باج گیر چیست؟
باج افزار یا باج گیرها (Ransomware) نوعی از بدافزارها هستند که دسترسی به سیستم را محدود میکنند و گسترش دهنده آن برای برداشتن محدودیت درخواست باج و هزینه میتواند. این درخواست اغلب به صورت بیت کوین میباشد، توجه داشته باشید که هر بیت کوین چندین هزار دلار قیمت دارد. همچنین بعد از پرداخت بیت کوین واقعاً تضمینی وجود ندارد که فرد باج گیر، باج افزار را حذف کند یا دوباره دادهها را رمزنگاری نکند!


با این تفاسیر میتوانید متوجه شوید که اگر باج گیر بر روی Database Server و بانکهای اطلاعاتی شما بیافتد و دادههای آن را رمزنگاری کند ممکن است مشکلات زیر برای شما بوجود آید.
1- مجبور به خداحافظی با دادهها و اطلاعات خود شوید.
2- هزینههای زیادی برای ورود مجدد داده در بانکهای اطلاعاتی و نرم افزار متحمل شوید.
3- اگر وابستگی به دادهها و اطلاعات زیاد باشد و فایل پشتیبان نیز نداشته باشید ممکن است پیشینه کسب و کار خود را فراموش کنید و هزینه هنگفتی بابت آن نیز پرداخت کنید.
4- اگر مسئول شبکه یا بانک اطلاعاتی باشید باید استعفاء خود را تقدیم کرده و از شرکت خود خداحافظی کنید، ضمناً در برخی مواقع باید جبران خسارت کنید.
5- همسر خود را طلاق دهید. (این موضوع به ازای یکی از مشتریان در حال رخ دادن بود و…)
انواع باج گیرها
باج افزارها را میتوان بر مبنای محدودیتی که روی سیستم اعمال میکنند به سه گروه زیر تقسیم کرد.
1. باج افزار Pc-Locker : این نوع باج افزارها سیستم را قفل نموده و روی دسکتاپ صفحهای از باج افزار را به همراه یک پیام نمایش میدهند و درخواست وجه خود برای آزادسازی فایلها را مطرح میتواند.
2. باج افزارهای Data-Locker: این باج افزارها تعداد و حجم زیادی از اطلاعات کاربران را رمزنگاری کرده و معمولا به فایلهای اصلی ویندوز کاری ندارند. سپس از قربانی خود در فایلهای Text برای رمزگشایی دادهها درخواست باج میکنند.
3. باج افزار Ransomware: این نوع باج افزارها علاوه بر قفل کردن صفحه نمایش کلیه اطلاعات سیستم کاربر را نیز رمزنگاری کرده و غیرقایل دسترس مینماید. کاربر در ازای رمزگشایی اطلاعات سیستم باید مبلغ درخواستی را بصورت آنلاین پرداخت کند. به این نوع باج افزار Encryption Ransomware گفته میشود.
باج گیر و تاثیر آن بر روی فایلها ی بانک اطلاعاتی
در صورت ویروسی شدن یک سیستم توسط باج افزارها و در دسترس بودن ویندوز ، در برخی مواقع علاوه بر این که نام فایلها تغییر پیدا میتواند پسوندشان نیز عوض میشود. تصویر زیر تعدادی از فایلها ی یک بانک اطلاعاتی را نشان میدهد که باج گیر بر روی آنها تاثیر گذاشته است.
همچنین در برخی از مواقع باج گیرها نام و پسوند اصلی مربوط به فایلهای بانک اطلاعاتی را حفظ میکنند که در این حالت میتوانیم راحتتر متوجه شویم که فایلهای آلوده متعلق به چه بانک اطلاعاتی هستند. تصویر زیر تعدادی از فایلهای آلوده مربوط به یک بانک اطلاعاتی را نمایش میدهد.
بنابراین به عنوان یک نکته به یاد داشته باشید که یک DBA خوب همیشه از مسیر فایلهای مربوط به بانک اطلاعاتی خود مطلع است تا در مواقع لزوم بتواند از آن به نحوه احسنت استفاده کند.
خوب اما در ادامه ما قصد داریم ساختار یک Data File سالم و همچنین یک Data File آلوده را با هم بررسی کنیم.
بررسی ساختار یک Data File سالم
همان طور که اطلاع دارید یک بانک اطلاعاتی در SQL Server از تعدادی Data File و Log File تشکیل شده است. اگر با ساختار Data Fileها در SQL Server آشنا باشید متوجه خواهید شد که تمامی دادههای جداول، ایندکسها و … در این فایل ذخیره میشود، بنابراین هنگام بازیابی دادههای ویروسی شده این فایل یکی از مهمترین فایلهایی است که در پروسه کار مورد استفاده قرار میگیرد.
اما همه داستان این نیست درون Data Fileها از Blockهای کوچک 8 کیلوبایتی به نام Page تشکیل یافته است که دادههای شما اعم از رکوردها، ساختار جداول، ایندکسها و… داخل این Pageها قرار گرفته است. توجه داشته باشید که ما در SQL Server انواع مختلفی از Pageها را داریم که در فرآیند بازیابی دادهها تشخیص نوع Pageها و رفتار آنها در SQL Server خیلی مهم میباشد.
زمانی که شما یک Data File را به صورت تخصصی بررسی کنید متوجه خواهید شد که Offsetهای ابتدایی آن با شماره 01 0F شروع میشود. این عدد در تمامی Data Fileها بلا استثنا فیکس است، در واقع این دادهها شامل Header فایل میباشند که پس از آن اطلاعات Pageها قرار گرفته است.
بررسی ساختار یک Data File آلوده به باج گیر
پس از آنکه ویروس یا همان باج گیر بر روی فایلهای بانک اطلاعاتی نشست و آنها را رمزنگاری کرد باید تشخیص دهیم که فایلها با چه نوع ویروسی درگیر شده تا ساختار آن را در زمان بازیابی مد نظر داشته باشیم.
باید به این نکته توجه داشت که علاوه بر اینکه هر باج گیر ساختار مربوط به خود را دارد حتی میتواند در موارد مشابه بر روی فایلهای دو سیستم به صورت متفاوت تاثیر گذارد.
توجه داشته باشید که باج گیرهای جدید حتی میتوانند تشخیص دهند که کدام فایلها از اهمیت بیشتری در نزد قربانی برخوردار است و یا با کدام فایلها بیشتر کار میشود تا بتوانند ابتدا تاثیر مخرب خود را بر روی این فایلها قرار دهند.
اگر به تصویر زیر دقت کنید ساختار مربوط به یک Data File را میبینید که باج گیر بر روی آن اثر مخرب خود گذاشته است. در این حالت اگر مشاهده کنید تمامی Offsetها (اعم از Header و Pageها) به 00 تبدیل شده که بازیابی داده از این نوع فایلها به شدت پیچیده و زمانبر میباشد.
نمونهای دیگر از تاثیر گذاری باج گیر بر روی Data Fileها در تصویر زیر مشخص میباشد، در این حالت به جای این که باج گیر Offset مربوط به Header و Pageها را با 00 پر کند با اعدادی نامربوط پر کرده است.
چگونگی بررسی و بازیابی فایلهای بانک اطلاعاتی
در زمینه بازیابی اطلاعات بانکهای اطلاعاتی نرم افزارهای بسیار زیادی وجود دارد اما در صورت آلوده شدن فایلهای بانک اطلاعاتی به باج گیر امکان بازیابی اطلاعات با این نرم افزارها عملاً وجود نخواهد داشت. دلیل این موضوع این است که Offset مربوط به Header فایل و همچنین Pageها به کلی آسیب دیده و عملاً این نرمافزار هیچ خروجی درستی به ما نخواهند داد.
برای بازیابی داده از فایلهای آسیب دیده باید با معماری و چینش داده در داخل Data File آشنا باشید تا بتوانید عملیات بازیابی را انجام دهید، در این بخش ما خلاصهای از کارهایی که در جهت بازیابی داده از فایلهای آسیب دیده لازم است انجام دهیم را ذکر کردیم.
1- برای شروع کار حتماً باید Offsetهای مربوط به Header فایل را بازیابی کنید.
2- در مرحله بعد باید Offset مربوط به Pageها را تعیین کرد.
3- استخراج دادهها از Pageها
4- بررسی سطح تخریب Pageها و تصمیمگیری در خصوص وضعیت بازیابی داده از آنها
اگر این مراحل با موفقیت طی شود شما میتوانید دادههای موجود در یک فایل را با درصد بالایی بازیابی کنید.
توجه داشته باشید که ما باید حتما فیلد های فارسی ، اعداد و ارقام و Collation بانک اطلاعاتی را درست بازیابی کنیم. در غیر این صورت خیلی از فیلدها اگرچه بازیابی شدهاند اما با کلمات نادرست پر میشود و بانک اطلاعاتی با توجه به اینکه بازیابی شده است اما رکوردهای آن داخل نرم افزار غیر قابل استفاده است.
هنگام مواجه با فایلهای آلوده SQL Server به باج گیر چه کار کنیم؟
زمانی که شما با فایلهای آلوده به باج گیر مواجه میشوید نکات زیر را رعایت کنید.
- آرمش خود را حفظ کنید (در برخی موارد خوردن یک لیوان آب و حتی گریه کردن میتواند بر حفظ آرامش تاثیر بگذارد.)
- به هیچ عنوان فایلی از روی ویندوز پاک نکنید، حتی اگر تشخیص دادید آن فایل ویروس است.شاید کلید بازیابی داخل همان فایل باشد
- به هیچ عنوان نام فایلهای آلوده را تغییر ندهید.
- مسیر فایلهای آلوده را به هیچ عنوان تغییر ندهید.
- از برنامههای Recovery مربوط به دیسک، پارتیشن و… به هیچ عنوان استفاده نکنید.
- از فرمت کردن دیسکی و فشرده کردن دیسکی که فایلهای مهم شما روی آن قرار گرفته پرهیز کنید.
- از پروسههای ChkDisk و ScanDiskدر سطح سیستم عامل استفاده نکنید.
- دسترسی سرور یا کامپیوتر مورد نظر به شبکه را قطع کنید.
- اصلاً به فکر پرداخت پول به صورت بیت کوین و یا سایر ارزها به تولید کننده باج گیر نباشید. در بیشتر مواقع احتمال دریافت برنامههای Decoder پایین است.
- اگر با فرآیند تخصصی بازیابی مربوط به داده از بانکهای اطلاعاتی آلوده آشنا نیستید حتماً با افراد متخصص در این حوزه مشورت کنید.
اگر با باجگیر یا باج افزار مواجه شدید، میتوانید روی تیم نیک آموز حساب کنید.
دانلود این مقاله