9مرحله برای واکنش به حملات باج‌افزاری

9 مرحله برای واکنش به حملات باج‌افزاری

اگر شک کردید که مورد حمله باج‌افزار قرار گرفته‌اید، مهم است که سریع اقدام کنید. خوشبختانه، چندین مرحله وجود دارد که می‌توانید با انجام آنها بهترین شانس را برای به حداقل رساندن خسارت و بازگشت سریع به روال عادی کسب و کار داشته باشید.

1. جداسازی دستگاه آلوده: باج افزاری که بر روی یک دستگاه تاثیر می‌گذارد، مشکلی معمولی است. باج افزاری که بتواند تمام دستگاه های شما را آلوده کند، فاجعه‌ای بزرگ است و به خوبی می‌تواند شما را برای همیشه از تجارت کنار بگذارد. تفاوت بین این دو اغلب به زمان واکنش برمی گردد. برای اطمینان از ایمنی شبکه، درایو‌های اشتراک گذاری و سایر دستگاه‌ها، ضروری است که تمام دستگاه‌های آلوده خیلی سریع از شبکه، اینترنت و سایر دستگاه ها جدا شوند. هرچه زودتر این کار را انجام دهید، احتمال آلوده شدن دستگاه‌‌های دیگر کمتر خواهد بود.

