روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ اگر افراد متوجه شوند باجافزاری، فایلهایشان را رمزگزاری کرده است چه میکنند؟ اولش از حال میروند، بعد نگرانی وجودشان را پر میکند و بعدش هم میگردند دنبال راهی برای بازیابی اطلاعاتشان آن هم بدون اینکه ذرهای باج به اخاذان بدهند (که خوب چنین کاری بیهوده است). به بیانی دیگر آنها میروند اینترنت و راهکار را در گوگل سرچ میکنند؛ شاید هم در شبکههای اجتماعی بخواهند در این مورد با بقیه مشورت کنند. این دقیقاً همان چیزیست که سازندگان تروجان Zorab میخواهند؛ آنها این بدافزار را در ابزاری جاسازی کردهاند که ظاهراً نشان میدهد میخواهد به قربانیان STOP/Djvu کمک کند. در ادامه با ما همراه شوید تا این رمزنگاریِ دوبل را مورد بررسی قرار دهیم.
رمزگشای جعلی STOP به عنوان تله
در واقع، مجرمان سایبری تصمیم گرفتهاند مشکلاتی که از پیش گریبان قربانیان باجافزار STOP/Djvu را گرفته بود تشدید کنند؛ این باجافزار کارش رمزگزاری دادههاست و بسته به نوع نسخه، افزونهای را برای فایلهای دستکاریشده تعیین میکند (گزینهها شامل .djvu، .djvus، .tfunde و .uudjvu میشود).
شما به طور حتم میتوانید فایلهایی را که نسخههای قبلی STOP دستکاری کرده بودند رمزگشایی کنید (Emsisoft اکتبر 2019 ابزاری را عرضه کرد) اما نسخههای مدرن از الگورتیم رمزگزاری قابلاطمینانتری استفاده میکنند که بواسطه آنها فناوری فعلی نمیتواند کرکشان کند. بنابراین دستکم در حال حاضر هیچ ابزار رمزگشاییای برای نسخههای مدرن STOP/Djvu وجود ندارد. میگوییم «در حال حاضر» چون ابزارهای رمزگشایی در یکی از این دو حالت پدیدار میشوند: یا مجرمان سایبری در الگوریتم رمزگزاری خطا میکنند (یا صرفاً از رمز ضعیفی استفاده میکنند) یا پلیس رد سرورهایشان را میزند.
مطمئناً سازندگان ممکن است داوطلبانه رمزها را نشر دهند؛ اما احتمالش خیلی کم است؛ حتی اگر این کار را هم بکنند شرکتهای امنیت اطلاعات همچنان باید ابزاری کارامد را درست کنند تا بواسطهی آن قربانیان بتوانند اطلاعات خود را بازیابی کنند. این اتفاق برای رمز فایلهای آلوده به باجافزار Shade افتاد و ما در آوریل سال جاری برنامهی رمزگشاییای برایش نشر کردیم.
چطور بدانیم رمزگشایی جعلی است یا واقعی؟
رمزگشاهای واقعی که سازندگانی خیرخواه دارند بعید است روی سایتهای ناشناس قرار گیرند. سازندگان چنین ابزارهایی محال است بخواهند لینکی مستقیم روی تالار گفتوگو یا شبکهای اجتماعی تأمین کنند. ابزارهای رمزگشای واقعی را میشود روی وبسایتهای شرکتهای فعال در حوزه امنیت اطلاعات یا روی پورتالهای تخصصی ویژهی مبارزه با باجافزار (مانند nomoreransom.org) پیدا کرد. به ابزارهایی که در جاهایی دیگر میزبانی میکنند شک کنید. مجرمان سایبری از وحشت قربانیان تغذیه میکنند؛ آنها میدانند کسی که فایلهای خود را در یک کریپتور از دست داده است حاضر است به هر ریسمانی چنگ بزند بلکه روزنهی امیدی به سراغش بیاید. حتی اگر باور دارید ابزاری بسیار معتبر و مفید است باز هم لازم است ذهنیت شخصی را کنار گذاشته، به مسئله بیطرف نگاه کرده و صحت عملکرد آن را مورد بررسی قرار دهید. اگر ذرهای به آن ابزار شک کردید حتی طرف آن هم نروید.
راهکارهای امنیتی
- لینکهای مشکوک را دنبال نکرده و یا اگر به منبع فایلها قابلاجرا اعتماد ندارید آنها را اجرا نکنید. اگر به دنبال رمزگشا هستید، قابلاطمینانترین منابع –جاهایی که باید اول از همه سرچ کنید- noransom.kaspersky.com، nomoreransom.org (پروژهای مشترک اجراشده توسط چندین شرکت) و سایتهای سایر فروشندگان راهکار امنیتی خواهد بود. اگر جای دیگری ابزار رمزگشا پیدا کردید اکیداً توصیه میکنیم پیش از اینکه حتی شروع به استفاده از آن کنید قانونی بودن سایت و اعتبار نویسندگان آن را مورد سنجش قرار دهید.
- از مهمترین فایلها نسخههای بکآپ تهیه کنید.
- از راهکار امنیتی مطمئنی استفاده کنید که باجافزارهای شناختهشده را شناسایی کرده و در مواجهه با چیزی مشکوک، اقداماتی که قصدشان دستکاری فایلهاست را شناسایی و بلاک میکند.
پیشنهاد ما برای شرکتهایی که از باجافزارها میترسند اما همچنان تکیهشان بر سایر لایههای محافظتی است Kaspersky Anti-Ransomware Tool است. این محصول که با اکثر راهکارهای امنیتی سازگار است، تهدیدهایی را که میتوانند خطوط دفاعیشان را بشکنند شناسایی میکند.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
