مقابله با باج‌افزارها با ابزار کمکی McAfee

شبکه گستر

8 سال پیش

شرکت امنیتی McAfee نرم افزاری ویژه با عنوان McAfee Ransomware Interceptor برای مقابله با باج‌افزارهای رمزنگار ارائه کرده است.

باج‌افزار یا Ransomware، گونه ای بدافزار است که دسترسی به فایل‌های کاربر را محدود ساخته و برای دسترسی مجدد، از او درخواست باج می کند. در روش های پیشرفته محدودسازی، باج افزار اقدام به رمز کردن فایل های کامپیوتر با الگوریتم های نامتقارن می‌کند. هدف از رمز کردن، تغییر ساختار فایل است؛ به نحوی که تنها با داشتن کلید رمزگشایی بتوان به محتوای فایل دسترسی پیدا کرد. رمزگشایی فایل هایی که با طراحی زیرکانه به روش نامتقارن رمزنگاری می شوند دشوار و در بسیاری مواقع، بدون پرداخت باج به ویروس نویس، غیرممکن است.

تعداد باج افزارها در در سال های اخیر روندی بشدت صعودی داشته است. بر اساس آمار شرکت McAfee تنها در سه ماهه دوم سال میلادی جاری، بیش از 1/3 میلیون باج افزار جدید منتشر شده است.

نویسندگان باج افزار، با تغییر پیوسته برنامه های مخرب و روش های انتشار خود و همچنین با بکارگیری روش های مبهم سازی (Obfuscation) و ضدتحلیل از سد نرم افزارهای ضدویروس عبور می کنند و همین موضوع مقابله با باج افزارها را بسیار دشوار ساخته است. اما McAfee Ransomware Interceptor هر نوع پروسه رمزکننده فایل را بر روی دستگاه کاربر شناسایی کرده و پیش از رمزگذاری فایل‌ها توسط پروسه‌های مخرب، آنها را متوقف می‌کند.

در حال حاضر، نسخه آزمایشی McAfee Ransomware Interceptor منتشر شده و از مسیرهای زیر قابل دریافت است:

http://update.shabakeh.net/Download/Tools/mcafeeransomwareinterceptorinstaller_0.5.0.192_x86.msi
http://update.shabakeh.net/Download/Tools/mcafeeransomwareinterceptorinstaller_0.5.0.192_x64.msi

برای نصب این نرم افزار باید بر اساس نوع سیستم عامل (32 یا 64 بیتی) یکی از فایل‌های مذکور را بر روی دستگاه اجرا کرده و مراحل نصب را دنبال نمود. نرم افزار McAfee Ransomware Interceptor از سیستم‌های عامل Windows 7 و بعد از آن پشتیبانی می‌کند.

توصیه می شود پس از پایان فرآیند نصب، دستگاه راه اندازی مجدد (Reboot) شود.

با نصب شدن McAfee Ransomware Interceptor نشان در نوار ابزار ظاهر می‌شود که با کلیک راست بر روی آن، منویی مشابه شکل زیر نمایش داده می‌شود.

گزینه‌های قابل انتخاب در این منو عبارتند از:

Start/Stop Monitoring: با استفاده از این دو گزینه می‌توان فعالیت نرم‌افزار را فعال (Start) یا متوقف (Stop) کرد.
Whitelist a File: این نرم‌افزار بصورت هوشمند پروسه‌های رمزنگار مجاز و غیرمجاز را از یکدیگر تفکیک می‌کند. با این حال کاربر نیز قادر است که پروسه‌های مورد نظر خود را با استفاده از این گزینه به فهرست سفید نرم‌افزار اضافه کند.
View Detection Log: با انتخاب این گزینه، موارد شناسایی‌ شده توسط نرم‌افزار نشان داده می‌شود. این اطلاعات در فایلی با عنوان MRIProtectionLog.txt در مسیر نصب نرم افزار نگهداری می‌شوند.
About: نسخه و تاریخ ساخت نرم‌افزار از طریق این گزینه قابل مشاهده است.