2. مانع گسترش شوید: باج افزار با سرعت حرکت می‌کند و دستگاه دارای باج افزار لزوما منبع اصلی آلودگی نیست. جداسازی سریع دستگاه آلوده نمی‌تواند تضمین کند که باج افزار در جای دیگری در شبکه شما وجود نداشته باشد. برای محدود کردن موثر دامنه باج افزار، باید همه دستگاه هایی را از شبکه جدا کنید که رفتاری مشکوک دارند از جمله دستگاه هایی که در خارج از شبکه کار می کنند، اگر به شبکه وصل باشد، هر کجا که باشند خطر ایجاد می‌کنند. خاموش کردن اتصال بیسیم (WIFI، بلوتوث و غیره) در این مرحله نیز ایده خوبی است.
3. خسارت‌ها را ارزیابی کنید: برای تعیین اینکه کدام دستگاه‌ها آلوده شده اند، فایل‌های را بررسی کنید که به تازگی با نام پسوندهای عجیب فایل رمزگذاری شده‌اند و به دنبال گزارش نام فایل‌های عجیب یا کاربرانی باشید که برای باز کردن فایل‌ها مشکل دارند. اگر دستگاه‌هایی را یافتید که کاملاً رمزگذاری نشده اند، باید آنها را جدا کرده و خاموش کنید تا از حمله ، آسیب و از دست دادن داده‌های بیشتر جلوگیری شود. هدف شما ایجاد لیستی جامع از تمام دستگاه‌های آسیب دیده، از جمله دستگاه‌های ذخیره سازی شبکه، فضای ابری، حافظه خارجی هارد دیسک (شامل فلش مموری‌ها)، لپ تاپ‌ها، تلفن‌های هوشمند و سایر بردارهای موجود است. در این مرحله، قفل کردن منابع داده‌ای مشترک عاقلانه است. در صورت امکان همه آنها باید محدود شوند. اگر نه، تا آنجا که دسترسی دارید محدود کنید. انجام این کارها خود هرگونه رمزگذاری در حال پیشرفت را متوقف می‌کند و همچنین باعث می‌شود دیگر قسمت‌های در حال بهبود آلوده نشوند. اما قبل از انجام این کار به منابع داده‌ای مشترک رمزگذاری شده نگاهی بیندازید. چنین کاری اطلاعات مفیدی را به شما می‌دهد: اگر دستگاهی فایل‌های باز شده بیش از حد معمول داشته باشد، شاید منبع اصلی آلودگی باشد.
4. پیدا کردن منبع اصلی آلودگی: با شناسایی منبع، پیگیری محل آلودگی بسیار ساده‌تر می‌شود. برای انجام این‌کار ممکن است هشدار‌هایی را بررسی کنید که از آنتی ویروس/ضدبدافزار،EDR  یا هر نوع پلتفرم کنترلی فعال برای شما آمده باشد. و از آنجا که اکثر باج افزارها از طریق پیوندها و پیوست‌های ایمیل مخرب وارد شبکه می‌شوند، که نیاز به اقدام از جانب کاربر نهایی دارند، سوال در مورد فعالیت‌های آنها (مانند باز کردن ایمیل‌های مشکوک) و چیزی که متوجه آن شده‌اند، می‌تواند مفید باشد. در نهایت، بررسی ویژگی‌های خود فایل هم می‌تواند سرنخی را ارائه دهد. 
5. شناسایی باج افزار: قبل از ادامه کار، مهم است پی ببرید که با چه نوع باج افزاری سر و کار دارید. یکی از راه‌های شناسایی این است که از سایت No More Ransom دیدن کنید، ابتکاری جهانی که McAfee  بخشی از آن است. این سایت دارای مجموعه ای از ابزارهاست که کمک می‌کند داده‌هایتان را آزاد کنید، از جمله ابزارcrypto sheriff  (کلانتر رمزنگاری). فقط کافی است یکی از فایل‌های رمزگذاری شده خود را بارگذاری کنید تا برای پیدا کردن نوع همسان آن، اسکن شود. همچنین می توانید از اطلاعات موجود در یادداشت باج استفاده کنید. هنگامی که باج افزار را پیدا کردید و کمی درباره واکنش آن تحقیق کردید، باید سریع به تمام کارکنان دیگر هشدار دهید تا آنها بدانند چگونه علائمی را شناسایی کنند که نشان می‌دهد آلوده شده‌اند.
6. باج افزار را به مسئولین گزارش دهید: به محض اینکه باج افزار مهار شد، به دلایل مختلف با مجریان قانونی تماس بگیرید. اول از همه باج افزار خلاف قانون است و مانند هر جرم دیگری، باید به مقامات مربوطه گزارش شود. دوم اینکه به گفته اداره تحقیقات فدرال ایالات متحده، «ممکن است مجریان قانون بتوانند از مراجع قانونی و ابزارهایی استفاده کنند که برای اکثر سازمان‌ها در دسترس نیست.» مشارکت با مجریان قانون بین المللی می‌تواند به یافتن داده‌های سرقت شده یا رمزگذاری شده و محاکمه عاملان کمک کند. در پایان، این حمله ممکن است پیامد‌هایی انطباقی به همراه داشته باشد: طبق شرایط  GDPR، اگر ظرف 72 ساعت از نقض اطلاعات شهروندان اتحادیه اروپا به ICO اطلاع داده نشود، ممکن است تجارت شما متحمل جریمه‌های سنگینی شود.
7. پشتیبان‌ها را ارزیابی کنید: اکنون زمان شروع فرایند پاسخگویی است. سریع‌ترین و ساده‌ترین راه برای انجام این کار این است که از سیستم‌های خود پشتیبان تهیه کنید. در حالت ایده‌آل، نسخه پشتیبان سالم و کامل دارید که به تازگی ایجاد شده و به اندازه کافی مفید است. در این صورت، گام بعدی استفاده از ضد ویروس/ ضد بدافزار برای اطمینان از پاک شدن همه سیستم‌ها و دستگاه‌های آلوده است - در غیر این صورت سیستم را قفل و فایل‌های شما را رمزگذاری می‌کند و به طور بالقوه پشتیبان را خراب می‌کند. هنگامی که همه آثار مخرب از بین رفت، می‌توانید سیستم‌های خود را از این نسخه پشتیبان بازیابی کنید و هنگامی که تأیید کردید که همه داده‌ها بازیابی شده‌اند و همه برنامه‌ها و فرآیندها به طور عادی پشتیبان گیری و اجرا می‌شوند- به حالت عادی فعالیت بازگردید. متأسفانه، بسیاری از سازمان‌ها اهمیت ایجاد و نگهداری پشتیبان‌ها را درک نمی کنند تا زمانی که به آنها نیاز پیدا می‌کنند ولی این پشتیبان‌ها وجود ندارند. از آنجا که باج افزارهای جدید بسیار پیچیده و مقاوم هستند، کسانی که پشتیبان تهیه می‌کنند خیلی زود متوجه می‌شوند که باج افزار به پشتیبان آنها آسیب رسانده یا پشتیبان را رمزگذاری کرده و آنها را کاملاً بی فایده کرده است.
8. درباره گزینه‌های رمزگشایی خود تحقیق کنید: اگر پشتیبان گیری پایداری ندارید، هنوز این شانس را دارید که بتوانید داده‌هایتان را پس بگیرید. کلید‌های رمزگشایی رایگان بسیار زیادی در سایت  No More Ransom   وجود دارم. اگر کلیدی برای باج افزاری که با آن سر و کار دارید (و با فرض اینکه تاکنون تمام آثار بدافزار را از سیستم خود پاک کرده‌اید) در دسترس باشد، می توانید از کلید رمزگشایی برای باز کردن قفل داده‌های خود استفاده کنید. حتی اگر آنقدر خوش شانس باشید که کلید رمزگشایی پیدا کنید، هنوز کار شما تمام نشده‌است. باید ساعت‌ها و روز‌ها بر روی پاکسازی خرابی‌ها کار کنید.
9. ادامه بدهید: متأسفانه، اگر پشتیبان گیری مناسبی ندارید و نمی‌توانید کلید رمزگشایی را پیدا کنید، تنها گزینه شما این است که ضرر به خود را متوقف کنید و از ابتدا شروع کنید. بازسازی فرایندی سریع یا ارزان نخواهد بود، اما هنگامی که سایر گزینه‌های خود را از دست دادید، این بهترین کاری است که می‌توانید انجام دهید.

