سلام
باج افزار یا ransomware از خانواده maleware و نوعی بدافزار محسوب میشه که میتونه از باز کردن ایمیل های آلوده ( در گذشته ) و یا به وسیله سایت های مخرب وارد سیستم شما بشه و تمام اطلاعات و دیتاهای شما رو با encrypt کردن از دسترستون خارج کنه. بعد از encrypt یا رمزنگاری شدن دیتاها، شما معمولا با تکستی در تمام درایو ها و فولدرهاتون مواجه خواهید شد که هکر برای decrypt کردن فایل هاتون ازتون درخواست پول(باج) میکنه و معمولا بعد از چند روز مبلغ باج ها اضافه میشه.
من چند روز پیش قربانی یک باج افزار شدم و سالها زحماتم از بین رفت. این تاپیک رو زدم که بتونیم اینجا تجربیات و اطلاعاتمون رو در این زمینه به اشتراک بزاریم و راههای پیشگیری/درمان رو بررسی کنیم.
متن باجگیر :
لازم به ذکره که مبلغ درج شده به دلار در اصل معادل بیتکوینش هست.
جلوگیری از ورود باج افزار:
1. به هیچ عنوان از سایت های خارجی که نمیشناسید کرک یا تورنت دانلود نکنید.
چندین سال پیش بیشترین راه نفوذ باج افزار ها از طریق ایمیلی که دارای لینک یا پیوست آلوده بود امکان پذیر میشد. در حال حاضر سایت هایی که در حوزه انتشار کرک یا تورنت فعالیت دارند بیشترین بستر ورود باج افزار به سیستم شما هستند. سایتی که من ازش آلوده شدم ccmaker.vip که به ظاهر همون کرکر محصولات adobe هست ولی خب در باطن حاوی باج افزار. البته من به گوگل ریپورت دادم نمی دونم ترتیب اثر داده میشه یا خیر.
2. نصب آنتی ویروسی که در شناسایی باج افزار مهارت داشته باشه.
من فقط از ویندوز سکیورتی استفاده میکردم و متاسفانه باید خدمتتون عرض کنم که اکثر آنتی ویروس ها و سیستم سکوریتی ها از تشخیص باج افزارها ناتوان هستند. لازم به ذکره که زمانی که من ناخواسته باج افزار رو دانلود کردم، ویندوز سکوریتی اون رو تروژان تشخیص داد و من هم بلافاصله ریمووش کردم ولی خب از شواهد پیداس که نتونست جلوی هیچ چیزی رو بگیره!
در این چند روز تحقیقات متوجه شدم که اکثر آنتی ویروس ها چه در نفوذ فایل آلوده و حاوی باج افزار و چه بعد از نفوذ و تشخیص فعالیتش نا توان هستند. به صورت کلی وقتی باج افزار وارد سیستم میشه تا مدتی هیچ اتفاقی نمیوفته. باج افزار به صورت چراغ خاموش در حال کدگذاری فایل های شماست و رفتارش دقیقا همانند یک تسک یا نرم افزار عادیه. به همین دلیل نه تنها شما بلکه آنتی ویروستون هم نمیتونه بهش مشکوک بشه.
جالب اینجاست که من متوجه یک تسک مشکوک شدم ولی اعتمادم به ویندوز سکوریتی باعث شد نادیده بگیرمش.
در زمان نوشتن متن تنها گزینه هایی که میتونن توسط پردازش های لایه ای و با پرتوکل های خاص خودشون باج افزارها رو رفتار شناسی کنن و از encrypt شدن فایل هاتون جلو گیری کنن bitdefender و Malwarebytes هستند.
3. گرفتن بکاپ
مواردی مفید برای زمانی که متوجه شدید باج افزار در سیستم شماست
1. اگر در task manager متوجه مورد مشکوکی شدید. (مثل install 32 ) بلافاصله وارد C:\Windows\System32\drivers\etc بشید و فایل hosts رو با نت پد باز کنید. اگر متوجه هاست های مشکوک ( به صورت کلی هرچیزی به جز localhost ) شدید، این اولین نشانه از فعالیت باج افزار در سیستم شماست.
2. سریعا اتصالتون رو از اینترنت قطع کنید. باج افزارها به دو نوع فایل هاتون رو رمزنگاری میکنن. offline و online به صورت کلی و به دور از توضیحات تکنیکی، اگر باج افزار به اینترنت دسترسی نداشته باشه فایل هارو به صورت offline رمزنگاری میکنه . شانس شما برای decrypt کردن رمزهای offline بسیار بیشتر از نوع online هست.
3. با دیدن اولین نشانه بلافاصله Malwarebytes رو نصب کنید و ویندوز رو اسکن کنید. استفاده ازش تا 15 روز رایگانه.
4. آخرین نشانه از اتمام کار باج افزار پدیدار شدن تکست مربوط به باجگیر در تمام درایوها و فولدرهاتونه. که معمولا به اسم _readme است.
اگر این تکست ها رو دیدید یعنی کار باج افزار تمام شده و مصدوم آمادس. ولی هنوز میشه امیدوار بود.
5. بعد از دیدن تکست، فایل هاتون رو چک کنید ببینید هنوز بهشون دسترسی دارید یا خیر. فایل های encrypt شده پسوند جدیدی بهشون اضافه میشه و دیگه قابل اجرا نیستند.
6. اگر هنوز فایل ها سالم هستند، به هیچ وجه سیستم رو ری استارت یا ترن آف نکنید. این آخرین شانس شما برای بکاپ گرفتن از اطلاعاتتونه!!! با اولین ری استارت تمام فایل ها از دسترس خارج خواهند شد.
نکته : دیتاهای موجود در درایوی که ویندوز توش نصبه به هیچ وجه encrypt نمی شود.
بعد از حادثه
ابتدا تسلیت میگم.
تو این مرحله دیگه کار خاصی از دستتون ساخته نیست.
سه راه پیش رو دارید.
1. تلاشی نا امیدانه برای دیکراپت کردن فایل هاتون به وسیله کلید های موجود / ریکاوری هارد یا ری استور پوینت.
2. دادن باج و گرفتن کلید
3. فرمت کردن هارد
از اونجایی که در حال حاضر فقط یک نفر به صورت رایگان و تخصصی روی decrypt کار میکنه، نمیشه امید چندانی داشت.
موارد غیر رایگان هم هست که در ایران هیچ کسی قادر به انجامش نیست و فقط وقت و هزینه شمارو تلف میکنن. اما اگر قصد این کارو دارید رعایت چند نکته ضروریه.
1. باج افزار رو پاک نکنید و فقط در حالت قرنطینه نگهش دارید.
2. چک دیسک یا دفرگمنت انجام ندید.
3. به هیچ وسیله ای هیچ تغییری روی فایل های قفل شده و هارد دیسکتون انجام ندید.
آیا با دادن باج، باجگیر کلید رو به من میده؟
با توجه به تحقیقات من جواب کوتاه میشه بله. باجگیر کلید رو به شما میده.
اگر قصد دادن باج رو دارید خیلی زود و در عرض 24 ساعت تصمیم بگیرید و به وسیله ایمیل با باجگیر در ارتباط باشید.
ابتدا یکی از فایل های قفل شده رو براش بفرستید که مطمعن بشید کلیدش رو داره و از همه مهمتر به درستی کار میکنه. شنیدم در مواردی به دلیل پیچیدگی در قفل گذاری حتی با کلید درست هم نمیشه فایل هارو سالم برگردوند. پس قبل از دادن باج از این موضوع مطمعن شید.
لازم به ذکره تنها روش رایگانی که برای من کار کرد استفاده از ری استور پوینت ویندوز بود که حدودا 10% از دیتاهام رو برگردوند.
امیدوارم تونسته باشم کمکی هرچند کوچک کرده باشم. دیدگاه ها و تجربیات خودتون رو در این زمینه به اشتراک بزارید.
باج افزار یا ransomware از خانواده maleware و نوعی بدافزار محسوب میشه که میتونه از باز کردن ایمیل های آلوده ( در گذشته ) و یا به وسیله سایت های مخرب وارد سیستم شما بشه و تمام اطلاعات و دیتاهای شما رو با encrypt کردن از دسترستون خارج کنه. بعد از encrypt یا رمزنگاری شدن دیتاها، شما معمولا با تکستی در تمام درایو ها و فولدرهاتون مواجه خواهید شد که هکر برای decrypt کردن فایل هاتون ازتون درخواست پول(باج) میکنه و معمولا بعد از چند روز مبلغ باج ها اضافه میشه.
من چند روز پیش قربانی یک باج افزار شدم و سالها زحماتم از بین رفت. این تاپیک رو زدم که بتونیم اینجا تجربیات و اطلاعاتمون رو در این زمینه به اشتراک بزاریم و راههای پیشگیری/درمان رو بررسی کنیم.
متن باجگیر :
لازم به ذکره که مبلغ درج شده به دلار در اصل معادل بیتکوینش هست.
جلوگیری از ورود باج افزار:
1. به هیچ عنوان از سایت های خارجی که نمیشناسید کرک یا تورنت دانلود نکنید.
چندین سال پیش بیشترین راه نفوذ باج افزار ها از طریق ایمیلی که دارای لینک یا پیوست آلوده بود امکان پذیر میشد. در حال حاضر سایت هایی که در حوزه انتشار کرک یا تورنت فعالیت دارند بیشترین بستر ورود باج افزار به سیستم شما هستند. سایتی که من ازش آلوده شدم ccmaker.vip که به ظاهر همون کرکر محصولات adobe هست ولی خب در باطن حاوی باج افزار. البته من به گوگل ریپورت دادم نمی دونم ترتیب اثر داده میشه یا خیر.
2. نصب آنتی ویروسی که در شناسایی باج افزار مهارت داشته باشه.
من فقط از ویندوز سکیورتی استفاده میکردم و متاسفانه باید خدمتتون عرض کنم که اکثر آنتی ویروس ها و سیستم سکوریتی ها از تشخیص باج افزارها ناتوان هستند. لازم به ذکره که زمانی که من ناخواسته باج افزار رو دانلود کردم، ویندوز سکوریتی اون رو تروژان تشخیص داد و من هم بلافاصله ریمووش کردم ولی خب از شواهد پیداس که نتونست جلوی هیچ چیزی رو بگیره!
در این چند روز تحقیقات متوجه شدم که اکثر آنتی ویروس ها چه در نفوذ فایل آلوده و حاوی باج افزار و چه بعد از نفوذ و تشخیص فعالیتش نا توان هستند. به صورت کلی وقتی باج افزار وارد سیستم میشه تا مدتی هیچ اتفاقی نمیوفته. باج افزار به صورت چراغ خاموش در حال کدگذاری فایل های شماست و رفتارش دقیقا همانند یک تسک یا نرم افزار عادیه. به همین دلیل نه تنها شما بلکه آنتی ویروستون هم نمیتونه بهش مشکوک بشه.
جالب اینجاست که من متوجه یک تسک مشکوک شدم ولی اعتمادم به ویندوز سکوریتی باعث شد نادیده بگیرمش.
در زمان نوشتن متن تنها گزینه هایی که میتونن توسط پردازش های لایه ای و با پرتوکل های خاص خودشون باج افزارها رو رفتار شناسی کنن و از encrypt شدن فایل هاتون جلو گیری کنن bitdefender و Malwarebytes هستند.
3. گرفتن بکاپ
مواردی مفید برای زمانی که متوجه شدید باج افزار در سیستم شماست
1. اگر در task manager متوجه مورد مشکوکی شدید. (مثل install 32 ) بلافاصله وارد C:\Windows\System32\drivers\etc بشید و فایل hosts رو با نت پد باز کنید. اگر متوجه هاست های مشکوک ( به صورت کلی هرچیزی به جز localhost ) شدید، این اولین نشانه از فعالیت باج افزار در سیستم شماست.
