انجمن‌ها

با سلام،

اخیراً مشاهده گردیده، سرور چند مرکز به دلیل رعایت نکردن مسائل امنیتی و بروز رسانی ویندوز و نرم‌افزارهای زیرساخت، مورد حمله ویروس‌ها قرار گرفته و متأسفانه به از دست رفتن کل اطلاعات، منجر شده است. لازم به ذکر است که این مراکز یا از اطلاعات خود پشتیبان (Backup) نداشته، و یا پشتیبان را بر روی همان سرور نگهداری می‌کرده‌اند. لذا جهت جلوگیری از این امر رعایت موارد ذیل الزامی است:

راه‌های پیشگیری

1. استفاده از نسخ ویندوز ، SQL ، و نرم‌افزارهای زیرساخت و یا کاربردی (Edge, Chrome ... ) که در حال حاضر همچنان از بروزرسانی مایکروسافت  و شرکتهای تولید کننده دیگر برخوردارند و بروز‌رسانی آن‌ها با آخرین update های امنیتی موجود
2. نصب آنتی‌ویروس اورجینال با دیتابیس بروز و استفاده از آخرین نسخه آن، بر روی سرور و کلیه کامپیوترهای شبکه.
3. بالا بردن دانش کاربران در استفاده از اینترنت و ایمیل، که از بازکردن ایمیل‌های تبلیغاتی یا ناآشنا و دانلود یا کلیک روی pop up ناشناس بپرهیزند.
4. شناسایی خطرهای ناشی از فعال بودن ماکروها در برنامه‌های آفیس، نظیر ورد و  اکسل و عدم دانلود آنها.
5. استفاده از پسورد‌های  Complex‌ برای کاربران.
6. تهیه پشتیبان (Backup) دوره‌ای از اطلاعات، بخصوص سرورها.
7. کنترل سلامت و انتقال پشتیبان سالم از سرور بر روی مدیاهای مختلف مانند: فلش، DVD، هارد اکسترنال، Cloud ،Tape Backup و غیره.

طی بررسی‌های بعمل آمده اخیرا ویروس‌های باج گیر بسیار فعال شده‌اند، به همین دلیل جهت آشنایی بیشتر با این دسته از ویروس‌ها مطلب زیر ارایه می‌گردد:

ویروسهای باجگیر (Ransomware)

ویروسهای باجگیر به ویروسهایی گفته میشود که با نفوذ به سیستم قربانی با جستجو در اطلاعات سیستم، فایلها را توسط کدهایی نظیر AES رمزگذاری کرده و سپس با ایجاد پیغام بر روی صفحه نمایش قربانی، از او درخواست مبلغی پول می‌کنند که به صورت واحد پول اینترنتی (Bitcoin) که قابلیت ردگیری ندارد، پرداخت گردد. بعضی از این بدافزارها در صورت پرداخت نشدن باج در موعد مشخص، مبالغ درخواستی را افزایش می‌دهند.

از جمله این ویروس‌های باجگیر می‌توان به بدافزارهایی نظیر لاکی (Locky)، سربر (Cerber)، تسلاکریپت (Tesla Crypt) و کریپتولاکر (CryptoLocker) اشاره کرد که البته نرم‌افزارهایی نیز برای رمزگشایی فایل‌های آلوده معرفی شده‌اند که در برخی موارد موفق بوده و در برخی موارد نتوانسته‌اند کاری از پیش ببرند.

بنابراین بهترین راه حل برای مقابله با این نوع ویروس‌ها جلوگیری از ورود این ویروس‌ها به سیستم با استفاده از ویندز بروز و آنتی ویروس‌های به روز، عدم باز کردن فایل‌ها یا لینک‌های ناشناس، به خصوص از طریق ایمیل و یا تبلیغات فریبنده در اینترنت می‌باشد. همچنین داشتن بک آپ بروز از محتویات حافظه سیستم و یا اطلاعات مهم می‌تواند در مواقع آلوده شدن به این ویروس نجات بخش باشد.

روش‌های نفوذ ویروس به کامپیوتر قربانی:

1. حفره‌های باز امنیتی در ویندوز، Remote Desktop ، Chrome، Edge، SQL  و سایر نرم‌افزارهای زیرساخت که با آخرین بروزرسانی شرکت تولید کننده بروز نشده
2. آگهی‌های تبلیغاتی که بصورت جذاب طراحی و با یک کلیک بر روی آنها، ویروس به دستگاه قربانی فرستاده می‌شود.
3. دانلود برنامه‌های کرک شده که همراه برنامه اصلی ویروس هم به دستگاه قربانی وارد می‌شود.
4. ایمیل‌های ناشناس، تبلیغاتی و هرزنامه‌ها که با دانلود و اجرای آنها، ویروس نیز منتقل می‌شود.
5. فایلهای آلوده اشتراک گذاری شده در شبکه که دیگر کامپیوتر ها هم آلوده می‌کنند. 

نمونه نرم‌افزار باج‌گیر و عملکرد آن : نحوه خرابکاری ویروس باج گیر سربر3

این ویروس به محض آلوده نمودن کامپیوتر، خودش را در پوشه %AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\ کپی کرده و نام خود را بصورت تصادفی با نام یکی از برنامه‌های اجرایی ویندوز مثلاً autochk.exe تغییر می‌دهد. سپس با دستکاری تنظیمات ویندور باعث بوت شدن اتوماتیک ویندوز و بالا آمدن آن در حالت سیف مد (Safe Mode) می‌شود. در حالت «سیف مد» خود را بعنوان «محافظ صفحه» به سیستم تحمیل می‌کند. سپس با خاموش و روشن کردن سیستم شروع به دستکاری اطلاعات فایل‌های شخصی  قربانی می‌کند.

