پادویش

سوالات عمومی ضدباجگیر

تشخیص اشتباه ضدباج‌گیر آنتی‌ویروس کسپراسکی HEUR:Trojan.Multi.Crypren.gen

مساله

  1. شما یک سرور دارید که آنتی‌ویروس کسپراسکی روی آن نصب است و تعدادی پوشه نیز Share کرده‌اید.
  2. روی یک سیستم دیگر در شبکه آنتی‌ویروس پادویش یا ضدباج‌گیر پادویش نصب کرده‌اید.
  3. در هنگام دسترسی و ویرایش فایل‌های موجود در فولدر اشتراکی سرور، ارتباط قطع شده و لاگ زیر در آنتی‌ویروس کسپراسکی درج می‌شود:
File Threat Protection - HEUR:Trojan.Multi.Crypren.gen - <Path to shared file>.CryptoBackup

این اتفاق در نسخه‌هایی از کسپراسکی که دارای ماژول AntiCryptor می‌باشند (به عنوان مثال نسخه Kaspersky Security for Windows Server اتفاق می‌افتد.

راهکار سریع

نسخه ضدباج‌گیر پادویش خود را ارتقا دهید.

با وجود اینکه علت این مساله یک ایراد در روش تشخیص مبتنی بر نام فایل در کسپراسکی می‌باشد، اما در محصولات زیر، نام فایل بکاپ تغییر کرده است تا این ایراد کسپراسکی پوشش داده شده و دیگر هشدار اشتباه صادر نشود:

  • ضدباج‌گیر پادویش در نسخه‌های ۱.۵.۱۶۹.۱۱۳۷ و بالاتر
  • ضدویروس پادویش در نسخه‌های ۲.۹.۱۳۴.۸۰۰۱ و بالاتر

علت مساله

علت مساله اشتباه در ماژول تشخیص باج‌افزار آنتی‌ویروس کسپراسکی می‌باشد. به طور کلی ماژول AntiCryptor کسپراسکی که وظیفه این تشخیص را برعهده دارد، در صورت مشاهده رفتار زیر آن را به عنوان HEUR:Trojan.Multi.Crypren.gen تشخیص می‌دهد:

  • ساخته شدن فایل جدید در فولدر اشتراکی که با فایل قبلی هم‌نام بوده و پسوند متفاوتی داشته باشد.

این تشخیص هیچ ارتباطی به محتوای فایل یا عملیات رمزنگاری نداشته و صرفا به «نام فایل» وابسته است و به سادگی با چندبار کپی یک فایل در فولدر اشتراکی با پسوندهای مختلف قابل ایجاد می‌باشد.

به عنوان مثال اسکریپت ساده زیر موجب هشدار کسپراسکی و بسته شدن فولدر Share می‌شود:

Copy SomeFile.png \\192.168.1.1\share\SomeFile.png
Copy SomeFile.png \\192.168.1.1\share\SomeFile.png.test

این اسکریپت صرفا یک فایل png سالم را در یک پوشه اشتراکی کپی می‌کند، اما از آنجاکه در کپی دوم، نام فایل دارای یک پسوند اضافه‌تر (در اینجا test) می‌باشد توسط کسپراسکی به عنوان باج‌افزار شناسایی می‌شود. (استفاده از کلمه test به عنوان مثال بوده و هر پسوند دیگری همین رفتار را دارد) حتی کپی دستی دو فایل با چنین نام‌هایی فارغ از محتوای آنها منجر به این تشخیص اشتباه می‌شود.

جالب اینجاست که این مکانیزم تشخیص با نرم‌افزارهای معروفی مانند SolidWorks و SPSS Statistics، انواع کلاینت‌های ایمیل و … نیز تداخل داشته و منجر به تشخیص اشتباه می‌شود. راه حل کسپراسکی برای رفع این تداخل‌ها، قرار دادن یک لیست  استثنائات ثابت در محصولاتش است که پسوندهای مورد استفاده در این نرم‌افزارها  (مانند stt, sldprt, sig و حتی پسوند exe) را تراست نموده و در خصوص آنها هشداری صادر نمی‌کند.

از آنجا که لایه محافظت اطلاعات در ضدباج‌گیر پادویش در شرایط خاصی از فایل اصلی یک بکاپ موقت با پسوند CryptoBackup تهیه می‌کند، این اشکال کسپراسکی در خصوص این فایل نیز رخ می‌دهد. نسخه جدید پادویش با تغییر این پسوند این ایراد را پوشش داده و آن را دور می‌زند.

