فولدرهای ساخته شده توسط لایه طعمه‌گذاری در ضدباج‌گیر پادویش

سوال

  1. تعدادی پوشه و فایل پنهان با اسامی عجیب (tMrWGzNUI.jpg, aqVBLhrL, …) روی دسکتاپ (یا مسیر دیگری) در سیستم من وجود دارد و امکان حذف آنها را ندارم. آیا سیستم ویروسی شده است؟
  2. پوشه  !!AntiCrypto!! و یا !!ACPadvishAV!! چیست و چرا ایجاد شده است؟
  3. آیا سیستم من به باج‌افزار (Ransomware) آلوده شده است؟

توضیح اولیه

خیر، این فولدرها باج‌افزار (Ransomware) نیستند و سیستم شما آلوده نشده است. باج‌افزار نوعی بدافزار است که اطلاعات شما را رمز کرده و برای بازگرداندن آنها پول طلب می‌کند.

اما فولدرهایی که دیده‌اید مربوط به مولفه ضدباج‌‌افزار پادویش است که وظیفه جلوگیری از آلودگی سیستم شما به باج‌افزارهای شناخته شده و ناشناخته را دارد. این مولفه یک ویژگی منحصربفرد در پادویش است که هیچ یک از ضدویروس‌های خارجی نظیر آن را به این شکل و وسعت ندارند. به نحوی که ضدباج‌گیر پادویش گواهی تشخیص کامل باج‌افزارهای دنیای واقعی را از AV-Test آلمان کسب کرده است.

به طور خاص این فولدرها و فایل‌های درون آن طعمه‌های دامی هستند که ضدباج‌گیر پادویش برای تشخیص باج‌افزارها پهن کرده است. بنابراین نگران نباشید و به این فایل‌ها کاری نداشته باشید.

توضیحات فنی

مولفه ضدباج‌گیر پادویش چهار لایه مختلف محافظتی دارد که – علاوه بر سایر مکانیزم‌ها و تکنولوژی‌های تشخیص موجود در ضدویروس – به طور خاص از سیستم و اطلاعات شما در برابر باج‌افزارها محافظت می‌کند. چهارمین و آخرین لایه اضافه شده به ضدباج‌گیر لایه طعمه‌گذاری است که همین موضوع فولدرها مربوط به این لایه است.

اما برای توضیح بهتر است ابتدا با لایه‌های محافظتی ضدباج‌گیر پادویش آشنا شوید:

  1. لایه محافظت اطلاعات (Tamper Protection): که رفتار باج‌گیرها را شناسایی می‌کند. این تشخیص کاملا رفتاری بوده و نیاز به هیچ آپدیت روزانه یا مانند آن ندارد.
    اولین نسخه‌های ضدباج‌گیر پادویش فقط همین لایه محافظتی را داشتند و به تنهایی همان لایه‌ای است که زمان انتشار ویروس واناکرای که طرف چند ساعت کل دنیا را آلوده کرد و ضدویروس‌ها مجبور به ارائه آپدیت برای تشخیص آن بودند، این ویروس را از لحظه اول و به صورت پیش‌فرض و بدون نیاز به اینکه در طول یکسال گذشته آپدیت شده باشد تشخیص می‌داد.
  2. لایه داده‌بان (DataCop): این لایه روزانه دوبار از کل اطلاعات شما بکاپ تهیه می‌کند. این بکاپ‌ها با تکنولوژی Snapshot ایجاد می‌شود و ظرف چندثانیه تولید شده و فقط چندمگابایت فضا مصرف می‌کند.
    راز این تکنولوژی این است که برای گرفتن بکاپ اطلاعات شما کپی نمی‌شود، بلکه روی همان هارد و همان درایو، یک Snapshot ایجاد شده و از این به بعد تغییرات فایل‌ها جای دیگری ذخیره می‌شود. در نتیجه بکاپ زمان نمی‌گیرد و حجم آن نیز فقط به اندازه تغییرات روزانه شماست. به علاوه داده‌بان از حذف این بکاپ‌ها در برابر روش‌ها و حملات نرم‌افزاری نیز محافظت می‌کند.
    این لایه علاوه بر محافظت در برابر باج‌افزارها، کاربرد بکاپ دم‌دستی را نیز دارد. مثلا اگر فایلی را اشتباهی حذف یا رونویسی کردید از این طریق به راحتی قابل بازگرداندن است. (روش بازگردانی بکاپ داده‌بان را اینجا بخوانید)
    بکاپ داده‌بان جای یک مکانیزم بکاپ‌گیری کامل و صحیح را نمی‌گیرد. حتما باید از اطلاعات مهم‌تان روی یک دیسک مجزا بکاپ بگیرید تا از انواع اشکالات نرم‌افزاری و سخت‌افزاری در امان باشید. اما این بکاپ‌های راحت، سریع و کم‌حجم نیز در جای خودش بسیار مفید است.
  3. لایه محافظت MBR: که برای باج‌افزارهای خاصی مانند Petya طراحی شده که MBR دیسک را آلوده کرده و هنگام ریست سیستم، قبل از بالا آمدن ویندوز دیسک را رمز می‌کنند. این لایه جلوی این باج‌افزارها را می‌گیرد.
  4. لایه محافظت طعمه‌گذاری (Bait): این لایه با ساختن فایل‌های طعمه در نقاط مختلف دیسک، باج‌افزار را در هنگام دسترسی به این فایل‌ها و فولدرهای طعمه شناسایی می‌کند.
    تا پیش از معرفی این لایه در ضدباج‌گیر پادویش، برخی باج‌گیرها با وجودیکه به علت وجود لایه‌های قبلی امکان رمز کردن فایل‌ها را نداشتند و محتوای فایل‌ها سالم می‌ماند، باز هم فایل‌های کاربر را تغییرنام می‌دادند. در این لایه محافظتی جلوی چنین اتفاقی نیز گرفته می‌شود.

همانطور که می‌بینید عملکرد این لایه‌ها به نحوی است که اگر باج‌افزار از هر لایه عبور کرد در لایه‌ی دیگری شناسایی و متوقف شود. و این چیزی است که ضدباج‌گیر پادویش را منحصربفرد کرده است.

در نسخه‌های سری ۲.۴ امنیت کامل پادویش و سری ۱.۵ ضدباج‌گیر پادویش نام این پوشه !!AntiCrypto!! و یا !!ACPadvishAV!! بود. در سری نسخ جدید ضدویروس و ضدباج‌گیر پادویش این اسامی به صورت تصادفی و رندوم تولید می‌شوند تا نویسندگان باج‌افزار نتوانند از طریق نام فایل‌های طعمه را شناسایی نمایند. ضمنا در این نسخه‌ها از طریق غیر فعال کردن گزینه طعمه یا Bait در تنظیمات ضدباج‌گیر می‌توانید این لایه محافظتی را خاموش و فولدرها را حذف نمایید.

نکته: در نصب سازمانی پادویش، مدیر شبکه می‌تواند در صورت لزوم از روی کنسول مدیریتی پادویش یک نام ثابت برای این پوشه‌ها انتخاب نماید.
نکته مهم: اگر با حمله باج‌افزار مواجه شده‌اید، قبل از هر کاری با پشتیبانی پادویش تماس حاصل نمایید.