به باج گیری نمودند.
نمونه ای از باج افزدارهای پلیس نما
زبان استفاده شده و مشخصات ذکر شده کاملا بستگی به موقعیت جغرافیایی کاربر دارد. هدف بیشتر باج افزارهای پلیس نما که تا کنون دیده شده اند کشورهای اروپای غربی و به خصوص فرانسه، آلمان، فنلاند و ایتالیا بوده است.
متن اصلی باج افزارها که به عنوان پیام استفاده می شود بسیار متنوع است اما عموما از الگوی خاصی پیروی می کند. آن ها کامپیوتر کاربر را پس از معرفی خود به عنوان پلیس، برای بازدید از وب سایتی تروریستی یا سوء استفاده قفل نموده و تقاضای پرداخت مبلغ جریمه برای حل و فصل جرم را می نماید.
مقدار مبالغ درخواستی و روش های پرداخت آن متنوع و شامل روشهای مخفی، یکبار مصرف، غیر قابل ردیابی یا cashcards، است.
تقریبا در تمامی نمونه ها، پرداخت مبالغ درخواستی باج افزارها منجر به بازگردانی کامپیوترها به حالت استفاده سابق نمی شود. در نتیجه ما شدیدا پیشنهاد می کنیم که نه تنها کاربر هیچ پولی به این باج افزارها پرداخت نکند بلکه باید مراتب را به مقامات محلی مناسب اطلاع دهد.
حذف ویروس باجگیر پلیس نما
نمونه های زیادی از باج افزارهای پلیس نما (مانند Trojan:W32/Reveton, Trojan:W32/Ransom و generics) تا کنون کشف شده اند.
اگر باج افزار پلیس نما بر روی سیستمی نصب شود، می توان با استفاده از یک ابزار حذف دانلود، آن را حذف نمود. در صورت آلودگی با نمونه های Trojan:W32/Reveton و Trojan:W32/Urausy ، می توان حتی به روش دستی اقدام به حذف کرد.
حذف خودکار
در بیشتر نمونه ها، ابزار حذف F-Secure’s Online Scanner قادر به حذف باج افزار و بازگردانی سیستم به حالت عادی خواهد بود.
حذف دستی
دقت کنید که این روش بسیار پروسه خطرناکی است و تنها به کاربران حرفه ای توصیه می شود، در غیر این صورت لطفا به دنبال کمک گرفتن از یک کاربر حرفه ای باشید.
ممکن است حذف نمونه های Trojan:W32/Reveton و Trojan:W32/Urausyنیز به صورت دستی امکان پذیر باشد که باید دستورالعمل زیر را دنبال کنید :
– سیستم را در حالت ‘Safe Mode with Command Prompt بوت نمایید :
– ابتدا سیستم را راه اندازی مجددنموده ( Start – Shut Down – Restart)
– در حین راه اندازی مجدد و پیش از اینکه به ویندوز برسیم کلید F8 را فشار دهید.
– از کلیدهای جهت نما Safe Mode with Command Prompt را انتخاب نموده و سپس Enter کنید.
– دستور regedit را در قسمت command prompt تایپ نموده و دکمه Enter را بزنید.
– به دنبال مقادیر رجیستری زیر گشته و آنها را حذف کنید:
– برای Reveton
– مقدار رجیستری exe را از مسیر زیر پاک کنید
HKEY_CURRENT_USER\Software\Microsoft \Windows\CurrentVersion\Run
– برایUrausy
تنها در صورتی که دو شرطی که در ادامه گفته خواهد شد برقرار بود، مقدار “shell” را از مسیر زیر پاک کنید.
HKEY_CURRENT_USER\Software\Microsoft \WindowsNT\CurrentVersion\Winlogon
به این شرط که مقدار رجیستری “shell” زیر HKEY_CURRENT_USER باشد و. در HKEY_LOCAL_MACHINE نباشد.
نکته : حذف لیست HKEY_LOCAL_MACHINE ممکن است باعث از بین رفتن ویندوز شود.
در این مقدار مرجعی به فایل .dat ( مانند skype.dat ) وجود دارد.
– سیستم را مجددا راه اندازی نموده و اجازه دهید این بار ویندوز به صورت عادی راه اندازی شود.
– در نهایت، یک اسکن کامل برای اصلاح کلیه فایل های باقیمانده بر روی سیستم انجام دهید.
ارسال نمونه برای تجزیه و تحلیل
در صورتی که هیچ یک از روش های دستی و خودکار ذکر شده در بالا قادر به حذف باج افزار نبودند، می توانید نمونه فایل های باج افزار را برای آزمایشگاه های امنیت ارسال نمایید.
برای این کار، سیستم را در حالت Safe Mode (دستورالعمل حذف دستی که در بالا ذکر شده است را مطالعه نمایید) و به دنبال فایل های مشکوک بگردید، عموما باج افزار در یکی از مسیر های زیر ذخیره می شود :
C:\Programdata\(random alpha numerics).exe –
C:\Users\(username)\0.(random numbers).exe –
C:\Users\Username\AppData\(random alpha numerics).exe –