کامپیوتر خود را پس از آلوده شدن به باج‌افزار، راه‌اندازی مجدد نکنید

بررسی‌های جدید محققان امنیتی نشان می‌هد که برخی از قربانیان آلودگی‌های باج‌افزاری، با انتخاب یک تصمیم اشتباه مبنی بر راه‌اندازی مجدد دستگاه‌های خود، فرآیند بازیابی اطلاعات‌شان را سخت‌تر و پیچیده‌تر از همیشه می‌کنند. به گفته محققان، آگاهی درخصوص آلودگی‌های باج‌افزاری و انجام اقدامات اصولی و درست می‌تواند احتمال بازیابی اطلاعات را افزایش دهد و از طرفی از نابودی کامل داده‌های کاربران جلوگیری کند.
راه‌اندازی مجدد دستگاه‌های آلوده به باج‌افزار

از آن‌جایی که راه‌اندازی مجدد کامپیوتر پس از آلوده شدن به باج‌افزار، موجب آغاز مجدد فرآیند رمزگذاری می‌شود، توصیه می‌شود که از راه‌اندازی مجدد دستگاه پس از آلوده شدن به باج‌افزار اجتناب کنید. در عوض پیشنهاد می‌شود که قربانیان کامپیوتر را در حالت خواب (Sleep) قرار داده، اتصال آن به شبکه را قطع کنند و با یک شرکت پشتیبانی فناوری اطلاعات یا یک متخصص امنیتی تماس بگیرند.

دلیل هشدار محققان درباره راه‌اندازی مجدد کامپیوتر این است که نتیجه یک نظرسنجی انجام شده بین ۱۱۸۰ کاربر آمریکایی که طی چند سال گذشته قربانی باج‌افزار شده‌اند، نشان می‌دهد که حدود ۳۰ درصد آن‌ها راه‌اندازی مجدد کامپیوتر را به عنوان راهی برای کنار آمدن یا حل مشکل آلوده شدن به بدافزار انتخاب کرده بودند.

با وجود اینکه راه‌اندازی مجدد در حالت امن، روشی مناسب برای از بین بردن انواع قدیمی‌تر باج‌افزار قفل‌کننده صفحه (screenlocker) است، اما در هنگام مواجهه با نسخه‌های مدرن باج‌افزار که فایل‌های قربانیان را رمزگذاری می‌کند، پیشنهاد نمی‌شود.

در همین رابطه، بیل سیگل، مدیرعامل شرکت ارائه‌دهنده خدمات بازیابی اطلاعات رمزگذاری شده باج‌افزاری، گفته است که به‌طور کلی باج‌افزارهایی که اطلاعات شما را رمزگذاری می‌کنند، برای جابجایی بین درایوهای دستگاه‌ها طراحی شده‌اند. گاهی این باج‌افزارها در عملکردهای اولیه خود با مشکلاتی مواجه می‌شوند یا به واسطه یک نقص مربوط به مجوز دسترسی، مسدود شده و در ادامه رمزگذاری را متوقف می‌کنند. اگر قربانی در این شرایط دستگاه‌ را مجددا راه‌اندازی کند، باج‌افزار شروع به بکاپ‌گیری و ادامه فرآیند رمزگذاری خواهد کرد.

همچنین قربانیان باج‌افزار باید توجه داشته باشند که برای بازیابی فایل‌های رمزگذاری شده توسط باج‌افزارها، دو مرحله مجزا را باید پشت سر بگذارند.
اولین مرحله پیدا کردن آثار باج‌افزار مانند فرآیند و مکانیزم‌های ماندگاری بوت (processes and boot persistence mechanisms) و حذف آن‌ها از یک سیستم آلوده است. دومین مرحله نیز بازیابی اطلاعات در صورت داشتن مکانیزم پشتیبان‌گیری و رمزگشایی است.

 

 

توضیحات بیشتر در:

Don't reboot your computer after you've been infected with ransomware