ریکاوری هارد

بازیابی سرور هک شده با باج‌افزار

بازیابی سرور هک شده
دسترسی سریع محتوا : نمایش
5/5 - (2 امتیاز)

بازیابی سرور هک شده با باج‌افزار (Ransomware)

تغییر پسوند فایل ها به پسوندهایی ناشناخته و قفل شدن تمام اطلاعات موجود.

حتی اطلاعات بکاپ ها در دسترس نیست. 

پیغام  “Your files are encrypted” یا روشن شدن قفل زرد رنگ روی درایوهای شبکه.
تمام نشانه های بالا تنها یک معنی دارد:

” سرور شما توسط ویروس باج افزار قفل شده و شما مورد حمله هکرها قرار گرفته اید”

واضح است که شرایط عادی نیست. و سرور شما در وضعیت بحرانی قرار گرفته است.
اما خوشبختانه باید بدانید که همین الان در بهترین مسیر برای رفع این مشکل بحرانی هستید.
در مقاله ای که مجرب ترین کارشناسان حوزه بازیابی اطلاعات پس از سالها مبارزه با ویروس باج افزار و کسب موفقیت در بسیاری از موارد، جهت جلوگیری از نابودی همیشگی اطلاعات کاربران نوشته اند.
در ادامه به ارائه راهکارهایی جهت از بین بردن این تهدید و بازگرداندن شرایط مطلوب قبل به سرور می پردازیم.

ریکاوری سرور های هک شده با ویروس باج افزار در تهران

اقدامات حیاتی اولیه: ۵ راهکار تضمینی برای حفظ اطلاعات

در فرآیند مدیریت این بحران اقدامات اولیه شما تاثیر بسزایی در نتیجه نهایی خواهد داشت.
در واقع نابودی کامل و یا بازگشت اطلاعات موجود در سرور وابسته به انتخاب هایی است که در ابتدای مسیر عبور از این بحران خواهید گرفت.

برای اینکه اطلاعات سیستم پس از آلودگی باج افزار بطور کامل نابود نشود، ضروری است اقدامات زیر را به ترتیب انجام دهید تا شانس ریکاوری افزایش یابد.

  • قطع دسترسی شبکه: سریعا کابل شبکه (LAN) سرور را بکشید یا دسترسی Wi-Fi و اینترنت را قطع کنید. این کار باعث قطع شدن ارتباط باج‌افزار با سرور فرماندهی (C&C) شده و از گسترش رمزنگاری و آسیب بیشتر جلوگیری می‌کند.
  • سرور را خاموش نکنید: یکی از مهمترین اشتباهاتی که افراد در این شرایط انجام میدهند خاموش کردن سرور است. برخی کلید های رمزگشایی ممکن است هنوز در حافظه موقت (RAM)سرور باقی مانده باشد، خاموش کردن سرور در این حالت برابر با نابود شدن این شانس طلایی است.
  • از هیچ نرم‌افزاری استفاده نکنید: نصب آنتی‌ویروس یا نرم‌افزارهای ریکاوری رایگان در این مرحله، باعث بازنویسی (Overwrite) سکتورهای هارد شده و فایل‌های نیمه‌سالم را خراب خواهد کرد.
  • عکاسی از پیام باج‌گیری: از صفحه مانیتور و پیام هکر (Ransom Note) عکس بگیرید. این پیام حاوی شناسه باج‌افزار است که به کارشناسان ما در شناسایی نوع حمله کمک می‌کند.
  • تماس با متخصصین: قبل از اینکه هاردها را از سرور خارج و یا Raid را دستکاری کنید، با مرکز هارد ایران تماس بگیرید و از مشاوره رایگان بهره مند شوید.

قفل شدن اطلاعات و عدم دسترسی به فایلها به دلیل حمله ی ویروس باج افزار

تشخیص نوع آسیب‌دیدگی سرور شما در مرکز هارد ایران

بر اساس گزارش های اخیر کارشناسان مرکز هارد ایران ، دو نوع از باج افزار بسیار رایج است:

تغییر پسوند فایل‌ها و پیام باج‌خواهی (Ransomware)

در این حالت، نام فایل های دیتابیس SQL و یا اسناد اداری تغییر میکند ( مثلا .locked, .harma, .enc) که در نتیجه فایل قابلیت اجرایی خود را از دست میدهد.

