بازیابی اطلاعات باج افزار و حذف ویروس باج گیر

آیا بازیابی اطلاعات باج افزار ممکن است؟ یکی از مشکلاتی که حافظه ها جانبی ممکن است با آن روبرو شوند ویروسی شدن آنهاست اما ابتدا باید نوع ویروس شناسایی شود پس در ادامه باما همراه باشید تا بهترین روش را به شما معرفی کنیم

مشاوره رایگان دیتاریکاوری ایران (24ساعته)

مشاوره رایگان دیتاریکاوری ایران (24ساعته)

قبل از هر اقدامی، برای بازیابی اطلاعات یا تعمیرات خود از ما راهنمایی بخواهید.

جهت ارسال پیام یا تماس روی مستطیل مد نظر ضربه بزنید

یکی از مشکلات عمده ای که امروزه افراد در حیطه فناوری اطلاعات با آن موجه هستند ، باج افزار ها یا همان ویروس های باجگیر می باشد . این ویروس ها با ورود به سیستم قربانیان و رمزنگاری فایل های آنان، عملکرد سیستم را مختل کرده و  با نمایش پیغامی از کاربر می خواهد که در قبال بازگردانی سیستم به حالت اولیه مبلغی را به عوان باج به حساب سازنده ویروس واریز نماید. ولی نگران نباشید زیرا یکی از خدماتی که توسط شرکت دیتا ریکاوری ایران به مشتریان ارائه می شود ، حذف ویروس باج گیر (locky ransomware) از هارد دیسک و نیز  بازیابی اطلاعات باج افزار و رمز گشایی فایل های موجود در سیستم های آلوده به ویروس باج گیر می باشد که در ادامه با این مورد بیشتر آشنا خواهیم شد .

باج افزار یا Ransomware  چیست؟

برخی از هکر ها و ویروس نویسان همواره سعی می کنند با برنامه نویسی و تولید ویروس های خاصی اقدام به آلوده کردن سیستم های کامپیوتری افراد مختلف کرده و باعث می شوند فایل های فرد قفل شده و یا رمز گذاری شود ،به طوری که دیگر قابل استفاده نباشد و بعد با دریافت باج از قربانیان اجازه دسترسی مجدد به فایل هایشان را می دهند .

تروجان AIDS اولین باج افزاری بود که در  سال 1989 وارد سیستم های کامپیوتری شده بودبرخی این تروجان را با نام  PC Cyborg نیز می شناختند . نحوه عملکرد این باج افزار به این شکل بود که فایل باج افزار جایگزین Autoexec.bat می شد و بعد تعداد دفعاتی که  کامپیوتر قربانی بوت می شد را محاسبه می نمود، زمانی که تعداد دفعات بوت ها به 90 بار می رسید AIDS  تمامی دایرکتوری ها را مخفی می کرد وبعد نام فایل های موجود در کامپیوتر را نیز  بر روی هارد دیسک رمز گذاری می نمود و عملا کاری می کرد که سیستم کاملا  غیر قابل استفاده می شد. بعد کاربر تنها 90 روز فرصت داشت تا لایسنس برنامه ی PC Cyborg را تمدید کند. جهت تمدید لایسنس کاربر می باید با PC Cyborg Corporation تماس می گرفت و پس از پرداخت 189 دلار پول قفل بازیابی اطلاعات باج افزار خود را دریافت می نمود.

امروزه باج افزار ها نسبت به گذشته بسیار متنوع تر و پیشرفته تر شده اند , و همچنین حذف ویروس باج گیر سخت تر شده است. از مشهور ترین ویروس های باج گیر موجود می توان به  لاکر و پتیا اشاره کرد که این ویروس ها با دستکاری سخت افزار و نرم افزار سیستم های قربانیان ،به منظور دریافت باج برای صاحبانشان فایل های آنان را قفل می کنند. این باج ممکن است به طرق مختلف از جمله پرداخت از طریق بیت کوین یا سایر ارز های دیجیتالی صورت پذیرد.

