سوال
- تعدادی پوشه و فایل پنهان با اسامی عجیب (tMrWGzNUI.jpg, aqVBLhrL, …) روی دسکتاپ (یا مسیر دیگری) در سیستم من وجود دارد و امکان حذف آنها را ندارم. آیا سیستم ویروسی شده است؟
- پوشه !!AntiCrypto!! و یا !!ACPadvishAV!! چیست و چرا ایجاد شده است؟
- آیا سیستم من به باجافزار (Ransomware) آلوده شده است؟
توضیح اولیه
خیر، این فولدرها باجافزار (Ransomware) نیستند و سیستم شما آلوده نشده است. باجافزار نوعی بدافزار است که اطلاعات شما را رمز کرده و برای بازگرداندن آنها پول طلب میکند.
اما فولدرهایی که دیدهاید مربوط به مولفه ضدباجافزار پادویش است که وظیفه جلوگیری از آلودگی سیستم شما به باجافزارهای شناخته شده و ناشناخته را دارد. این مولفه یک ویژگی منحصربفرد در پادویش است که هیچ یک از ضدویروسهای خارجی نظیر آن را به این شکل و وسعت ندارند. به نحوی که ضدباجگیر پادویش گواهی تشخیص کامل باجافزارهای دنیای واقعی را از AV-Test آلمان کسب کرده است.
به طور خاص این فولدرها و فایلهای درون آن طعمههای دامی هستند که ضدباجگیر پادویش برای تشخیص باجافزارها پهن کرده است. بنابراین نگران نباشید و به این فایلها کاری نداشته باشید.
توضیحات فنی
مولفه ضدباجگیر پادویش چهار لایه مختلف محافظتی دارد که – علاوه بر سایر مکانیزمها و تکنولوژیهای تشخیص موجود در ضدویروس – به طور خاص از سیستم و اطلاعات شما در برابر باجافزارها محافظت میکند. چهارمین و آخرین لایه اضافه شده به ضدباجگیر لایه طعمهگذاری است که همین موضوع فولدرها مربوط به این لایه است.
اما برای توضیح بهتر است ابتدا با لایههای محافظتی ضدباجگیر پادویش آشنا شوید:
- لایه محافظت اطلاعات (Tamper Protection): که رفتار باجگیرها را شناسایی میکند. این تشخیص کاملا رفتاری بوده و نیاز به هیچ آپدیت روزانه یا مانند آن ندارد.
اولین نسخههای ضدباجگیر پادویش فقط همین لایه محافظتی را داشتند و به تنهایی همان لایهای است که زمان انتشار ویروس واناکرای که طرف چند ساعت کل دنیا را آلوده کرد و ضدویروسها مجبور به ارائه آپدیت برای تشخیص آن بودند، این ویروس را از لحظه اول و به صورت پیشفرض و بدون نیاز به اینکه در طول یکسال گذشته آپدیت شده باشد تشخیص میداد. - لایه دادهبان (DataCop): این لایه روزانه دوبار از کل اطلاعات شما بکاپ تهیه میکند. این بکاپها با تکنولوژی Snapshot ایجاد میشود و ظرف چندثانیه تولید شده و فقط چندمگابایت فضا مصرف میکند.
راز این تکنولوژی این است که برای گرفتن بکاپ اطلاعات شما کپی نمیشود، بلکه روی همان هارد و همان درایو، یک Snapshot ایجاد شده و از این به بعد تغییرات فایلها جای دیگری ذخیره میشود. در نتیجه بکاپ زمان نمیگیرد و حجم آن نیز فقط به اندازه تغییرات روزانه شماست. به علاوه دادهبان از حذف این بکاپها در برابر روشها و حملات نرمافزاری نیز محافظت میکند.
این لایه علاوه بر محافظت در برابر باجافزارها، کاربرد بکاپ دمدستی را نیز دارد. مثلا اگر فایلی را اشتباهی حذف یا رونویسی کردید از این طریق به راحتی قابل بازگرداندن است. (روش بازگردانی بکاپ دادهبان را اینجا بخوانید)
بکاپ دادهبان جای یک مکانیزم بکاپگیری کامل و صحیح را نمیگیرد. حتما باید از اطلاعات مهمتان روی یک دیسک مجزا بکاپ بگیرید تا از انواع اشکالات نرمافزاری و سختافزاری در امان باشید. اما این بکاپهای راحت، سریع و کمحجم نیز در جای خودش بسیار مفید است. - لایه محافظت MBR: که برای باجافزارهای خاصی مانند Petya طراحی شده که MBR دیسک را آلوده کرده و هنگام ریست سیستم، قبل از بالا آمدن ویندوز دیسک را رمز میکنند. این لایه جلوی این باجافزارها را میگیرد.
- لایه محافظت طعمهگذاری (Bait): این لایه با ساختن فایلهای طعمه در نقاط مختلف دیسک، باجافزار را در هنگام دسترسی به این فایلها و فولدرهای طعمه شناسایی میکند.
تا پیش از معرفی این لایه در ضدباجگیر پادویش، برخی باجگیرها با وجودیکه به علت وجود لایههای قبلی امکان رمز کردن فایلها را نداشتند و محتوای فایلها سالم میماند، باز هم فایلهای کاربر را تغییرنام میدادند. در این لایه محافظتی جلوی چنین اتفاقی نیز گرفته میشود.
همانطور که میبینید عملکرد این لایهها به نحوی است که اگر باجافزار از هر لایه عبور کرد در لایهی دیگری شناسایی و متوقف شود. و این چیزی است که ضدباجگیر پادویش را منحصربفرد کرده است.
در نسخههای سری ۲.۴ امنیت کامل پادویش و سری ۱.۵ ضدباجگیر پادویش نام این پوشه !!AntiCrypto!! و یا !!ACPadvishAV!! بود. در سری نسخ جدید ضدویروس و ضدباجگیر پادویش این اسامی به صورت تصادفی و رندوم تولید میشوند تا نویسندگان باجافزار نتوانند از طریق نام فایلهای طعمه را شناسایی نمایند. ضمنا در این نسخهها از طریق غیر فعال کردن گزینه طعمه یا Bait در تنظیمات ضدباجگیر میتوانید این لایه محافظتی را خاموش و فولدرها را حذف نمایید.