راهکار

این راهکار مربوط به نسخه‌های قبلی محصولات می‌باشد و در نسخه‌های زیر نیازی به اعمال راهکار نمی‌باشد:

* ضدباج‌گیر پادویش در نسخه‌های ۱.۵.۱۶۹.۱۱۳۷ و بالاتر

* ضدویروس پادویش در نسخه‌های ۲.۹.۱۳۴.۸۰۰۱ و بالاتر

جهت رفع تشخیص اشتباه، می‌توانید در تنظیمات آنتی‌ویروس کسپراسکی پسوند CryptoBackup را استثنا نمایید:

  1. به تنظیمات ماژول AntiCryptor مراجعه کنید.
  2. بخش Exclusion List را باز نمایید.
  3. پسوند *.CryptoBackup را وارد نمایید.
  4. تمام پنجره‌ها را با OK ببندید.

لینک راهنمای تنظیمات در سایت کسپراسکی: https://support.kaspersky.com/KSWS/11/en-US/193127.htm (پادویش مسئول محتوای لینک‌های بیرونی نمی‌باشد)

همانگونه در لینک راهنمای کسپراسکی آمده است، کسپراسکی به صورت پیش‌فرض پسوندهای sldprt، exe و دو پسوند دیگر را از این نحوه تشخیص استثنا کرده است که نشانگر تداخل آن با نرم‌افزارهای دیگری از جمله SolidWorks می‌باشد.

توضیحات تکمیلی

لازم به تاکید است که از آنجاییکه نحوه تشخیص کسپراسکی صرفا برحسب نام فایل می‌باشد و این روش مستعد خطای تشخیص بالا و تداخل با نرم‌افزارهای بسیاری است؛ به همین علت کسپراسکی در ماژول AntiCryptor یک لیست پیش‌فرض استثنا تعریف نموده است که شامل موارد زیر است: (منبع https://support.kaspersky.com/KSWS/11/en-US/193127.htm)

  • stt – پسوند نرم‌افزار آماری SPSS
  • exe – پسوند فایل‌های اجرایی ویندوز
  • sig – پسوند مورد استفاده در نرم‌افزارهای ایمیل
  • sldprt – پسوند نرم‌افزار Solid Works
  • و …

آنچه شما اضافه می‌کنید یک استثنای جدید در لیست بالا می‌باشد.


داده‌بان ضدباج‌گیر از هیچ یک از درایوها پشتیبان‌گیری نمی‌کند (خطای 0x8004230c)

علائم و نشانه‌ها

  1. در داده‌بان پادویش خطای زیر را برای تمامی درایوها دریافت می‌کنید:
  2. آخرین ستون جدول (آخرین خطا) یکی از پیام‌های زیر را نمایش می‌دهد:
    IDispatch error #8460 (0x8004230c) نظارت:IDispatch error #8463 (0x8004230f)
    IDispatch error #8450 (0x80042302) نظارت:The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (0x80070422)
  3. به شماره خطای 0x8004230c یا 0x80042302 یا 0x80070422 در پیام بالا دقت کنید.

راه‌حل سریع

  1. کلید Win+R را بزنید و برنامه services.mscرا اجرا نمایید.
  2. سرویس Volume Shadow Copy Service را پیدا کنید. اگر این سرویس در حالت Disabled قرار دارد آن را به Manual تغییر دهید.
  3. سرویس Microsoft Software Shadow Copy Provider را پیدا کنید. اگر این سرویس در حالت Disabled قرار دارد آن را به Manual تغییر دهید.
  4. مجددا به پادویش مراجعه کرده و بکاپ‌گیری را تست نمایید.

علت مساله

علت این مساله غیرفعال (Disable) شدن سرویس VSS ویندوز است. برای عملکرد صحیح این سرویس باید در حالت Manual تنظیم شده باشد. (حالت پیش‌فرض)


فولدرهای ساخته شده توسط لایه طعمه‌گذاری در ضدباج‌گیر پادویش

سوال

  1. تعدادی پوشه و فایل پنهان با اسامی عجیب (tMrWGzNUI.jpg, aqVBLhrL, …) روی دسکتاپ (یا مسیر دیگری) در سیستم من وجود دارد و امکان حذف آنها را ندارم. آیا سیستم ویروسی شده است؟
  2. پوشه  !!AntiCrypto!! و یا !!ACPadvishAV!! چیست و چرا ایجاد شده است؟
  3. آیا سیستم من به باج‌افزار (Ransomware) آلوده شده است؟

توضیح اولیه

خیر، این فولدرها باج‌افزار (Ransomware) نیستند و سیستم شما آلوده نشده است. باج‌افزار نوعی بدافزار است که اطلاعات شما را رمز کرده و برای بازگرداندن آنها پول طلب می‌کند.