انواع باج افزار (Ransomware) و بازیابی اطلاعات باج افزار

باج افزار ها دارای انواع گوناگونی می باشند که در کل می توان انها را  به سه دسته کلی تقسیم بندی کرد :

 Scareware

اسکارور ها ساده ترین نوع از باج افزارها هستند که به آن ترس افزار نیز گفته می شود .نحوه عملکرد این نوع از باج افزار ها به شکلی است که کار بر تصور می کند سیستم دچار ویروس شده است  و برای ازبین بردن ویروس scareware را نصب می نماید ولی از لحظه ای که این باج افزار روی سیستم نصب و  اجرا می شود کاربر با پیام ها و pop up هایی مواجه می شود که اعلام می‌کنند که جهت احیای سیستم و توانایی استفاده مجدد از آن می بایست مبلغی را به سازنده ویروس پرداخت نمایید و اجازه اجرای برنامه های دیگر را نمی‌دهد.

Lock screen viruses

گروهی دیگر از Ransomware ها نیز وجود دارند که  با قفل کردن صفحه نمایش به هیچ عنوان به کاربر سیستم اجازه استفاده از آن را نمی‌دهد.پس از اینکه سیستم به این ویروس آلوده شد، هنگام روشن کردن کامپیوتر ، یک پنجره با اندازه صفحه نمایشگر باز می‌شود و اعلام می‌کند که این پیغام  از طرف  وزارت دادگستری و یا FBI است و شما قانونی را نقض کرده‌اید و باید جریمه بپردازید.

 The really nasty stuff

و اما بد ترین نوع ویروس های باج گیر The really nasty stuffمی باشد. در این باج افزار تا زمانی  که شما مبلغ درخواست شده را نپرداخته اید اطلاعاتتان کاملا قفل می شود و برای بازیابی اطلاعات فقط دو راه دارید ، یک اینکه وجه درخواست شده را بپردازید و دو هم اینکه شما باید از قبل از اطلاعات خود نسخه پشتیبان تهیه کرده باشید.

اصلی ترین تفاوت بین نوع عملکرد  باج‌ افزار مسدودکننده و رمزگذار این است که صدماتی که توسط باج‌افزار مسدودکننده به سیستم فرد قربانی وارد می شود قابل بازگشت هستند یعنی در بدترین شرایط هم فرد می تواند با نصب ویندوزی جدید از شر این ویروس خلاص شود و مجددا بتواند به تمامی فایل های سیستم خود دسترسی داشته باشد.در حالی که باج‌افزارهای رمزگذار عملکرد بسیار پیچیده تری دارند و در حالت کلی امکان این که فایلی را بتوان بدون کلید رمزگشایی مجدداً به بازیابی اطلاعات باج افزار اقدادم کرد وجود ندارد و مساله تاسف بار دیگر اینکه این کلید ها فقط بر روی سرور سازنده باج افزار وجود دارد و قربانیان نمی توانند به هیچ عنوان به کلید دسترسی پیدا کنند. از همین رو حذف ویروس باج گیر در این نوع پیچیده تر است.

نحوه عملکرد باج افزار و حذف ویروس باج گیر

ویروس های باج گیر به قدری مخرب و  قوی هستند  که می توانند بعد از  ورود به سیستم قربانیان و آلوده کردن فایل ها و اطلاعات آنان ، کامپیوترشان را به کلی از کار بیندازند . پس از اینکه سیستم را آلوده کردند پیغامی به صورت پنجره پاپ آپ بر روی صفحه نمایش ، نمایش می یابد و به کار بر اعلام می کند که سیستم و یا فایل های شما باز نخواهد شد و اگر مایل هستید سیستم شما به وضعیت نرمال خود باز گردد مبلغ n دلار را پرداخت نمایید . در ادامه پیغام نیز یک لینک برای واریز مبلغ درخواست شده نمایش داده می شود .

