باج گیر و تاثیر آن بر روی بانک‌های اطلاعاتی در SQL Server

باج گیر چیست؟

باج‌ افزار یا باج گیرها (Ransomware) نوعی از بدافزارها هستند که دسترسی به سیستم را محدود می‌کنند و گسترش دهنده آن برای برداشتن محدودیت درخواست باج و هزینه می‌تواند. این درخواست اغلب به صورت بیت کوین می‌باشد، توجه داشته باشید که هر بیت کوین چندین هزار دلار قیمت دارد. همچنین بعد از پرداخت بیت کوین واقعاً تضمینی وجود ندارد که فرد باج گیر، باج افزار را حذف کند یا دوباره داده‌ها را رمزنگاری نکند!

با این تفاسیر می‌توانید متوجه شوید که اگر باج گیر بر روی Database Server و بانک‌های اطلاعاتی شما بیافتد و داده‌های آن را رمزنگاری کند ممکن است مشکلات زیر برای شما بوجود آید.
1- مجبور به خداحافظی با داده‌‌ها و اطلاعات خود شوید.
2- هزینه‌های زیادی برای ورود مجدد داده در بانک‌های اطلاعاتی و نرم افزار متحمل شوید.
3- اگر وابستگی به داده‌ها و اطلاعات زیاد باشد و فایل پشتیبان نیز نداشته باشید ممکن است پیشینه کسب و کار خود را فراموش کنید و هزینه هنگفتی بابت آن نیز پرداخت کنید.
4- اگر مسئول شبکه یا بانک اطلاعاتی باشید باید استعفاء خود را تقدیم کرده و از شرکت خود خداحافظی کنید، ضمناً در برخی مواقع باید جبران خسارت کنید.
5- همسر خود را طلاق دهید. (این موضوع به ازای یکی از مشتریان در حال رخ دادن بود و…)

انواع باج گیرها

باج افزارها را می‌توان بر مبنای محدودیتی که روی سیستم اعمال می‌کنند به سه گروه زیر تقسیم کرد.
1. باج افزار Pc-Locker : این نوع باج افزارها سیستم را قفل نموده و روی دسکتاپ صفحه‌ای از باج افزار را به همراه یک پیام نمایش می‌دهند و درخواست وجه خود برای آزاد‌سازی فایل‌ها را مطرح می‌تواند.
2. باج افزارهای Data-Locker: این باج افزارها تعداد و حجم زیادی از اطلاعات کاربران را رمزنگاری کرده و معمولا به فایل‌های اصلی ویندوز کاری ندارند. سپس از قربانی خود در فایل‌های Text برای رمزگشایی داده‌ها درخواست باج می‌کنند.
3. باج افزار Ransomware: این نوع باج افزارها علاوه بر قفل کردن صفحه نمایش کلیه اطلاعات سیستم کاربر را نیز رمزنگاری کرده و غیرقایل دسترس می‌نماید. کاربر در ازای رمزگشایی اطلاعات سیستم باید مبلغ درخواستی را بصورت آنلاین پرداخت کند. به این نوع باج افزار Encryption Ransomware گفته می‌شود.

باج گیر و تاثیر آن بر روی فایل‌ها ی بانک اطلاعاتی

در صورت ویروسی شدن یک سیستم توسط باج افزارها و در دسترس بودن ویندوز ، در برخی مواقع علاوه بر این که نام فایل‌ها تغییر پیدا می‌تواند پسوندشان نیز عوض می‌شود. تصویر زیر تعدادی از فایل‌ها ی یک بانک اطلاعاتی را نشان می‌دهد که باج گیر بر روی آنها تاثیر گذاشته است.

همچنین در برخی از مواقع باج گیرها نام و پسوند اصلی مربوط به فایل‌های بانک اطلاعاتی را حفظ می‌کنند که در این حالت می‌توانیم راحت‌تر متوجه شویم که فایل‌های آلوده متعلق به چه بانک اطلاعاتی هستند. تصویر زیر تعدادی از فایل‌های آلوده مربوط به یک بانک اطلاعاتی را نمایش می‌دهد.

بنابراین به عنوان یک نکته به یاد داشته باشید که یک DBA خوب همیشه از مسیر فایل‌های مربوط به بانک اطلاعاتی خود مطلع است تا در مواقع لزوم بتواند از آن به نحوه احسنت استفاده کند.
خوب اما در ادامه ما قصد داریم ساختار یک Data File سالم و همچنین یک Data File آلوده را با هم بررسی کنیم.

بررسی ساختار یک Data File سالم

همان‌ طور که اطلاع دارید یک بانک اطلاعاتی در SQL Server از تعدادی Data File و Log File تشکیل شده است. اگر با ساختار Data Fileها در SQL Server آشنا باشید متوجه خواهید شد که تمامی داده‌های جداول، ایندکس‌ها و … در این فایل ذخیره می‌شود، بنابراین هنگام بازیابی داده‌های ویروسی شده این فایل یکی از مهمترین فایل‌هایی است که در پروسه کار مورد استفاده قرار می‌گیرد.

اما همه داستان این نیست درون Data Fileها از Blockهای کوچک 8 کیلوبایتی به نام Page تشکیل یافته است که داده‌های شما اعم از رکوردها، ساختار جداول، ایندکس‌ها و… داخل این Pageها قرار گرفته است. توجه داشته باشید که ما در SQL Server انواع مختلفی از Pageها را داریم که در فرآیند بازیابی داده‌ها تشخیص نوع Pageها و رفتار آنها در SQL Server خیلی مهم می‌باشد.

