ايتنا - Shadow Copies: راه نجاتی برای بازیابی اطلاعات از دست‌رفته

راه‌‌‌‌‌های بسیاری برای بازیابی فایل‌‌‌‌‌های رمزگذاری شده ما در اثر حمله یک باج‌افزار وجود ندارد. اگر ما خوش‌شانس باشیم ممکن است یکی از ابزار‌‌‌‌های رایگان بازیابی اطلاعات، فایل‌‌‌‌های ما را بازگرداند، و یا نسخه پشتیبان به کمک ما بیاید.
البته ویندوز نیز امکانی برای پشتیبان‌گیری از اطلاعات ما دارد؛ گزینه Shadow Copy که مدت کوتاهی اخرین نگارش فایل‌‌‌‌های ما را در خود نگه میدارد. اما غالب باج‌افزار‌‌ها پیش از رمزگذاری فایل‌‌ها، محتویات Shadow Copy را پاک می‌کنند.

به گزارش ایتنا از روابط عمومی ایمن رایانه پندار، ضدویروس‌‌‌ها عموما از ۳ روش شناسایی "مبتنی بر امضا"، "هوش مصنوعی یا آنالیز رفتاری" و " فیلترینگ محتوا" برای مقابله با بدافزار‌‌ها استفاده می‌کنند. اما گاهی همه این روش‌‌ها در کنار هم نیز برای شناسایی باج‌افزار‌‌ها کفایت نمی‌کند، چراکه بسیاری از باج‌افزار‌‌ها پیش از انتشار با چندین ضدویروس قدرتمند بررسی می‌شوند که مورد شناسایی قرار نگیرند. متد‌‌‌‌های عملکردی آنها بسیار پیچیده است. هسته مرکزی باج‌افزار‌‌ها بعضا هر ۱۵ دقیقه یک بار تغییر می‌کند و طبعا Hash فایل آن نیز. نتیجه این است که ضدویروس در صورت شناسایی یک گونه بر اساس Hash آن فایل نمی‌تواند بدرستی کار پاکسازی را انجام دهد.

شرکت پاندا سکیوریتی از دو سال پیش روش ساده اما مؤثری را در نرم‌افزار‌‌‌‌های ضدویروس خود به کار گرفت. بر اساس این روش هر گونه تلاشی برای پاک کردن محتویات Shadow copy ویندوز، به احتمال زیاد یک خرابکاری است. پس پاندا جلوی این تغییر را می‌گیرد. با این تفاسیر حتی اگر آن باج‌افزار موفق شود اطلاعات را رمز کند، براحتی و بدون پرداخت باج، اطلاعات مذکور از Shadow Copy بازیابی می‌شود.

دقیقا خلاف آنچه بسیاری از ما فکر می‌کنند که چطور ممکن است؟ یک توضیح آسان برای این وجود دارد: ما با استفاده از این روش به عنوان "آخرین چاره"، زمانی که هر لایه امنیتی دیگر شکست خورده است، توانسته‌ایم بسیاری از اینگونه حملات را مسدود کنیم. شرکت پاندا استفاده‌‌‌‌‌های فراوانی از بابت تحلیل و بررسی حملات مسدود شده بدست آورده است. این اطلاعات به ما کمک می‌کند که نقاط ضعف خودمان را بشناسیم و در رویارویی با باج‌افزار‌‌ها بهتر از گذشته عمل کنیم.