نوع دیگری از باج افزارها نیز وجود دارند که می توانند سرورهایی را که از طریق اتصال به شبکه با هم در ارتباط هستند را نیز آلوده کنند . این نوع ویروس ها خطرناکترین ویروس های باج گیر برای سازمان ها و شرکت ها هستند زیرا ممکن است با ورود به سیستم یکی از کارمندان ،کل کامپیوتر های مجموعه را آلوده کرده و عملکرد شرکت را متوقف نماید.

پروتکل رمز نگاری در  این نوع ویروس ها اغلب  ترکیبی از دو پروتکل RSA و AES-128 می باشد که لازم به ذکر است هر دوی این پروتکل از قوی ترین رمزنگار ها در دنیای فناوری اطلاعات هستند و شکستن قفل این نوع رمز نگاری ها و حذف ویروس باج گیر و بازیابی اطلاعات باج افزار بدون داشتن کلید کار بسیار مشکل و گاهاً ناممکنی  است .

مشهورترین باج افزار های حال حاضر

همانگونه که در ابتدای بحث هم اشاره کردیم امروزه با پیشرفت علم برنامه نویسی، هکر های کلاه سیاه نیز پیشرفت های زیادی در کار خود داشتند و توانسته اند باج افزار های گوناگون و قدرتمند زیادی را روانه سیستم های کامپیوتری قربانیان کنند .در ادامه توضیحات مختصری را در خصوص برخی از مشهور ترین باج افزار های حال حاضر و بازیابی اطلاعات باج افزار عنوان می کنیم.

Ryuk

یکی از جدید ترین و خطرناکترین باج افزاری هایی که امروزه دنیای آی تی را به خود در گیر کرده است باج افزار ryuk می باشد. بر اساس اعلام FBI،اهدافی که این ویروس برای حمله انتخاب می کند اغلب شرکت‌های لجستیکی، شرکت‌های فناوری و شهرداری‌های کوچکی که اطلاعات ارزشمندی در اختیار داشتند ، می باشد. این باج افزار ابتدا اطلاعات قربانیان را به سرقت می برد و سپس  در ازای آزاد کردن اطلاعاتشان، مبالغ بسیار هنگفتی (حتی  تا پنج میلیون دلار) را به شکل بیت کوین  از قربانی طلب می کند .

طبق نظر کارشناسان، Ryuk نسخه ‌ای جدید و  بهینه ‌سازی شده از ویروس « هرمس»(Hermes) می باشد  که  اولین بار در ماه  آگوست سال گذشته میلادی دیده شد. این ویروس توسط «بات نت» منتشر می گردد  و اغلب به آدرس آی پی ‌های محافظت نشده رخنه  می‌کند.

این ویروس پس‌ از آنکه به شبکه قربانی دسترسی پیدا کرد، ممکن است اقدام به بار گذاری ابزاری برای استخراج فایل‌ های اساسی سیستم قربانی کند. پس از اجرا، مخفیانه حضور خود را از طریق رجیستری بر روی رایانه تثبیت می کند . سپس درعملیات ‌های جاری  سیستم نفوذ می نماید و به دنبال فایل‌ هایی می ‌گردد که به سیستم متصل هستند و در نهایت شروع به رمزگذاری فایل ‌های قربانی می کند.

در کنار رمز گذاری اطلاعات ، ویروس همچنین یک فایل توضیحات با عنوان  «RyukReadMe» هم در سیستم  قربانی باز می‌ کند. پس از اینکه فایل توضیحات باز شد، کاربر در سمت چپ  بالای صفحه نمایش خود، ایمیل دو هکر و نام ویروس را در وسط صفحه نمایش خود مشاهده می کند. در سمت راست پایین صفحه نمایش  نیز عبارت مشکوک «توازن جهانِ سایه»  نمایش داده می شود.

طبق تحقیقاتی که FBI بر روی این باج افزار انجام داده، گفته می شود این ویروس از سال 2018 تا کنون چندین بار تغییر کرده است و همچنان در حال آپدیت شدن است. به همین خاطر حذف ویروس باج گیر ryuk بسیار سخت و پیچیده است.

