پرینت

Shadow Copies: راه نجاتی برای بازیابی اطلاعات از دست رفته

در . ارسال شده در هشدارهای امنیتی

data_encryption.png

راه های بسیاری برای بازیابی فایل های رمزگذاری شده ما در اثر حمله یک باج افزار وجود ندارد. اگر ما خوش شانس باشیم ممکن است یکی از ابزارهای رایگان بازیابی اطلاعات، فایلهای ما را بازگرداند. ویا نسخه پشتیبان به کمک ما بیاید. البته ویندوز نیز امکانی برای پشتیبان گیری از اطلاعات ما دارد. گزینه Shadow Copy که مدت کوتاهی اخرین نگارش فایلهای ما را در خود نگه میدارد. اما غالب باج افزارها پیش از رمز گذاری فایلها، محتویات Shadow Copy را پاک میکنند.  

به گزارش روابط عمومی ایمن رایانه پندار، ضدویروس ها عموما از 3 روش شناسایی " مبتنی بر امضا" ، " هوش مصنوعی یا آنالیز رفتاری" و " فیلترینگ محتوا" برای مقابله با بدافزارها استفاده میکنند. اما گاهی همه این روشها در کنار هم نیز برای شناسایی باج افزارها کفایت نمیکند. چراکه بسیاری از باج افزارها پیش از انتشار با چندین ضدویروس قدرتمند بررسی میشوند که مورد شناسایی قرار نگیرند. متدهای عملکردی آنها بسیار پیچیده است. هسته مرکزی باج افزارها بعضا هر 15 دقیقه یک بار تغییر میکند و طبعا Hash فایل آن نیز. نتیجه اینست که ضدویروس در صورت شناسایی یک گونه بر اساس Hash آن فایل نمیتواند بدرستی کار پاکسازی را انجام دهد.
images.png
شرکت پاندا سکیوریتی از دو سال پیش روش ساده اما مؤثری را در نرم افزارهای ضدویروس خود بکار گرفت. بر اساس این روش هر گونه تلاشی برای پاک کردن محتویات Shadow copy ویندوز، به احتمال زیاد یک خرابکاری است. پس پاندا جلوی این تغییر را میگیرد. با این تفاسیر حتی اگر آن باج افزار موفق شود اطلاعات را رمز کند، براحتی و بدون پرداخت باج، اطلاعات مذکور از Shadow Copy بازیابی میشود. جدول زیر نشان میدهد کهه ما چطور توانسته ایم جلوی بسیاری از باج افزارهای را با این روش مسدود کنیم.


دقیقا خلاف آنچه بسیاری از ما فکر می کنند که چطور ممکن است؟ یک توضیح آسان برای این وجود دارد: ما با استفاده از این روش به عنوان "آخرین چاره"، زمانی که هر لایه امنیتی دیگر شکست خورده است، توانسته ایم بسیاری از اینگونه حملات را مسدود کنیم. شرکت پاندا استفاده های فراوانی از بابت تحلیل و بررسی حملات مسدود شده بدست آورده است. این اطلاعات به ما کمک میکند که نقاط ضعف خودمان را بشناسیم و در رویارویی با باج افزارها بهتر از گذشته عمل کنیم.

منبع: Panda Security

ارسال نظر


کد امنیتی
بارگزاری مجدد

cloud-banner 920231