2. سریعا اتصالتون رو از اینترنت قطع کنید. باج افزارها به دو نوع فایل هاتون رو رمزنگاری میکنن. offline و online به صورت کلی و به دور از توضیحات تکنیکی، اگر باج افزار به اینترنت دسترسی نداشته باشه فایل هارو به صورت offline رمزنگاری میکنه . شانس شما برای decrypt کردن رمزهای offline بسیار بیشتر از نوع online هست.
3. با دیدن اولین نشانه بلافاصله Malwarebytes رو نصب کنید و ویندوز رو اسکن کنید. استفاده ازش تا 15 روز رایگانه.
4. آخرین نشانه از اتمام کار باج افزار پدیدار شدن تکست مربوط به باجگیر در تمام درایوها و فولدرهاتونه. که معمولا به اسم _readme است.
اگر این تکست ها رو دیدید یعنی کار باج افزار تمام شده و مصدوم آمادس. ولی هنوز میشه امیدوار بود.
5. بعد از دیدن تکست، فایل هاتون رو چک کنید ببینید هنوز بهشون دسترسی دارید یا خیر. فایل های encrypt شده پسوند جدیدی بهشون اضافه میشه و دیگه قابل اجرا نیستند.
6. اگر هنوز فایل ها سالم هستند، به هیچ وجه سیستم رو ری استارت یا ترن آف نکنید. این آخرین شانس شما برای بکاپ گرفتن از اطلاعاتتونه!!! با اولین ری استارت تمام فایل ها از دسترس خارج خواهند شد.
نکته : دیتاهای موجود در درایوی که ویندوز توش نصبه به هیچ وجه encrypt نمی شود.
بعد از حادثه
ابتدا تسلیت میگم.
تو این مرحله دیگه کار خاصی از دستتون ساخته نیست.
سه راه پیش رو دارید.
1. تلاشی نا امیدانه برای دیکراپت کردن فایل هاتون به وسیله کلید های موجود / ریکاوری هارد یا ری استور پوینت.
2. دادن باج و گرفتن کلید
3. فرمت کردن هارد
از اونجایی که در حال حاضر فقط یک نفر به صورت رایگان و تخصصی روی decrypt کار میکنه، نمیشه امید چندانی داشت.
موارد غیر رایگان هم هست که در ایران هیچ کسی قادر به انجامش نیست و فقط وقت و هزینه شمارو تلف میکنن. اما اگر قصد این کارو دارید رعایت چند نکته ضروریه.
1. باج افزار رو پاک نکنید و فقط در حالت قرنطینه نگهش دارید.
2. چک دیسک یا دفرگمنت انجام ندید.
3. به هیچ وسیله ای هیچ تغییری روی فایل های قفل شده و هارد دیسکتون انجام ندید.
آیا با دادن باج، باجگیر کلید رو به من میده؟
با توجه به تحقیقات من جواب کوتاه میشه بله. باجگیر کلید رو به شما میده.
اگر قصد دادن باج رو دارید خیلی زود و در عرض 24 ساعت تصمیم بگیرید و به وسیله ایمیل با باجگیر در ارتباط باشید.
ابتدا یکی از فایل های قفل شده رو براش بفرستید که مطمعن بشید کلیدش رو داره و از همه مهمتر به درستی کار میکنه. شنیدم در مواردی به دلیل پیچیدگی در قفل گذاری حتی با کلید درست هم نمیشه فایل هارو سالم برگردوند. پس قبل از دادن باج از این موضوع مطمعن شید.
لازم به ذکره تنها روش رایگانی که برای من کار کرد استفاده از ری استور پوینت ویندوز بود که حدودا 10% از دیتاهام رو برگردوند.
امیدوارم تونسته باشم کمکی هرچند کوچک کرده باشم. دیدگاه ها و تجربیات خودتون رو در این زمینه به اشتراک بزارید.
آخرین ویرایش:
Google