تولید محصولی با ویژگی بازیابی فایل‌ها پس از حمله‌ی باجگیر‌افزار

شرکت SentinelOne یک ویژگی جدید به محصولات تشخیص دژافزار^(۱) خود افزوده که می‌تواند فایل‌های رمز‌شده توسط نوع خاصی از حملات با عنوان باجگیرافزارها را بازیابی کند.

رئیس بخش مدیریت محصولات این شرکت گفت ویژگی عقب‌گرد^(۲)، در محصولات تشخیص و پاسخ و محصولات حفاظتی این شرکت اضافه خواهد شد.

SentinelOne یکی از چندین شرکت تولیدکننده‌ی محصولات امنیتی است که تلاش دارند تا آنتی‌ویروس‌های سنتی را با محصولات تشخیص دژافزاری جایگزین کنند که از تحلیل‌های عمیق به جای تشخیص مبتنی بر امضا استفاده می‌کنند.

محصولات این شرکت از یک عامل سبک در سیستم‌های نهایی همچون لپ‌تاپ‌ها و دسکتاپ‌ها استفاده می‌کند که بر فضای هسته سیستم‌عامل در کنار فضای کاربر نظارت می‌کند تا تغییراتی که ممکن است مربوط به دژافزار باشند را مشخص کند.

ویژگی عقب‌گرد از قابلیت‌های درونی مایکروسافت ویندوز و اپل OS X استفاده می‌کند. هردوی این سیستم‌عامل‌ها از فایل‌های روی کامپیوتر تصویرهای لحظه‌ای^(۳) می‌گیرند. این ویژگی در ویندوز با عنوان Volume Shadow Copy Service و در OS X با عنوان journaling شناخته می‌شود.

از این تکنولوژی‌ها برای سیستم‌های بازیابی استفاده می‌شود. تصویرهای فایل‌ها در یک محیط امن نگهداری می‌شوند و در صورت آلودگی ماشین، تحت تأثیر باج‌افزار قرار نمی‌گیرند. SentinelOne همچنین برخی روال‌های دفاعی ضد دست‌کاری برای اطمینان از اینکه تصویرها تحت تأثیر قرار نمی‌گیرند را اضافه کرده است.

این سیستم فایل‌های تغییریافته در سیستم را بررسی می‌کند و در صورتی که توسط باجگیرافزار آلوده شده باشند می‌تواند تغییرات را به عقب بازگرداند.

باجگیرافزارها در سال های احیر عوارض زیادی برای سازمان ها بنگاه ها ایجاد کرده اند. این ها یک دسته ی از جرایم سایبری با سودآوری بالا هستند که اغلب تنها راه واضح کردن فایل‌های رمزشده، پرداخت باج از چند صد دلار تا هزاران دلار به صورت از طریق بیت کوین^(۴) است.

متخصصان امنیت معتقدند که بهترین راه برای بازیابی فایل‌ها از یک حمله‌ی باجگیرافزار، پشتیبان گیری از فایل‌های کامپیوتر است و درایو پشتیبان باید پس از انجام کار، از سیستم جدا شود و در غیر این صورت ممکن است اطلاعات آن نیز رمز شود.

این شرکت اعلام کرده که می‌تواند حملات باجگیرافزار را تشخیص داده و متوقف کند، که این سؤال به وجود می‌آید که دیگر چه نیازی به ویژگی بازیابی فایل وجود دارد.

مسئولان شرکت اعلام کرده اند مشتری‌ها می‌توانند محصول را به روش‌های مختلف تنظیم کنند. برخی می‌توانند آن را تنظیم کنند تا تنها درزمانی که مشکل واقع می‌شود یک هشدار اعلام کند و یا اینکه سیستم به‌صورت خودکار پاسخ دهد. درصورتی‌که تنها هشدار تنظیم شده باشد، فایل‌ها رمز خواهند شد و مستلزم فعال کردن قابلیت عقب‌گرد خواهد بود.

منبع

1. http://www.computerworld.com/article/3005911/security/sentinelone-adds-feature-to-restore-files-hit-by-ransomware.html

• (۱) Malware
• (۲) Rollback
• (۳) Snapshot
• (۴) BitCoin