بر اساس آخرین گزارش ها ، باج افزارهای جدید در ابتدای ورود به اطلاعات، مستقیم فایل های بک آپ را مورد حمله قرار می دهند و آن را رمزگذاری و قفل می نمایند. این هوشمندی و تشخیص مهمترین بخش اطلاعات موجود در سرور باعث جدی تر شدن آسیب وارده می شود چرا که این شکل از آلودگی که طی آن ساختار منطقی فایل‌ها توسط الگوریتم‌های ریاضی پیچیده (مثل AES یا RSA) بهم میریزد قابل تعمیر نبوده و بازیابی اطلاعات آن ها بسیار پیچیده و در برخی موارد غیر ممکن خواهد شد.

علامت قفل روی درایوها (BitLocker ویروسی)

یکی دیگر از نشانه‌های رایج آلودگی سیستم به بدافزار ظاهر شدن علامت قفل زرد رنگ بر روی درایوهای سرور است.در جریان این نوع از آلودگی، علامت قفل زرد رنگ بر روی درایوهای سرور بدون فعال سازی BitLocker توسط کاربر، ظاهر می‌شود. در این حالت، بدافزار از قابلیت‌های ویندوز سوءاستفاده کرده و با دسترسی ادمین، BitLocker را فعال و کلید بازیابی را سرقت می‌کند.

در نتیجه، سرور قفل شده و بدون در اختیار داشتن کلید ۴۸ رقمی امکان دسترسی به اطلاعات وجود نخواهد داشت.
با این حال جای نگرانی نیست؛ زیرا در بسیاری از موارد، کلید BitLocker همچنان در بخش‌هایی از سیستم‌عامل ذخیره باقی می‌ماند و احتمال بازیابی اطلاعات همچنان وجود دارد.

بازیابی فایل های LOCK شده به دلیل باج افزار

نمونه بازیابی سرور هک شده در مرکز هارد ایران

سرور حسابداری و انبارداری یکی از شرکت های بزرگ کشتیرانی مورد حمله باج افزار ها قرارگرفته بود که سریعا با مرکز هارد ایران تماس گرفتند:

مشکل چه بود؟

  • تمام فایل‌های دیتابیس و ماشین‌های مجازی رمزنگاری شده بود.
  • حتی بکاپ‌های Veeam نیز توسط مهاجمان شناسایی و تخریب شده بود.

اقدام تخصصی تیم مرکز هارد ایران

به‌جای رفتن سراغ Decrypt (رمزگشایی) کل فایل‌ها (کاری که ماه‌ها زمان نیاز داشت و تقریباً غیرممکن بود) تمرکز تیم فنی ما روی تعمیر مستقیم ساختار دیتابیس SQL قرار گرفت.

فرایند بازیابی سرور و رمزگشایی در مرکز هارد ایران :

✔ بررسی و آنالیز هدر (Header) فایل‌های MDF و LDF
✔ تشخیص بخش‌های سالم و آسیب‌دیده دیتابیس
✔ بازسازی ساختار داخلی با تکنیک تخصصی File Surgery
✔ بازیابی اطلاعات کاربردی بدون نیاز به کلید مهاجمان

نتیجه نهایی

در کمتر از ۴۸ ساعت، 98% اطلاعات مهم و کاربردی توسط متخصصین مرکز هارد ایران بازیابی شد و تمامی سرویس ها بالا آمدند و به حالت قبل بازگشتند.

بهترین شرکت ریکاوری ویروس باج افزار در تهران

آیا پس از حذف ویروس مشکل بطور کامل برطرف میشود؟

بسیاری از تکنسین‌های شبکه تصور می‌کنند پس از حذف ویروس، مشکل به‌طور کامل برطرف میشود، در حالی‌ که بررسی‌های تخصصی کارشناسان ما نشان می‌دهد آسیب‌ها معمولاً در سیستم باقی می‌ماند:

تخریب ساختار دیتابیس (SQL & Oracle Corruption)

باج‌افزارا معمولا هنگام رمزگذاری، عملیات نوشتن روی هارد را به‌طور کامل انجام نمی‌دهد. به همین دلیل حتی اگر فایل‌ها باز شود، جداول داخلی دیتابیس خراب (Corruption) هستند.

