بعضی از قربانیان باج افزار Bad Rabbit امکان بازیابی فایل های از دسته رفته را دارند

بعضی از قربانیان باج افزار Bad Rabbit امکان بازیابی فایل های از دسته رفته را دارند

امکان بازیابی فایل های از دست رفته توسط Bad Rabbit وجود دارد .بیت دیفندر موفق به توقف و شناسایی باج افزار Bad Rabbit در همان شیوع ابتدایی این باج افزار شد. اگر شما از بیت دیفندر خانگی یا بیت دیفندر سازمانی به روز رسانی شده بر روی سیستم های خود استفاده میکنید پس جای نگرانی ندارید.

برخی از کاربران خیلی خوش شانس امکان بازگشت فایل های رمزنگاری شده توسط باج افزار Bad Rabbit را دارند چرا که آلودگی دارای برخی از اشتباهات فنی از سوی مهاجمین و نویسندگان این آلودگی میباشند.

این نقص ها به تازگی در یک به روز رسانی و گزارش از برخی محققان امنیتی منتشر شده است. این محققان ادعا دارند که توانسته اند برخی از عیب ها و نقص های کد نویسی در این نرم افزار را کشف کنند.

باج افزار Bad Rabbit درایو های Shadow Volume Copies را پاک نمیکند.

مهمترین خبر این است که Bad Rabbit فایل های Shadow Volume Copies را پاک نمیکند. این تکنولوژی در ویندوز باعث میشود که از فایل هایی که در سیستم موجود است یک اسنپ شات تهیه کند.

چون باج افزار با کپی کردن یک فایل، رویه ی خود را پیش میبرد. رمزنگاری فایل کپی و حذف فایل اصلی در اصل باعث ساختن یک درایو و بخش بر روی دیسک حافظه میشود. این فایل های Shadow (نامرئی) بر روی هارد برای مدت زمانی نامشخص نگه داشته میشوند و بر اساس فضای خالی میباشند.

بیشتر باج افزاران، ولوم ها و درایو های shadow را پاک میکنند تا از ریکاوری دیسک جلوگیری کنند.

بر اساس گزارشات، هرکسی که باج افزار Bad Rabbit را ساخته است اقدامی برای پاکسازی این بخش نداشته است. در حالی که درایو های Shadow Volume Copies تضمینی جهت بازگرداندن همه ی فایل های قربانی ندارند. اما حداقل باعث میشود که برخی از فایل های مربوط به اسناد بازگردند.

دومین نقص فنی در فایل

دومین اشتباهی که محققان موفق به کشف آن شدند مربوط به گذرواژه های رمزنگاری میشود.

مشابه دیگر انواع رمزنگاری در باج افزاران، Bad Rabbit با رمزنگاری فایل های قربانی کار میکند، رمزنگاری MFT و سپس جایگزین شدن MBR با یک صفحه ی بوت دیگر انجام میشود.

در این صفحه ی بوت جعلی، Bad Rabbit یک کلید نصب شخصی را نشان میدهد که قربانی میبایست در یک سایت Tor وارد کند و بعد از آن باج را پرداخت و کلید رمزگشایی اختصاصی خود را دریافت کند.

" در بخشی از آنالیز های ما، ما گذرواژه ای که از طرف آلودگی منتشر میشود را استخراج کردیم و سعی کردیم که گذرواژه را در سیستمی که قفل شده بود وارد کنیم. چنین هم شد و گذرواژه جواب داد و پروسه ی بوت به کار خود ادامه داد. "


 

متاسفانه، این روش تنها بوت لود اختصاصی را دور میزند و زمانی که کاربران سیستم خود را بوت میکنند، فایل های رمزنگاری شده همچنان حضور دارند.

" اگرچه، ما نقص هایی در کد نویسی dispci.exe پیدا کردیم. آلودگی گذرواژه ی به دست آمده را از حافظه پاک نمیکند، این بدان معناست که شانس کوچکی جهت استخراج آن هست، پیش از آنکه فایل اجرایی dispci.exe به اتمام برسد. "

مشکل اینجاست که اگر کاربر سیستم خود را ریبوت کند. گذرواژه مورد نظر از حافظه پاک میشود و همچنین هرگونه شانسی جهت بازیابی فایل ها (بدون اینکه پرداخت انجام شود) از دست میرود.

در هر صورت روش هایی که در بالا ذکر شد میتواند کورسوی امیدی جهت بازیابی و برگرداندن فایل ها باشد چرا که پرداختن باج به باج گیران به هیچ عنوان توصیه نمیشود و هیچ تضمینی در بازگشت فایل های شما ندارد. پشتیبانی بیت دیفندر نیز توصیه هایی جهت پیشگیری و دچار نشدن به این باج افزار به شما دارد:

  • همیشه و در همه جا یک بکاپ قابل اعتماد از فایل های خود تهیه کنید و در یک فضای امن از آن نگه داری کنید. همچنین میتوانید برای سیستم خود یک هارد اینترنال دیگر تهیه کنید و عمل میرور سازی را انجام دهید تا به صورت ممتد از هرگونه اطلاعات شما بکاپ گرفته شود و اطلاعات شما در صورت آلودگی از دست نرود.
  • آنتی ویروس نقش به سزایی در محافظت سیستم شما دارد. پیشنهاد ما به شما آنتی ویروس بیت دیفندر است. بیت دیفندر در زمینه ی آنتی ویروس سازمانی دارای محصولات قدرتمند و متنوعی میباشد. برای تهیه ی بیت دیفندر سازمانی یا بیت دیفندر خانگی میتوانید به سایت ما مراجعه نمایید. لازم به ذکر است که بیت دیفندر موفق به توقف و شناسایی باج افزار Bad Rabbit در همان شیوع ابتدایی این باج افزار شد. اگر شما از بیت دیفندر خانگی یا آنتی ویروس سازمانی به روز رسانی شده بر روی سیستم های خود استفاده میکنید پس جای نگرانی ندارید.
  • دسترسی UAC را به هیچ عنوان نبندید و حتی الامکان آن را فعال بگذارید.
  • از باز کردن ایمیل های اسپم در پوشه ی اسپم جدا خودداری کنید. ایمیل ها و کمپین های اسپم اولین راه انتقال باج افزاران به سیستم یا مجموعه ی شما میباشد.
  • پچ و به روز رسانی های ویندوز خود را انجام بدهید. باج افزاران مشابه ای چون واناکرای از رخنه ها و نقص های موجود در ویندوز که از سوی مایکروسافت برطرف نشده بود وارد سیستم و بخش MBR ویندوز میشد.