ITanalyze

اگر افراد متوجه شوند باج‌افزاری، فایل‌هایشان را رمزگزاری کرده است چه می‌کنند؟ اولش از حال می‌روند، بعد نگرانی وجودشان را پر می‌کند و بعدش هم می‌گردند دنبال راهی برای بازیابی اطلاعاتشان آن هم بدون اینکه ذره‌ای باج به اخاذان بدهند (که خوب چنین کاری بیهوده است). به بیانی دیگر آن‌ها می‌روند اینترنت و راهکار را در گوگل سرچ می‌کنند؛ شاید هم در شبکه‌های اجتماعی بخواهند در این مورد با بقیه مشورت کنند. این دقیقاً همان چیزیست که سازندگان تروجان Zorab می‌خواهند؛ آن‌ها این بدافزار را در ابزاری جاسازی کرده‌اند که ظاهراً نشان می‌دهد می‌خواهد به قربانیان STOP/Djvu کمک کند. در ادامه با ما همراه شوید تا این رمزنگاریِ دوبل را مورد بررسی قرار دهیم.

رمزگشای جعلی STOP به عنوان تله
در واقع، مجرمان سایبری تصمیم‌ گرفته‌اند مشکلاتی که از پیش گریبان قربانیان باج‌افزار STOP/Djvu را گرفته بود تشدید کنند؛ این باج‌افزار کارش رمزگزاری داده‌هاست و بسته به نوع نسخه، افزونه‌ای را برای فایل‌های دستکاری‌شده تعیین می‌کند (گزینه‌ها شامل .djvu، .djvus، .tfunde و .uudjvu می‌شود).
شما به طور حتم می‌توانید فایل‌هایی را که نسخه‌های قبلی STOP دستکاری کرده بودند رمزگشایی کنید (Emsisoft اکتبر 2019 ابزاری را عرضه کرد) اما نسخه‌های مدرن از الگورتیم رمزگزاری قابل‌اطمینان‌تری استفاده می‌کنند که بواسطه‌ آن‌ها فناوری فعلی نمی‌تواند کرک‌شان کند. بنابراین دست‌کم در حال حاضر هیچ ابزار رمزگشایی‌ای برای نسخه‌های مدرن STOP/Djvu وجود ندارد. می‌گوییم «در حال حاضر» چون ابزارهای رمزگشایی در یکی از این دو حالت پدیدار می‌شوند: یا مجرمان سایبری در الگوریتم رمزگزاری خطا می‌کنند (یا صرفاً از رمز ضعیفی استفاده می‌کنند) یا پلیس رد سرورهایشان را می‌زند.
مطمئناً سازندگان ممکن است داوطلبانه رمزها را نشر دهند؛ اما احتمالش خیلی کم است؛ حتی اگر این کار را هم بکنند شرکت‌های امنیت اطلاعات همچنان باید ابزاری کارامد را درست کنند تا بواسطه‌ی آن قربانیان بتوانند اطلاعات خود را بازیابی کنند. این اتفاق برای رمز فایل‌های آلوده به باج‌افزار Shade افتاد و ما در آوریل سال جاری برنامه‌ی رمزگشایی‌ای برایش نشر کردیم.

چطور بدانیم رمزگشایی جعلی است یا واقعی؟
رمزگشاهای واقعی که سازندگانی خیرخواه دارند بعید است روی سایت‌های ناشناس قرار گیرند. سازندگان چنین ابزارهایی محال است بخواهند لینکی مستقیم روی تالار گفت‌وگو یا شبکه‌ای اجتماعی تأمین کنند. ابزارهای رمزگشای واقعی را می‌شود روی وبسایت‌های شرکت‌های فعال در حوزه امنیت اطلاعات یا روی پورتال‌های تخصصی ویژه‌ی مبارزه با باج‌افزار (مانند nomoreransom.org) پیدا کرد. به ابزارهایی که در جاهایی دیگر میزبانی می‌کنند شک کنید. مجرمان سایبری از وحشت قربانیان تغذیه می‌کنند؛ آن‌ها می‌دانند کسی که فایل‌های خود را در یک کریپتور از دست داده است حاضر است به هر ریسمانی چنگ بزند بلکه روزنه‌ی امیدی به سراغش بیاید. حتی اگر باور دارید ابزاری بسیار معتبر و مفید است باز هم لازم است ذهنیت شخصی را کنار گذاشته، به مسئله بی‌طرف نگاه کرده و صحت عملکرد آن را مورد بررسی قرار دهید. اگر ذره‌ای به آن ابزار شک کردید حتی طرف آن هم نروید.

راهکارهای امنیتی
•    لینک‌های مشکوک را دنبال نکرده و یا اگر به منبع فایل‌ها قابل‌اجرا اعتماد ندارید آن‌ها را اجرا نکنید. اگر به دنبال رمزگشا هستید، قابل‌اطمینان‌ترین منابع –جاهایی که باید اول از همه سرچ کنید- noransom.kaspersky.com، nomoreransom.org (پروژه‌ای مشترک اجراشده توسط چندین شرکت) و سایت‌های سایر فروشندگان راهکار امنیتی خواهد بود. اگر جای دیگری ابزار رمزگشا پیدا کردید اکیداً توصیه می‌کنیم پیش از اینکه حتی شروع به استفاده از آن کنید قانونی بودن سایت و اعتبار نویسندگان آن را مورد سنجش قرار دهید.
•    از مهمترین فایل‌ها نسخه‌های بک‌آپ تهیه کنید.
•    از راهکار امنیتی مطمئنی استفاده کنید که باج‌افزارهای شناخته‌شده را شناسایی کرده و در مواجهه با چیزی مشکوک، اقداماتی که قصدشان دستکاری فایل‌هاست را شناسایی و بلاک می‌کند.
پیشنهاد ما برای شرکت‌هایی که از باج‌افزارها می‌ترسند اما همچنان تکیه‌شان بر سایر لایه‌های محافظتی است Kaspersky Anti-Ransomware Tool است. این محصول که با اکثر راهکارهای امنیتی سازگار است، تهدیدهایی را که می‌توانند خطوط دفاعی‌شان را بشکنند شناسایی می‌کند.
 
منبع: کسپرسکی آنلاین

تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)