روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ باج‌افزار Shade که معرف حضورتان هست، اینطور نیست؟ این پست را از این رو منتشر کردیم زیرا Shade دیگر نوعی تهدید به حساب نمی‌آید و شما می‌توانید فایل‌های خود را –حتی آن‌هایی که توسط جدیدترین نسخه‌های Shade رمزگذاری‌ شده بودند- باز پس گیرید. در ادامه همراهمان باشید تا ضمن مروری بر ماهیت  باج‌افزار Shade، تیم پشت پرده‌ی آن و راهکار امنیتی برای جلوگیری از آن  یک ابزار رمزگشاییِ Shade نیز خدمتتان معرفی کنیم.

باج‌افزار Shade چیست؟

Shade که همچنین به Troldesh نیز معروف است یک رمزگذار (کریپتور) منحوس است که در سال 2015 شروع به انتشار مجدد کرد. Shade اسناد، عکس‌ها و آرشیوهای اداری را (به همراه برخی انواع دیگر فایل) رمزگذاری نموده و بعد از قربانیان در ازای رمزگشایی آن باج خواست. رشته‌های[1] مختلف از فایل‌نِیم‌های پر زرق و برقی چون breaking_bad و da_vinci_code استفاده کردند. Shade هم دوستان خودش را به میدان آورد- بعد از رمزگذاری هرآنچه دلش خواسته بود شروع کرد به دانلود سایر بدافزارها.

در سال 2016، تحلیلگران بدافزار ما تصمیم به ساخت یک رمزگشا (دیکریپتور) برای نسخه‌های Shade (که آن زمان موجود بودند) گرفتند. همکاری نیروی پلیس و محققین امنیتی و نیز در اختیار داشتن رمز سرورها همگی دست در دست هم داد تا این مهم میسر شود. با این حال، دست‌های پشت پرده‌ی Shade هیچ‌جا نرفت و همچنان به ساخت رشته‌های جدید باج‌افزاری (که دیکریپتور ما دیگری روی آن‌ها کار نمی‌کرد) ادامه داد. مهاجمین ادامه دادند به انتشار Shade، باج‌افزاری که تا اواسط سال 2019 نیز بسیار فعال مانده بود.

تیم پشت Shade

اما در نهایت اوضاع تغییر کرد. اواخر سال 2019 اوایل سال 2020 تعداد کاربرانی که با باج‌افزار Shade مواجه شده بودند به طور قابل‌ملاحظه‌ای در مقایسه با سال‌های گذشته ریزش کرد. و بعد مهاجمین پسِ این باج‌افزار اعلام کردند که تصمیم به ترک گرفتند. حتی برای دردسرهایی ایجادشده‌شان هم معذرت‌ خواستند و برای رمزگشایی فایل‌ها 750 هزار کلید منتشر کردند.

این دلیل خوبیست برای آپدیت کردن ابزار رمزگشایی؛ درست همان کاری که ما کردیم. دیکریپتور جدید Shade اکنون روی سایت noransom.kaspersky.com موجود است و می‌تواند به افراد کمک کند تا تمام فایل‌های رمزگذاری‌شده‌شان توسط Shade را –فرقی ندارد چه نسخه‌ای از Shade آن‌ها را به دردسر انداخته بود- بازگردانند. یادتان باشد که ما همیشه می‌گوییم نباید به باج‌افزارها باج بدهید حتی اگر هیچ رمزگشایی آن لحظه وجود نداشته باشد که فایل‌های خود را پس بگیرید زیرا در نهایت یکی ساخته خواهد شد. این نمونه‌ی بارز چنین ادعا و توجیهی مناسب برای اینکه چرا باید در چنین مواقعی صبر کنید (حتی اگر توسط نوع دیگری از باج‌افزار نیز  مورد حمله قرار گرفته باشید). بالاخره روزی دیکریپتوری وجود خواهد داشت.

راهکار امنیتی

اکنون تمام قربانیان Shade می‌توانند فایل‌های خود را برگردانند. با این حال، بهتر بود از همان اول نمی‌گذاشتند فایل‌هایشان به این روز بیافتد. در ادامه سه توصیه معمول ارائه داده‌ایم که امید است با این سه وصیه دیگر فریب ترفندهای باج‌افزارها را نخورید:

• مرتباً بک‌آپ بگیرید.
• روی لینک‌های مشکوک کلیک نکرده و پیوست‌ ایمیل‌هایی که از سوی فرستندگان ناشناش به دستتان می‌رسد باز ننمایید. در اصل باید از عقل سلیم خود اینجور مواقع کمک بگیرید. وقتی بردارهای معمول حمله را شناختید، دیگر خودداری از تهدیدهایی چون Shade جزوی از طبیعت‌تان می‌شود.
• از راهکار امنیتی خوب استفاده کنید. حتی اگر فکر می‌کنید در شناسایی تهدیدهای احتمالی هوش خوبی دارید باز هم یک راهکار امنیتی مطمئن (اگر یک در هزار موردی را از قلم انداخته باشید) به شما کمک خواهد کرد.

[1] strain

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.