باج‌افزار کریپتولاکر

از جمله خطرناکترین باج افزار های کنونی، باج افزار کریپتولاکر می باشد .این باج افزار از ماه سپتامبر سال 2013  شروع به آلوده کردن سیستم های کامپیوتری کاربران کرد . این باج افزار می تواند فایل ها را با  استفاده از کلید عمومی ۲۰۴۸ بیتی رمز گذاری نماید.بعد از رمزنگاری کریپتولاگر کاربران را تهدید می کرد که درصورت عدم  پرداخت هزینه کلید تا سه روز، کلید خصوصی مربوط به این رمز نگاری به صورت خودکار حذف خواهد شد.

 با توجه به این مساله که در این ویروس طول کلید استفاده شده بسیار طولانی است در نتیجه بدیهی ست عملیات بازیابی اطلاعات باج افزار نیز کاری سخت و طولانی شود، و همین مساله باعث خطرناک شناخته شدن کریپتولاگر شده است.

باج ‌افزار  Shark

shark  نوع جدیدی از باج افزار ها است که امروزه  در بازار زیر زمینی سایبری در حال گسترش است .طراحان و نویسندگان این بد افزار آن به عنوان نوعی خدمات برای مشتریان ارائه می کنند. و به آن بیزینس مدلِ RaaS می گویند.سازندگان این باج افزار، آن رابه شکل  رایگان در میان مهاجمانی که علاقه مند به این امر هستند توزیع می کند. در واقع  می توان گفت که این برنامه نویسان به مهاجمان آماتور این امکان را می دهد تا بدون داشتن هیچگونه مهارت و تجربه ی فنی و فقط  با پرکردن یک فرم و یک کلیک باج افزار دلخواه خودشان را ایجاد نمایند. طراحان باج افزار  shark در مقبال ارائه خدمات این چنینی  20%  از مبالغ پرداخت شده به عنوان باج برای مشتریانشان را  برای خودشان برمی‌دارند و تنها 80 درصد از آن را به توزیع کننده می‌ دهند. پروژه باج افزار شارک از  جولای سال  2016 آغاز  به  فعالیت کرد و میزبانی آن بر روی یک سایت ورد پرس با دسترسی عمومی انجام می گیرد و این در حالی است که سایر توسعه دهندگان RaaS  و باج ‌افزار ها برای پیشگیری از شناسائی شدن ، معمولا این قبیل خدمات تجاری خود را بر روی شبکه ناشناس ساز TOR میزبانی می نمایند .

باج  افزار  CBT LOCKER

 آخرین باج افزاری که در این مقاله به آن اشاره خواهیم کرد، باج افزار cbt LOCKER  می باشد. این باج افزار از جمله بد افزار های اخیری است که  اطلاعات بسیاری از کاربران فضای مجازی را به خطر انداخته است،  از مهمترین دلایل خطرناک شناخته شدن این باج افزار این است که سیستم هایی که با این بدافزار آلوده می شوند نه تنها بخشی از  اطلاعات آنها رمزنگاری شده و از دسترس خارج می شوند، بلکه ممکن است بخشی از اطلاعات مهم کاربر نیز کاملا از بین برود.

این باج افزار به این شکل عمل می کند که در ابتدای کار کنترل ورودی و خروجی‌ های کامپیوتر قربانی، مثل کیبورد و صفحه نمایش در دست می گیرد و پس از آن با نمایش دادن  پیام‌های تهدید‌آمیزی به کاربران و از آنها درخواست واریز پول می کند.

این باج‌افزار می تواند با تولید کردن فایل های با پسوند‌های PEM، MP4‌، DB، DOC، DOCX و JPG  و…  سیستم عامل‌های ویندوز XP، 7 ، 8  و ویستا را آلوده کند و روش کار آن به این شکل است که ابتدا فایل هایی را با پسوند های ذکر شده در بالا تولید می کند و بعد فایل ‌های مهم و اساسی کاربر  را با یک کلید سرّی و نا ‌مشخص رمز گذاری می نماید. این باج افزار کلیدهایی را بر می گزیند که حذف ویروس باج گیر و بازیابی اطلاعات باج افزار این نوع تفریبا غیر ممکن باشد و بعد از اینکه عملیات رمزنگاری پایان یافت، پیامی به کاربر  ارسال می کند  و در آن از وی برای باز کردن فایل های رمز نگاری شده پول طلب می‌کند.

