روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران) یکی از روزهای ماه مه 2016، Marion یک کاربرکامپیوتر در آلمان به کامپیوتر خانگی خود وارد شد. او هیچ دیدگاهی نسبت به مجرمان نداشت و تا به حال با آن ها مواجه نشده بود.

اولین نشانه از مشکل در آنجایی بود که کامپیوتر او به صورت نرمال بوت نشد و او نمی توانست به دسکتاپ دسترسی یابد. حتی پس از رسیت کردن کامپیوتر هم هیچ اتفاقی نیوفتاد. پس از اندکی، او پیغام باج افزارها را بر روی صفحه ی خود مشاهده کرد. اما همچنان متوجه نشده بود که دچار آلودگی شده است. Marion تا به حال متوجه هیچ چیز مشکوکی در سیستم خود نشده بود و او هم مثل دیگر اعضای خانواده اش از کامپیوتر استفاده کرده بود.

اما حقیقت اینجا بود:

ظهور باج افزارها

باج افزارها که به مشکل اصلی سایبری در چند سال گذشته تبدیل شده اند، بدون گذاشتن هیچ نشانه ای از خود با سرعت هرچه بیشتر در حال رشد هستند. همه ی ما به خوبی می دانیم که بک آپ گیری منظم و بازنکردن ایمیل های مشکوک، استفاده از راهکار امنیتی مناسب و قابل اعتماد و غیره مهم ترین گام ها برای داشتن امنیت هستند. اما این ها تنها کافی نیست، شما می توانید خیلی اتفاقی و بدون داشتن اطلاع کار خطایی انجام دهید مثلا شبکه ی شما آلوده شده شده باشد یا که هارد دیسک را به سیستم آلوده ای متصل کرده باشد که سیستم شما هم به آن آلودگی دچار شده باشد.

هیچ کسی نمی تواند سیستم خود را 100% امن نگه دارد. البته در زمانی که شما تمام شبکه ها را قطع کنید، درایو سی دی را حذف کنید و اتصالات USB و چیزهای دیگر را منفصل کنید، این امکان وجود خواهد داشت. اما بنظر شما قطع این اتصالات در جهان ارتباطات امروز عملی است؟ اصلا سیستم بدون اتصالات به چه دردی می خورد؟ بنابراین باید مدیریت ریسک کردن را با وجود تمام خطرات آن داشته باشید: برای این کار بهتر است حریم شخصی و امنیت خود را حفظ کنید و همیشه گوش بزنگ باشید.

اگر که شما به یک قربانی حمله ی باج افزار تبدیل شده اید، در ابتدا نیاز است که تصمیم گیری عاقلانه ای داشته باشید، توجه داشته باشید تصمیم گیری در این مرحله اصلا ساده نیست: باج را پرداخت می کنید یا خیر؟ قطعا گزینه های بیشتری پیش رو خواهید داشت. پس عجولانه تصمیم نگیرید.

ممکن است بازگرداندن فایل ها کاری سخت و حوصله سر بر باشد. اما معمولا باگ های زیادی در الگوریتم های نوشته شده توسط باج افزارها وجود دارد که این اشکالات توسط لابراتوارهای مختلف مثل کسپرسکی و شرکای آن می توانند مورد بررسی قرار بگیرد و در نهایت به توسعه ی ابزار عمومی برای رمزگشایی فایل های آلوده شده توسط تهدیدهای باج افزارهای مختلف منجر شود. با این حال امروزه، باج افزارهای پیچیده ای وجود دارند که بازیابی اغلب آن ها نیازمند کلید خصوصی از جانب مجرمان است، پس اوضاع آنطور که ما خوشبینانه تصور می کنیم، نیست.

بازگردانی اطلاعات

اولین کاری که Marion پس از آلودگی انجام داد خاموش کردن کامپیوتر و سپس درخواست کمک از بخش IT محل کار خود بود. پس از کمی جستجو آن ها متوجه شدند که فایل های مرتبط بر روی دیسک، برخی از تصاویر و فایل های PDF توسط باج افزارها رمزنگاری شده اند. آن ها تلاش کردند تا با استفاده از ابزارهای رمزگشایی موجود فایل ها را رمزگشایی کنند، اما متاسفانه هیچ کدام یک از ابزارها کار نکرد.

در آن لحظه، Marion به خاطر از دست دادن اطلاعات مهم خود تحت فشار قرار گرفت. هارد دیسک او که شامل آرشیوی با ارزش بود و عکس های خانوادگی او را شامل می شد، بیش از یک دهه قدمت داشت. تمام این اطلاعات بر اساس سال و تاریخ به طور خاصی طبقه بندی شده بودند. اما حالا تلاش تمام این سال ها دیگر برای او غیر قابل دسترس شده بود.
Marion هیچ بک آپی از اطلاعات خود نگرفته بود، اما تنها به یک چیز مطمئن بود: او به هیچ وجه نمی خواست که به مجرمان باج بپردازد.

