اخبار فناوری اطلاعات
Shadow Copies: راه نجاتی برای بازیابی اطلاعات از دسترفته
راههای بسیاری برای بازیابی فایلهای رمزگذاری شده ما در اثر حمله یک باجافزار وجود ندارد. اگر ما خوششانس باشیم ممکن است یکی از ابزارهای رایگان بازیابی اطلاعات، فایلهای ما را بازگرداند، و یا نسخه پشتیبان به کمک ما بیاید.
البته ویندوز نیز امکانی برای پشتیبانگیری از اطلاعات ما دارد؛ گزینه Shadow Copy که مدت کوتاهی اخرین نگارش فایلهای ما را در خود نگه میدارد. اما غالب باجافزارها پیش از رمزگذاری فایلها، محتویات Shadow Copy را پاک میکنند.
به گزارش ایتنا از روابط عمومی ایمن رایانه پندار، ضدویروسها عموما از ۳ روش شناسایی “مبتنی بر امضا”، “هوش مصنوعی یا آنالیز رفتاری” و ” فیلترینگ محتوا” برای مقابله با بدافزارها استفاده میکنند. اما گاهی همه این روشها در کنار هم نیز برای شناسایی باجافزارها کفایت نمیکند، چراکه بسیاری از باجافزارها پیش از انتشار با چندین ضدویروس قدرتمند بررسی میشوند که مورد شناسایی قرار نگیرند. متدهای عملکردی آنها بسیار پیچیده است. هسته مرکزی باجافزارها بعضا هر ۱۵ دقیقه یک بار تغییر میکند و طبعا Hash فایل آن نیز. نتیجه این است که ضدویروس در صورت شناسایی یک گونه بر اساس Hash آن فایل نمیتواند بدرستی کار پاکسازی را انجام دهد.
شرکت پاندا سکیوریتی از دو سال پیش روش ساده اما مؤثری را در نرمافزارهای ضدویروس خود به کار گرفت. بر اساس این روش هر گونه تلاشی برای پاک کردن محتویات Shadow copy ویندوز، به احتمال زیاد یک خرابکاری است. پس پاندا جلوی این تغییر را میگیرد. با این تفاسیر حتی اگر آن باجافزار موفق شود اطلاعات را رمز کند، براحتی و بدون پرداخت باج، اطلاعات مذکور از Shadow Copy بازیابی میشود.
دقیقا خلاف آنچه بسیاری از ما فکر میکنند که چطور ممکن است؟ یک توضیح آسان برای این وجود دارد: ما با استفاده از این روش به عنوان “آخرین چاره”، زمانی که هر لایه امنیتی دیگر شکست خورده است، توانستهایم بسیاری از اینگونه حملات را مسدود کنیم. شرکت پاندا استفادههای فراوانی از بابت تحلیل و بررسی حملات مسدود شده بدست آورده است. این اطلاعات به ما کمک میکند که نقاط ضعف خودمان را بشناسیم و در رویارویی با باجافزارها بهتر از گذشته عمل کنیم.
منبع : ایتنا