ویروس سربر، فایل‌های زیر را بر روی صفحه اصلی ویندوز (دسکتاپ) و داخل پوشه‌های آلوده قرار می‌دهد و در آن دستورالعمل پرداخت باج را برای بازگرداندن اطلاعات توضیح می‌دهد.

هدف اصلی این ویروس رمزگذاری محتوای فایل‌های مهم و شخصی قربانی است، بطوری که فایل‌های او غیرقابل استفاده گردند و مجبور به پرداخت باج شود. اکثر فایل‌های متنی، تصویری، صوتی و اطلاعاتی توسط ویروس سربر۳ مورد حمله قرار می‌گیرد.

متاسفانه با اینکه هنوز مدت زیادی از پخش ویروس باج گیر « سربر۳ » نگذشته، نسخه ۴ آن انتشار یافته و بصورت بسیار گسترده در حال آلوده کردن کامپیوترهای تمام دنیا می‌باشد. از آنجایی که یکی از اهداف ویروس سربر۴ از کار انداختن برنامه SQL Server و رمزگذاری فایلهای mdf. و ldf. به قصد باجگیری است، شدیداً توصیه می‌شود از فایلهای مهم  SQL Server خود بر روی DVD پشتیبان تهیه نمایید. یکی از تغییرات جدید در  نسخه ۴ ویروس سریر، تغییر فرمت «متن باجگیری» از فرمت html به فرمت hta می‌باشد.

نتیجه‌گیری و راه‌های پس از مواجه شدن با باج‌گیر

به‌طور کلی بهترین روش در امان بودن از ویروس‌ها، پیشگیری است، که در بالا بیان گردید. اما اگر به هر دلیلی اطلاعات سرور شما به ویروس آلوده گردید، بهترین راه حل منطقی نصب مجدد سیستم عامل بروز، آنتی‌ویروس، آخرین نسخه از نرم‌افزارهای کاربردی و نهایتاً بازیابی آخرین پشتیبان سالم (بسته به حجم اسناد وارده، حتی تا چند هفته قبل) می‌باشد.

در صورت عدم وجود پشتیبان بروز و سالم، برخی باج‌گیرهای قدیمی با استفاده از ابزار موجود ارائه شده توسط شرکت‌های تولید کننده آنتی‌ویروس، قابل باز کردن بوده و در غیر این صورت شرکت‌هایی در ایران با تخصص بازسازی داده با Shadow Copy و یا Hard Drive Recovery و یا بازسازی SQL Data Header وجود دارند که ممکن است بخشی از داده را باز گردانند (از آنجا که فایل SQL برخی داده‌ها بسیار بزرگ است و باج افزارها تلاش دارند تا با سرعت بیشتر داده را رمزگذاری کنند، بسیاری از آن‌ها تنها Header داده SQL را رمزگذاری کرده و بازسازی حدودی این نوع خرابی توسط متخصصین تا حدودی امکان پذیر است). شرکت نوسا این تخصص را نداشته و هیچ شرکت مورد تأیید و قابل اطمینانی را در این زمینه نمی‌تواند معرفی کند.

پس از باز سازی داده توسط متخصص، داده شما همچنان کامل نبوده و ساختار آن با خرابی مواجه خواهد بود، هر چند این داده ممکن است باز شود و داده شما قابل بازبینی باشد ولیکن به احتمال زیاد داده و ساختار همچنین مخدوش بوده و استفاده از آن خارج از گزارش‌گیری هرگز پیشنهاد نمی‌شود، این نوع پایگاه خراب از پشتیبانی شرکت نوسا خارج است. جهت اطمینان از صحت ساختار پایگاه و داده سالم، ابتدا یک فایل صادره حاوی تمامی اطلاعات سیستم گرفته و آن را در پایگاه جدیدی برگردانید. اگر موفق شدید، با دفتر تهران شرکت نوسا تماس حاصل فرمایید تا سلامت این پایگاه را برای شما چک کنند، پس از این کنترل، پایگاه جدید شما قابل استفاده می‌باشد (ولیکن XML برخی اطلاعات مانند شماره توالی اسناد را به ناچار تغییر می‌دهد که در پست‌های دیگر در این انجمن‌ها اطلاعات مربوط به آن موجود است). 

در صورتی که دریافت یا برگرداندن فایل صادره حاوی تمامی اطلاعات در پایگاه جدید با خطا مواجه شده و امکان‌پذیر نیست، داده موجود دچار مشکلات بزرگی است، پس از پیگیری مجدد با شرکت یا شخص طرف قرارداد جهت ریکاوری داده و تلاش به دریافت کپی بهبود یافته داده باز سازی شده، در صورتی که همچنان استفاده از XML برای انتقال اطلاعات با خطا مواجه می‌شود، با شرکت نوسا تماس حاصل فرمایید تا در صورت امکان، زمان حدودی و هزینه بازسازی داده unencrypt شده شما پس از دریافت کپی پایگاه داده خراب و آخرین فایل پشتیبان موجود محاسبه گردد، این گونه بازسازی احتمالاً با از دست دادن بخشی (شاید گسترده) از داده امکان‌پذیر خواهد بود. 

در صورتی که بازیابی داده شما توسط شرکت نوسا نیز غیر قابل انجام (و یا بسیار زمان بر و هزینه بر) تشخیص داده شود، تنها ورود مجدد تمامی داده از زمان آخرین پشتیبان سالم و امید به پیدا شدن نحوه unencrypt کردن باج افزار درگیر شده در آینده و یا پرداخت هزینه به تولید کننده باج افزار و امید به ارسال کلید بازیافت داده توسط مخدوش کننده سیستم برای مشتری باقی می‌ماند. 

با ارادت