تیم فنی مرکز هارد ایران، فایل‌های MDF خراب را تعمیر و اطلاعات دیتابیس‌های SQL که آسیب دیده‌اند را بازیابی می‌کند. این کار نیازمند دانش تخصصی درباره ساختار PAGE های SQL است.

آسیب دیدگی سیستم‌عامل و ماشین‌های مجازی (ESXi & Hyper-V)

در سرورهای مجازی، گاهی فایل‌های VMDK یا VHDX مورد حمله قرار می‌گیرند و در برخی موارد، ماشین‌های مجازی حذف می‌شوند. در چنین شرایطی، بازیابی ماشین مجازی حذف شده و ریکاوری فایل VMDK رمزگذاری شده، نیازمند دسترسی مستقیم به سکتورهای هارد و استفاده از تجهیزات تخصصی مانند PC-3000 میباشد.

آیا پرداخت باج به هکرها راه حل درستی است؟

ممکن است در لحظه وسوسه شوید که با پرداخت پول، مشکل را سریع‌تر حل کنید؛ اما بر اساس تجربه کارشناسان، این کار بیشتر شبیه یک قمار خطرناک است تا یک راه‌حل.

زیرا:

  • طبق آمار جهانی، 40% از کسانی که باج پرداخت میکنند، هرگز کلید دیکریپت را دریافت نمیکنند.
  • با پرداخت باج به هکر ها شما در لیست مشتریان خوش حساب دارک وب قرار میگیرد و احتمال حمله مجدد بسیار بالا است.
  • ابزار های رمزگشایی Decrypt هکر ها معمولا پر از باگ است و فایل های حجیم دیتابیس را حین باز کردن خراب میکند.

ریکاوری ESXi و Hyper-V هک شده توسط باج افزار

سوالات متداول کاربران در خصوص بازیابی سرور هک شده با باج‌افزار

هزینه ریکاوری باج‌افزار چقدر است؟

هزینه ریکاوری بر اساس نوع باج افزار، حجم دیتا، تعداد هارد های RAID و فوریت کار محاسبه میشود. اما قطعا هزینه آن بسیار کمتر از باج درخواستی هکر ها و خسارت توقف کسب و کار شماست.

آیا بعد از ریکاوری، سرور امن است؟

برای حفظ امنیت سرور، حتماً ویندوز سرور را تعویض کنید، پورت‌های پرخطر مانند RDP را مسدود کرده و سیاست‌های امنیتی جدید را اعمال نمایید. زمان در حملات سایبری بسیار مهم است . هر دقیقه تأخیر باعث میشود بدافزار بخش‌های بیشتری از سرور را رمزنگاری کرده یا فایل‌های موقت پاک شوند. ریسک نکنید و فوراً با مرکز هارد ایران تماس بگیرید.

روند بازیابی اطلاعات مرکز هارد ایران12
روند بازیابی اطلاعات مرکز هارد ایران

2 thoughts on “بازیابی سرور هک شده با باج‌افزار

  1. احمدیانی میگوید:

    وقتی سرور توسط باج‌افزار قفل شد و حتی بکاپ‌ها هم در دسترس نیستند، امکان بازیابی اطلاعات وجود داره؟ هزینش چقدره؟

    پاسخ
    • کارشناس میگوید:

      سلام،
      در خیلی از موارد هنوز امکان بازیابی بخشی از اطلاعات وجود داره و بستگی به نوع آسیب دیدگی و وضعیت سرور داره. بهتره هیچ تغییری روی سیستم انجام نشه تا بررسی دقیق انجام بشه.
      هزینه بعد از بررسی مشخص میشه چون به میزان آسیب و حجم اطلاعات بستگی داره، اما تست و بررسی اولیه بصورت کاملا رایگان هست.

      پاسخ

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *