هجمات الفدية واسترداد البيانات: نظرة شاملة

الهجمات الخبيثة بالفدية هي تهديد خطير للشركات في أي صناعة بسبب فقدان البيانات والتوقف عن العمل الذي تسببه. وصل المتوسط ​​المطلوب كفدية في عام 2023 إلى 1.54 مليون دولار وفقًا لـ Sophos. للأسف، تزداد شدة الهجمات بالفدية من عام إلى آخر. الجميع في خطر. بعد تثبيت البرمجيات الخبيثة بالفدية على جهاز كمبيوتر، تقوم بحذف أو تلف البيانات باستخدام خوارزميات تشفير قوية.

الجهات الخبيثة وراء البرمجيات الخبيثة بالفدية عادة ما تطالب بمبلغ مالي (فدية) لإطلاق سراح البيانات وجعلها متاحة مرة أخرى. ومع ذلك، بالإضافة إلى تشجيع الجرائم، فإن هذه المدفوعات لا تضمن لك الوصول الكامل إلى البيانات القابلة للاستخدام. يشرح هذا المقال كيفية الاستعادة من هجوم برمجيات الفدية بشكل فعال دون القيام بمعاملات مع الجناة.

ما الذي يجب القيام به بعد هجوم برمجيات الفدية

بالرغم من التدابير الوقائية المتاحة بكثرة، هناك لا يزال احتمال لتعرض منظمتك لهجوم برمجيات الفدية. يمكن أن تساعد الممارسات التالية في تقليل تأثير هجوم برمجيات الفدية إذا حدث ذلك. إذا تمت إصابة أجهزتك ببرمجيات الفدية، فاتبع هذه التوصيات قبل استعادة الملفات من برمجيات الفدية.

• قم بفصل الجهاز المصاب. بمجرد اكتشافك للجهاز المصاب ببرامج ضارة، يجب عليك فوراً فصل الجهاز من الشبكة وأجهزة التخزين الخارجية. بهذه الطريقة، يمكنك التأكد من عدم إصابة الأجهزة والأنظمة الأخرى في بنيتك التحتية بالعدوى. يسمح هذا الخطوة لك بحفظ البيانات غير المتأثرة وتقليل كمية العمل اللازمة لاستعادة الملفات من البرمجيات الخبيثة.

  بعد ذلك، قم بتحديد عدد الأجهزة التي تأثرت فعلاً بالهجوم الخبيث وابحث عن النشاط المشبوه في بنيتك التحتية.

• تحديد نوع برامج الفدية. تحدث مع الشخص الذي اكتشف المشكلة أولاً. اسأل ما كانوا يقومون به قبل الحادث، سواء كانوا قد تلقوا رسائل بريد إلكتروني مرفقة مشبوهة، وأي ملفات قاموا بتنزيلها مؤخرًا. يوفر تحديد نوع برامج الفدية معلومات قيمة يمكن استخدامها لتحديد الثغرات في نظام حماية البيانات الخاص بك وتعديله وفقًا لذلك.

  وعلاوة على ذلك، إذا نجحت في تحديد نوع برامج الفدية، يمكنك معرفة بالضبط كيف تأثرت ملفاتك (أي ما إذا كانت مشفرة أو مقفلة). بعد ذلك يمكنك فهم الآثار المحتملة لعدم دفع الفدية، والاستراتيجية التي يجب استخدامها للاستعادة بنجاح من هجوم برامج الفدية.

• الإبلاغ عن المشكلة. عند إجراء تدريب الموظفين، قم بشرح لفريقك أهمية إخطار فريق دعم تكنولوجيا المعلومات بأي نشاط مشبوه على أجهزتهم. بهذه الطريقة، يمكن للمحترفين في تكنولوجيا المعلومات الاستجابة لهجوم برامج الفدية في الوقت المناسب قبل حدوث أي أضرار خطيرة. بعد ذلك، قم بالإبلاغ عن الهجوم برامج الفدية إلى السلطات (على سبيل المثال، مكتب التحقيقات الفدرالي إذا كنت في الولايات المتحدة) وقدم لهم جميع المعلومات اللازمة حول الحادثة. يمكن أن يساعد الإبلاغ إلى السلطات في منع الهجمات المستقبلية من قبل نفس المهاجمين برامج الفدية.

• لا تدفع الفدية. تنصل المسؤولين عن إنفاذ القانون من الامتثال لمطالب المهاجمين لأن ذلك يشجع على المزيد من هجمات برامج الفدية في المستقبل. سيعتبر المخترقون الذين يبحثون عن تحقيق أرباح سريعة أنك هدفاً سهلاً لهجماتهم المستقبلية. علاوة على ذلك، في معظم الحالات، لا يضمن دفع الفدية أن المهاجمين سيقومون بفتح أو فك تشفير البيانات كما وعدوا. تذكر أنك تتعامل مع مجرمين يهمهم فقط الربح.

• تحديد تأثير هجوم برامج الفدية. يجب عليك تحديد مدى تلف البيانات، وعدد الأجهزة التي تمت إصابتها نتيجة للهجوم، ومدة الوقت اللازمة للتعافي من الهجوم. علاوة على ذلك، قيم أهمية البيانات التي أصبحت غير متاحة وحدد ما إذا كان بإمكان استعادتها دون الدفع الفدية.

• استعادة نظامك من برامج الفدية. بعد إزالة برامج الفدية من أجهزتك، يمكنك البدء في استعادة البيانات المتأثرة بالهجوم برامج الفدية.

خيارات الاستعادة لملفات برامج الفدية المشفرة

هناك عدة طرق لاستعادة البيانات بعد هجوم برنامج الفدية. فعالية هذه الطرق تختلف اعتمادًا على الوضع.

استخدام الأدوات المدمجة في نظام التشغيل الخاص بك

إذا كنت تستخدم Windows 10 ، يمكنك محاولة استخدام أداة استعادة النظام في Windows لاستعادة إعدادات النظام وإعدادات البرنامج من نقطة استعادة تم إنشاؤها تلقائيًا. لا يمكن استعادة جميع البيانات بهذه الطريقة. يمكن لبرامج الفدية الحديثة تعطيل استعادة النظام وحذف أو تلف نقاط استعادة Windows. في هذه الحالة، هذه الطريقة غير فعالة.

استخدام أداة فك التشفير لبرنامج الفدية

إذا كنت قد اكتشفت نوع ونسخة برنامج الفدية، حاول العثور على أداة فك التشفير التي يوفرها الباحثون في مجال الأمن. لا تتوفر أدوات فك التشفير لكل إصدار من برامج الفدية. كما أنه من النادر بشكل متزايد العثور على أداة فك التشفير في الوقت الحالي.

استخدام برامج لاستعادة الملفات المحذوفة

إذا لم يقم برنامج الفدية بالكتابة فوق الملفات على القرص وملأ سطح القرص بالأصفار أو البيانات العشوائية، هناك فرصة لاستعادة بعض البيانات الحرجة. يتطلب فحص سطح القرص وقتًا طويلاً. يمكن أن تفقد أسماء الملفات بعد الاستعادة، ويمكن أن تكون أسماءها مثل RECOVER0001.JPG، RECOVER0002.JPG، إلخ.

استعادة البيانات من نسخة احتياطية

النقطة الرئيسية لهذه الطريقة هي أنه يجب عليك الاستعداد مسبقًا وعدم الانتظار حتى يصيب برامج الفدية أجهزتك. إذا لم تقم بإنشاء نسخة احتياطية قبل هجوم برامج الفدية، فلن ينطبق هذا الأسلوب. تحتاج إلى التحضير مسبقًا وعمل نسخ احتياطية بانتظام. توصي ممارسات النسخ الاحتياطي باتباع قاعدة النسخ الاحتياطي 3-2-1 وتخزين النسخ الاحتياطية خارج الموقع و/أو على نحو متصل للاستعادة من هجوم برامج الفدية. يمكنك استخدام السحابة، الشريط و/أو تخزين النسخ الاحتياطية القائم على العناصر غير القابلة للتغيير لهذا الغرض.

أفضل طريقة لإنشاء نسخ احتياطية هي استخدام حلول حماية البيانات المخصصة التي تدعم مختلف أنواع الأعباء العملية والبنية التحتية وتتيح لك تنفيذ قاعدة النسخ الاحتياطي 3-2-1.

إحدى هذه الحلول هي NAKIVO Backup & Replication. يتيح لك حل NAKIVO الزيادة في أداء النسخ الاحتياطي، وضمان قابلية استعادة البيانات، وتحسين استعادة برامج الفدية. يدعم الحل حماية البيانات للخوادم الفعلية، والآلات الظاهرية (VMware vSphere، Microsoft Hyper-V، Nutanix AHV)، وحالات Amazon EC2 وMicrosoft 365. باستخدام الحل، يمكنك:

• إجراء نسخ احتياطية تعتمد على الصورة ومدركة للتطبيقات وتزايدية.

• إنشاء نسخ احتياطية بسهولة دون الحاجة إلى إشراك المضيفين المصدر أو الآلات الظاهرية (VMs).تخزين النسخ الاحتياطية في موقع بعيد، سحابة عامة أو شريط.

• تخزين النسخ الاحتياطية في موقع دوري، سحابة عامة أو على شريط التخزين.

• تمكين الثبات للمستودعات المحلية القائمة على لينكس أو في سحابة Amazon S3.

• اختيار من متنوع من خيارات الاستعادة المرنة، بما فيها بدء VM الفوري، استعادة تفصيلية واستعادة P2V للآلات الحقيقية كـ VMware vSphere VMs.

• إنشاء ورقات عمل الاستعادة من الكوارث من خلال ترتيب مختلف الإجراءات والشروط في سلسلة تلقائية.

كم من الوقت يستغرق الاستعادة من الرشونويرز؟

يعتمد الوقت الضروري لاستعادة ملفات التشفير بفيروس الرشونويرز على كمية البيانات المتضررة على الحواسيب المصابة والطريقة المستخدمة لاستعادة الرشونويرز. عند تقدير الوقت الضروري لاستعادة هجوم الرشونويرز، نعني استعادة البيانات وإعادة جميع الأنظمة على الخط بإستعادة الشغلات.

يمكن أن يتغير وقت استعادة البيانات وإعادة الشغلات من الأيام إلى الأشهر. دعونا ننظر إلى العوامل الرئيسية التي تؤثر على وقت الاستعادة.

• A system administrator’s experience. Skilled system administrators usually have multiple disaster recovery plans for different scenarios and know what to do in each situation. You should have a ransomware recovery plan to be prepared for ransomware attacks.

• قد يستغرق الاستعادة باستخدام أداة فك التشفير (إذا وجدت واحدة لإصدار محدد من الرشونويرز) وقتا طويلا. إذا تم تغيير أسماء الملفات أيضًا بعد التشفير (مثل sLc6-fAl26m.nSeB2 بدلاً من image001.jpg)، سيستغرق الأمر وقتا أطول لوضعها في المجلدات الصحيحة بعد الاستعادة. يجب عليك الإحترام لهيكل الملف والمجلد الصحيح، خصوصا إذا كانت هذه الملفات ضرورية للتطبيقات لتعمل.

• تقليل النسخ الاحتياطي للبيانات الوقت المطلوب لاسترداد الملفات وخوادم الفدية. ميزة استرداد الملفات من النسخ الاحتياطي بعد هجوم الفدية هي أنك تستعيد البيانات المنظمة، بما في ذلك أسماء الملفات والمجلدات مع مساراتها الصحيحة. تحتاج إلى تحديد نسخة احتياطية للتاريخ/الوقت المناسب واختيار موقع الوجهة الذي تريد استرداد البيانات إليه. ثم انتظر فقط حتى يتم نسخ البيانات واستردادها.
  علاوة على ذلك، تعتمد حلول النسخ الاحتياطي مثل NAKIVO Backup & Replication على تقنية الصورة لالتقاط نسخ احتياطية لآلات الافتراضية والأجهزة الفعلية. وهذا يعني أن النسخ الاحتياطي يلتقط نظام التشغيل والملفات الأخرى المرتبطة بنظام التشغيل، مثل ملفات تكوين التطبيق وحالة النظام، مما يساعدك على توفير الوقت في إعادة تشغيل الأنظمة.

• الاختبار غير الكافي لخطة استرداد الفدية يمكن أن يؤدي إلى مدة استعادة البيانات أطول من المتوقع. لهذا السبب، حاول دائمًا اختبار خطة الاسترداد الخاصة بك لضمان أنه يمكنك استعادة كل ما تحتاج إليه في الإطار الزمني المناسب.

لاحظ أنه عند إنشاء استراتيجية لاستعادة الكوارث تتضمن خطة استرداد الفدية، يجب أن تأخذ في الاعتبار مقاييس RTO و RPO.

الاستنتاج

استرداد الفدية عملية معقدة تتضمن استعادة البيانات واستعادة الأعباء العملية. تعتمد تكلفة ووقت استرداد الفدية على كمية التحضير الذي يتم إدراجه في استراتيجية النسخ الاحتياطي والاسترداد من هجمات الفدية.

النهج الرئيسي للتخفيف من المشاكل التي تسببها هجمات الفدية هو اتباع التدابير الوقائية ونسخ البيانات بانتظام. اتبع قاعدة نسخ الاحتياطي 3-2-1، واستخدم تخزين النسخ الاحتياطية الغير قابل للتغيير وحلول حماية البيانات الموثوقة التي يمكنها أتمتة المهام.