زمانی که شما یک Data File را به صورت تخصصی بررسی کنید متوجه خواهید شد که Offsetهای ابتدایی آن با شماره 01 0F شروع می‌شود. این عدد در تمامی Data Fileها بلا استثنا فیکس است، در واقع این داده‌ها شامل Header فایل می‌باشند که پس از آن اطلاعات Pageها قرار گرفته است.

بررسی ساختار یک Data File آلوده به باج گیر

پس از آنکه ویروس یا همان باج گیر بر روی فایل‌های بانک اطلاعاتی نشست و آنها را رمزنگاری کرد باید تشخیص دهیم که فایل‌ها با چه نوع ویروسی درگیر شده تا ساختار آن را در زمان بازیابی مد نظر داشته باشیم.
باید به این نکته توجه داشت که علاوه بر اینکه هر باج گیر ساختار مربوط به خود را دارد حتی می‌تواند در موارد مشابه بر روی فایل‌های دو سیستم به صورت متفاوت تاثیر گذارد.

توجه داشته باشید که باج گیرهای جدید حتی می‌توانند تشخیص دهند که کدام فایل‌ها از اهمیت بیشتری در نزد قربانی برخوردار است و یا با کدام فایل‌ها بیشتر کار می‌شود تا بتوانند ابتدا تاثیر مخرب خود را بر روی این فایل‌ها قرار دهند.
اگر به تصویر زیر دقت کنید ساختار مربوط به یک Data File را می‌بینید که باج گیر بر روی آن اثر مخرب خود گذاشته است. در این حالت اگر مشاهده کنید تمامی Offsetها (اعم از Header و Pageها) به 00 تبدیل شده که بازیابی داده از این نوع فایل‌ها به شدت پیچیده و زمان‌بر می‌باشد.

نمونه‌ای دیگر از تاثیر گذاری باج گیر بر روی Data Fileها در تصویر زیر مشخص می‌باشد، در این حالت به جای این که باج گیر Offset مربوط به Header و Pageها را با 00 پر کند با اعدادی نامربوط پر کرده است.

چگونگی بررسی و بازیابی فایل‌های بانک اطلاعاتی

در زمینه بازیابی اطلاعات بانک‌های اطلاعاتی نرم افزارهای بسیار زیادی وجود دارد اما در صورت آلوده شدن فایل‌های بانک اطلاعاتی به باج گیر امکان بازیابی اطلاعات با این نرم افزارها عملاً وجود نخواهد داشت. دلیل این موضوع این است که Offset مربوط به Header فایل و همچنین Pageها به کلی آسیب دیده و عملاً این نرم‌افزار هیچ خروجی درستی به ما نخواهند داد.
برای بازیابی داده‌ از فایل‌های آسیب دیده باید با معماری و چینش داده در داخل Data File آشنا باشید تا بتوانید عملیات بازیابی را انجام دهید، در این بخش ما خلاصه‌ای از کارهایی که در جهت بازیابی داده از فایل‌های آسیب دیده لازم است انجام دهیم را ذکر کردیم.
1- برای شروع کار حتماً باید Offsetهای مربوط به Header فایل را بازیابی کنید.
2- در مرحله بعد باید Offset مربوط به Pageها را تعیین کرد.
3- استخراج داده‌ها از Pageها
4- بررسی سطح تخریب Pageها و تصمیم‌گیری در خصوص وضعیت بازیابی داده از آنها

اگر این مراحل با موفقیت طی شود شما می‌توانید داده‌های موجود در یک فایل را با درصد بالایی بازیابی کنید.

توجه داشته باشید که ما باید حتما فیلد های فارسی ، اعداد و ارقام و Collation بانک اطلاعاتی را درست بازیابی کنیم. در غیر این صورت خیلی از فیلدها اگرچه بازیابی شده‌اند اما با کلمات نادرست پر می‌شود و بانک اطلاعاتی با توجه به اینکه بازیابی شده است اما رکوردهای آن داخل نرم افزار غیر قابل استفاده است.

هنگام مواجه با فایل‌های آلوده SQL Server به باج گیر چه کار کنیم؟

زمانی که شما با فایل‌های آلوده به باج گیر مواجه می‌شوید نکات زیر را رعایت کنید.

• آرمش خود را حفظ کنید (در برخی موارد خوردن یک لیوان آب و حتی گریه کردن می‌تواند بر حفظ آرامش تاثیر بگذارد.)
• به هیچ عنوان فایلی از روی ویندوز پاک نکنید، حتی اگر تشخیص دادید آن فایل ویروس است.شاید کلید بازیابی داخل همان فایل باشد
• به هیچ عنوان نام فایل‌های آلوده را تغییر ندهید.
• مسیر فایل‌های آلوده را به هیچ عنوان تغییر ندهید.
•  از برنامه‌های Recovery مربوط به دیسک، پارتیشن و… به هیچ عنوان استفاده نکنید.
•  از فرمت کردن دیسکی و فشرده کردن دیسکی که فایل‎‌های مهم شما روی آن قرار گرفته پرهیز کنید.
• از پروسه‌های ChkDisk و ScanDiskدر سطح سیستم عامل استفاده نکنید.
•  دسترسی سرور یا کامپیوتر مورد نظر به شبکه را قطع کنید.
•  اصلاً به فکر پرداخت پول به صورت بیت کوین و یا سایر ارزها به تولید کننده باج گیر نباشید. در بیشتر مواقع احتمال دریافت برنامه‌های Decoder پایین است.
•  اگر با فرآیند تخصصی بازیابی مربوط به داده از بانک‌های اطلاعاتی آلوده آشنا نیستید حتماً با افراد متخصص در این حوزه مشورت کنید.

اگر با باجگیر یا باج افزار مواجه شدید، می‌توانید روی تیم نیک آموز حساب کنید.

دانلود این مقاله

[download id=”55293″]