ویروس های باج افزار چگونه وارد سیستم کامپیوتر می شوند؟

اولین نکته ای که در مورد قربانیان ویروس باجگیر اهمیت دارد ، متصل بودن سیستم به اینترنت است به عبارت دیگر این ویروس به سراغ سیستم هایی می رود که امکان کنترل از راه دور برای آنها فراهم باشد .

ویروس های باج گیر اغلب از طریق ایمیل های ناشناس به سیستم های قربانیان وارد می شوند ، در این حالت ویروس به شکل یک فایل پیوست به ایمیل قربانی ارسال می گردد و زمانی که فرد فایل پیوست را اجرا می کند ویروس به داخل سیستم رخنه کرده و شروع به رمزنگاری اطلاعات می کند و فایل های رمز نگاری شده را با پسوند های جدید ذخیره می کند

البته راه های دیگری نیز برای ورود این ویروس به سیستم های رایانه ای وجود دارد که می توان به موارد زیر اشاره کرد:

• کلیک روی لینک هایی که ممکن است در ایمیل، سایت ها و یا شبکه های اجتماعی برای قربانی ارسال شود.
  مراجعه به سایت های خطرناک و مشکوک که غالبا دارای محتواهای مستهجن می باشند.
• اجرای فایل های آلوده به ویروس باجگیر
• اجرای ماکرو های ویروسی شده در اسناد برخی برنامه ها ،مثل واژه پرداز ها و صفحه گسترده ها
• ورود از طریق دستگاه های جانبی مثل فلش مموری ، هارد اکسترنال و …

فایل مربوط به ویروس غالبا با ظاهر یک فایل word  برای قربانی ارسال می شود که این فایل حاوی یک ماکرو است و پس از اینکه توسط فرد  دانلود و اجرا شد ، این ماکرو یک فایل از نوع BAT  را در داخل هارد  کامپیوتر  قربانی  ایجاد می کند که این فایل  قابلیت اجرای دستورات سیستم عامل را دارا می باشد. این فایل BAT  ایجاد شده مثل یک دانلود کننده عمل می کند و  می تواند  فایل دیگری را با فرمت VBScript  که همان فایل اصلی ویروس باج گیر است را  از اینترنت  دانلود کرده و اجرا نماید.

اغلب کاربران ایرانی که قربانی این ویروس شده اند اعلام کرده اند که ایمیلی با عنوان معینی را باز کرده اند و پس از آن دچار چنین مشکلی شده اند . این ویروس ها غالبا تحت ایمیل های تبلیغاتی ناشناس برای افراد ارسال می گردند.

راههای پیشگیری از ورود باج افزار یا به سیستم

همانطور که قبلا نیز اشاره کردیم Ransomware ها از جمله مهمترین خطرات دنیای مجازی می باشند که می توانند اطلاعات ما را تحت کنترل خود درآورده و باعث ایجاد هزینه ها و آسیب های اقتصادی برای بازیابی اطلاعات باج افزار و روحی روانی زیادی برای ما گردند. ولی در صورتی که در هنگام استفاده ازکامپیوتر به خصوص زمانی که به اینترنت متصل هستید برخی نکات ایمنی ضروری را رعایت کنید احتمال آلوده شدن سیستم شما به باج افزار بسیار  کمتر می شود. در زیر به تعدادی از این نکات اشاره می کنیم:

• به هیچ عناون فایل های پیوست ایمیل های ناشناس و مشکوک را دانلود نکنید.
• از نسخه های آنتی ویروس قوی و فایروال امن و موثر در سرور های هاست استفاده کنید.
• تمامی برنامه های کاربردی ، سیستم عامل و نیز آنتی ویروس و فایروال کامپیوتر خود را  بطور مرتب  به روز رسانی کنید.
• سعی کنید همیشه نسخه بکاپی از اطلاعات حیاتی خود را در مکانی امن نگهداری نمایید تا در شرایط بروز حمله باج افزاری بتوانید از آن نسخه پشتیبان استفاده کنید.
• در هنگام خرید هاست، امنیت و امکان تهیه بکاپ های دوره ای را نیز به عنوان مهمترین ملاکهای انتخاب، مد نظر قرار دهید.
• سعی کنید از سایت های ناشناس فایل و نرم افزار/اپلیکیشن موبایل دانلو و نصب ننمایید .
• همواره برای دانلود های خود به خصوص دانلود نرم افزار ها ، به سایت های معروف و امن مراجعه نمایید.
• همیشه بر روی سیستم خود  از برنامه ها و نرم افزارهای ضد اسپم (Anti Spam)استفاده کنید.
• ایمیل هایی که از آدرس های نا شناخته و یا مشکوک دریافت می کنید را باز نکنید و مستقیما حذف کنید. زیرا ممکن است فایل باج افزار تنها با باز کردن ایمیل نیز بتواند وارد سیستم شما شود .
• هر وسیله ورودی خروجی که به دستتان می رسد را به سیستم خود وصل نکنید و حتما قبلا از باز کردن فلش مموری، سی دی و یا فلاپی دیسک و… آنها را با استفاده از آنتی ویروس آپدیت شده اسکن کنید.
• هرگز هرز نامه های موجود در بخش Spam ایمیلتان را باز نکنید.
• اگر شما مسئول سازمانی هستید که در مورد تهدید باج ‌افزارها نگرانی دارید، بهترین کار این است که تمامی کارکنان خود را جهت مقابله با این نوع ویروس ها و موارد مشابه آن آموزش دهید.

بازیابی اطلاعات باج افزار و حذف ویروس باج گیر

• در ابتدا برای حذف باج افزار یا سایر انواع نرم افزارهای مخرب که ممکن است بر روی کامپیوتر شما نصب شده باشند، یک scan کامل با یک solution امنیتی مناسب و آپدیت شده انجام دهید.
• سعی کنید از تصمیمات آنی که باعث می شود اطلاعاتتان به کلی از بین برود بپرهیزید و آرامش خود را حفظ کنید.
• با توجه به اینکه به احتمال زیاد افراد مهاجم پس از دریافت باج نیز اطلاعات شما را بازگردانی نکنند ،پس پرداخت باج خواسته شده اصلا تصمیم عاقلانه ای نمی باشد.
• اگر از سیستم خود بکاپ دارید می توانید برای حل مشکل این بکاپ ها را نیز تست و بررسی کنید .
• در آخر بهترین راه این است که با متخصصان دیتاریکاوری ایران مشورت کرده و  شرایط بازیابی اطلاعات از دست رفته خود را بررسی کنید.

بازیابی اطلاعات باج افزار توسط متخصصین دیتاریکاوری ایران

یکی از داغترین مسائل روز در حوزه فناوری اطلاعات و امنیت اطلاعات ،مساله باج افزارها و بازیابی اطلاعات رمزنگاری شده توسط  باج افزارها می باشد. بازیابی اطلاعات  رمز نگاری شده پروسه بسیار مشکلی است ولی با این حال در بسیاری از موارد راه حل های ارائه شده توسط متخصصین ما موفق بوده و توانسته اند اطلاعات قربانیان را بدون پرداخت باج بازیابی کنند ولی با توجه به آپدیت ها و نسخه های مختلف و متفاوتی از این نوع ویروس ها که در سطح اینترنت گسترده شده  است بنابراین ساخت نرم افزاری واحد برای حل این مشکل امکان پذیر نیست.

درصورتی که سیستم شما قربانی این باج افزار ها شد قبل از هر اقدامی با استفاده از شماره تلفن هایی که در بالای صفحه درج شده است با  متخصصین شرکت دیتاریکاوری ایران تماس بگیرید  تا با بررسی نوع ویروس و تعیین قابلیت بازیابی اطلاعات ، اقدامات لازم را در این زمینه انجام دهند .