از آنجایی که راهاندازی مجدد کامپیوتر پس از آلوده شدن به باجافزار، موجب آغاز مجدد فرآیند رمزگذاری میشود، توصیه میشود که از راهاندازی مجدد دستگاه پس از آلوده شدن به باجافزار اجتناب کنید. در عوض پیشنهاد میشود که قربانیان کامپیوتر را در حالت خواب (Sleep) قرار داده، اتصال آن به شبکه را قطع کنند و با یک شرکت پشتیبانی فناوری اطلاعات یا یک متخصص امنیتی تماس بگیرند.
دلیل هشدار محققان درباره راهاندازی مجدد کامپیوتر این است که نتیجه یک نظرسنجی انجام شده بین ۱۱۸۰ کاربر آمریکایی که طی چند سال گذشته قربانی باجافزار شدهاند، نشان میدهد که حدود ۳۰ درصد آنها راهاندازی مجدد کامپیوتر را به عنوان راهی برای کنار آمدن یا حل مشکل آلوده شدن به بدافزار انتخاب کرده بودند.
با وجود اینکه راهاندازی مجدد در حالت امن، روشی مناسب برای از بین بردن انواع قدیمیتر باجافزار قفلکننده صفحه (screenlocker) است، اما در هنگام مواجهه با نسخههای مدرن باجافزار که فایلهای قربانیان را رمزگذاری میکند، پیشنهاد نمیشود.
در همین رابطه، بیل سیگل، مدیرعامل شرکت ارائهدهنده خدمات بازیابی اطلاعات رمزگذاری شده باجافزاری، گفته است که بهطور کلی باجافزارهایی که اطلاعات شما را رمزگذاری میکنند، برای جابجایی بین درایوهای دستگاهها طراحی شدهاند. گاهی این باجافزارها در عملکردهای اولیه خود با مشکلاتی مواجه میشوند یا به واسطه یک نقص مربوط به مجوز دسترسی، مسدود شده و در ادامه رمزگذاری را متوقف میکنند. اگر قربانی در این شرایط دستگاه را مجددا راهاندازی کند، باجافزار شروع به بکاپگیری و ادامه فرآیند رمزگذاری خواهد کرد.
همچنین قربانیان باجافزار باید توجه داشته باشند که برای بازیابی فایلهای رمزگذاری شده توسط باجافزارها، دو مرحله مجزا را باید پشت سر بگذارند.
اولین مرحله پیدا کردن آثار باجافزار مانند فرآیند و مکانیزمهای ماندگاری بوت (processes and boot persistence mechanisms) و حذف آنها از یک سیستم آلوده است. دومین مرحله نیز بازیابی اطلاعات در صورت داشتن مکانیزم پشتیبانگیری و رمزگشایی است.
توضیحات بیشتر در:
- Don't reboot your computer after you've been infected with ransomware