Marion با افرادی در ارتباط بود که عکس های خود را قبلا با آن ها به اشتراک گذاشته بود و از آن ها خواسته بود که آن ها را برایش بازگردانی کنند. به این ترتیب او توانست برخی از عکس های خود را برگرداند اما تعداد بیشتر آن ها از دست رفته بود.

با کمک کارفرمای بخش IT توانست راه حلی برای مشکل بوجود آمده اش بیابد. و بالاخره آخرین چاره ای که داشت را عملی ساخت: او پستی را در فیس بوک گذاشت و در آن ذکر کرد که هر کس بتواند به او برای بازگردانی فایل هایش بدون پرداخت باج کمک کند، 500 یورو جایزه می دهد.

حدود 20 نفر پاسخ Marion را در فیس بوک دادند و برای کمک به او تلاش کردند. با این حال هیچ یک از آن ها موفق نشدند.

No More Ransom

زمانی که Marion دچار این حادثه شد با من مکالمه ای داشت، او یکی از همکلاسی های من بود و می دانست که من در تیم فنی و تخصصی لابراتوار کسپرسکی مشغول کار هستم.

در آن مدت من با Marion در تماس بودم و او تمام اطلاعات مربوط به رمزنگاری و فایل ها را به من داد و من هم به دنبال ابزاری برای رمزگشایی فایل های او بودم. اما متاسفانه نتوانستم ابزاری را برای رمزگشایی فایل های آلوده ی او بیابم.

با اطلاعاتی که از Marion در دست داشتم، توانستم از متخصص باج افزار درخواست کمک کنم. آن ها به سرعت یافتند که این بدافزار یک نوع جدیدی از CryptXXX V3 است که هنوز ابزار خاص برای رمزگشایی فایل های آلوده شده منتشر نشده است. من این خبر بد را به Marion دادم و به او توصیه کردم که راه پرداخت باج را انتخاب نکند. همانطور که مجرمان، باج افزار جدیدی را منتشر کرده بودند ما هم به دنبال ابزاری برای رمزگشایی یا استخراج کلید خصوصی ذخیره شده مجرمان بر روی سرورهای فرمان و کنترل آن ها بودیم.

ما این کار را از طریق پروژه ی No More Ransom انجام دادیم. در تابستان 2016، یوروپل، کسپرسکی و اینتل NoMoreRansom.org را برای کمک به بازیابی فایل های از دست رفته ی قربانیان باج افزارها راه اندازی کردیم تا بتوانیم سود مجرمان را در آینده از این راه به حداقل میزان خود برسانیم. این پروژه در حال حاضر بیش از 40 شریک دارد.

در بیستم ماه دسامبر، ما یک نمونه ی دیگر رمزگشا برای باج افزار CryptXXX V3 را در پیج No More Ransom منتشر ساختیم. ما آن را مثل دیگر ابزارهای باج افزارها رایگان در اختیار کاربران و قربانیان قرار دادیم.

مشکل Marion همچنان در ذهن من بود و توانستم این موضوع را با او در میان بگذارم. و سرانجام بعد از چند روز او به من گفت که توانسته تمام فایل های رمزنگاری شده ی خود را بازیابی کند. ( و البته من جایزه ی اورا نپذیرفتم).

نتیجه گیری

پس از این اتفاق، از Marion پرسیدم که چه تجربیاتی از این حادثه دریافته است؟

او گفت که علاوه بر بک آپ گیری منظم از داده هایش و انتقال اطلاعات مهم به هارد دیسک های خارجی، باید بیشتر مراقب وب گردی های خود باشد و همیشه از نصب آخرین پتچ ها مطمئن باشد. او همچنین استفاده ی دیگران را از کامپیوترش ممنوع کرد.

این داستان ممکن است برای بسیاری از ما تکراری باشد یا ممکن است تجربه ی آن را داشته باشیم. اما در هر صورت بهتر است چه با تجربه و چه بی تجربه، سیستم خود را در امنیت کامل نگه داریم و بیشتر از قبل به حفظ حریم شخصی خود در دنیای سایبری اهمیت دهیم. علاوه بر این شما می توانید فایل های رمزنگاری شده ی خود را بدون پرداخت یک ریال تنها با رجوع به وب سایت NoMoreRansom.org بازگردانید. حتی اگر ابزاری برای فایل های رمزنگاری شده ی شما منتشر نشده است، پرداخت باج را انتخاب نکنید.

Marion تنها کسی نیست که توانسته با استفاده از ابزارهای رایگان موجود در سایت NoMoreRansom به بازیابی فایل های از دست رفته ی خود اقدام کند. تا به حال 5 هزار کاربر توانسته اند فایل های قفل شده ی خود را باز کنند و بیش از 1.5 میلیون دلار هزینه ی باج خواهی مجرمان سایبری را ذخیره کنند.

 منبع: کسپرسکی آنلاین(ایدکو)

*  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.