چرا نباید باج بدهیم؟

هنگامی که باید هفته‌ها یا ماه‌ها را صرف بهبودی سیستم‌های خود کنید، ممکن است تسلیم شدن در برابر مطالبه باج وسوسه انگیز باشد. اما چند دلیل وجود دارد که چرا این ایده خوب نیست:

• ممکن است هرگز کلید رمزگشایی دریافت نکنید. هنگامی که تقاضای باج افزار را برآورده می‌کنید، انتظار دارید در عوض کلید رمزگشایی دریافت کنید. اما وقتی معامله باج افزار را انجام می‌دهید، به صداقت جنایتکاران اطمینان می‌کنید. بسیاری از افراد و سازمان ها پولی پرداخت کردند و هیچ چیزی دستگیر آنها نشد. ده‌ها یا صدها یا هزاران دلار پرداخت کرده اند و هنوز باید سیستم‌های خود را از ابتدا بازسازی کنند.
• ممکن است باج‌های مکرر دریافت کنید. هنگامی که باج می‌دهید، مجرمان سایبری که این باج افزار را به کار گرفته‌اند می‌دانند که شما در حال حاضر برده آنها هستید. اگر مایل به پرداخت مقدار بیشتری باشید، ممکن است کلید طرز کار را به شما بدهند.
• ممکن است کلید بازگشایی را دریافت کنید که به نوعی کار می‌کند. سازندگان باج افزار در زمینه بازیابی فایل فعالیت نمی کنند. آنها به تجارت پول سازی مشغول هستند. به عبارت دیگر، ممکن است رمزگشایی که دریافت می‌کنید، به اندازه کافی خوب باشد و جنایتکاران بگویند معامله را متوقف و پایان می دهند. علاوه بر این ممکن است خود فرایند رمزگذاری بعضی از فایل ها را غیر قابل تعمیر و خراب کند. اگر این اتفاق بیافتد، حتی کلید رمزگشایی خوب هم نمی‌تواند فایل ها را رمزگشایی کند و آنها برای همیشه از بین می‌روند.
• ممکن است خود را هدف سو استفاده قرار دهید. هنگامی که باج می دهید، جنایتکاران می‌دانند که شما سرمایه گذاری خوبی برای آنها هستید. سازمانی که سابقه پرداخت باج داشته باشد هدف جذابتری نسبت به سازمان‌های جدیدی است که ممکن است پرداخت کنند یا نکنند. چه چیزی مانع حمله مجدد گروه جنایتکاران در یک یا دو سال آتی می‌شود، یا وارد انجمنی شوند و به دیگر مجرمان سایبری اعلام کنند که شما هدفی آسان هستید؟
• حتی اگر همه چیز به نحوی خوب به پایان برسد، هنوز فعالیت‌های مجرمانه را تأمین مالی می‌کنید.

• می‌گویید که باج را می پردازید، کلید رمزگشایی خوبی دریافت می کنید و همه چیز را دوباره راه اندازی می‌کنید. این فقط بهترین حالت سناریو است (و نه فقط به این دلیل که پول زیادی از دست داده اید). وقتی باج می‌دهید، فعالیت‌های مجرمانه را تأمین مالی می‌کنید. فارغ از پیامدهای اخلاقی، این ایده را تقویت می‌کنید که باج افزار مدلی تجاری است که کار می‌کند. (اگر هیچ کس تا به حال باج نداده بود، آیا باج افزاری ادامه پیدا می کرد؟) این جنایتکاران که با موفقیت و دستمزد بیش از حد بزرگ خود حمایت می شوند، همچنان به تخریب مشاغل ناآگاه ادامه می‌دهند و برای توسعه انواع جدید و حتی بدتر باج افزارها وقت و هزینه صرف می‌کنند که یکی از آنها ممکن است در آینده به دستگاه‌های شما راه پیدا کند.