اما فولدرهایی که دیده‌اید مربوط به مولفه ضدباج‌‌افزار پادویش است که وظیفه جلوگیری از آلودگی سیستم شما به باج‌افزارهای شناخته شده و ناشناخته را دارد. این مولفه یک ویژگی منحصربفرد در پادویش است که هیچ یک از ضدویروس‌های خارجی نظیر آن را به این شکل و وسعت ندارند. به نحوی که ضدباج‌گیر پادویش گواهی تشخیص کامل باج‌افزارهای دنیای واقعی را از AV-Test آلمان کسب کرده است.

به طور خاص این فولدرها و فایل‌های درون آن طعمه‌های دامی هستند که ضدباج‌گیر پادویش برای تشخیص باج‌افزارها پهن کرده است. بنابراین نگران نباشید و به این فایل‌ها کاری نداشته باشید.

توضیحات فنی

مولفه ضدباج‌گیر پادویش چهار لایه مختلف محافظتی دارد که – علاوه بر سایر مکانیزم‌ها و تکنولوژی‌های تشخیص موجود در ضدویروس – به طور خاص از سیستم و اطلاعات شما در برابر باج‌افزارها محافظت می‌کند. چهارمین و آخرین لایه اضافه شده به ضدباج‌گیر لایه طعمه‌گذاری است که همین موضوع فولدرها مربوط به این لایه است.

اما برای توضیح بهتر است ابتدا با لایه‌های محافظتی ضدباج‌گیر پادویش آشنا شوید:

  1. لایه محافظت اطلاعات (Tamper Protection): که رفتار باج‌گیرها را شناسایی می‌کند. این تشخیص کاملا رفتاری بوده و نیاز به هیچ آپدیت روزانه یا مانند آن ندارد.
    اولین نسخه‌های ضدباج‌گیر پادویش فقط همین لایه محافظتی را داشتند و به تنهایی همان لایه‌ای است که زمان انتشار ویروس واناکرای که طرف چند ساعت کل دنیا را آلوده کرد و ضدویروس‌ها مجبور به ارائه آپدیت برای تشخیص آن بودند، این ویروس را از لحظه اول و به صورت پیش‌فرض و بدون نیاز به اینکه در طول یکسال گذشته آپدیت شده باشد تشخیص می‌داد.
  2. لایه داده‌بان (DataCop): این لایه روزانه دوبار از کل اطلاعات شما بکاپ تهیه می‌کند. این بکاپ‌ها با تکنولوژی Snapshot ایجاد می‌شود و ظرف چندثانیه تولید شده و فقط چندمگابایت فضا مصرف می‌کند.
    راز این تکنولوژی این است که برای گرفتن بکاپ اطلاعات شما کپی نمی‌شود، بلکه روی همان هارد و همان درایو، یک Snapshot ایجاد شده و از این به بعد تغییرات فایل‌ها جای دیگری ذخیره می‌شود. در نتیجه بکاپ زمان نمی‌گیرد و حجم آن نیز فقط به اندازه تغییرات روزانه شماست. به علاوه داده‌بان از حذف این بکاپ‌ها در برابر روش‌ها و حملات نرم‌افزاری نیز محافظت می‌کند.
    این لایه علاوه بر محافظت در برابر باج‌افزارها، کاربرد بکاپ دم‌دستی را نیز دارد. مثلا اگر فایلی را اشتباهی حذف یا رونویسی کردید از این طریق به راحتی قابل بازگرداندن است. (روش بازگردانی بکاپ داده‌بان را اینجا بخوانید)

    بکاپ داده‌بان جای یک مکانیزم بکاپ‌گیری کامل و صحیح را نمی‌گیرد. حتما باید از اطلاعات مهم‌تان روی یک دیسک مجزا بکاپ بگیرید تا از انواع اشکالات نرم‌افزاری و سخت‌افزاری در امان باشید. اما این بکاپ‌های راحت، سریع و کم‌حجم نیز در جای خودش بسیار مفید است.
  3. لایه محافظت MBR: که برای باج‌افزارهای خاصی مانند Petya طراحی شده که MBR دیسک را آلوده کرده و هنگام ریست سیستم، قبل از بالا آمدن ویندوز دیسک را رمز می‌کنند. این لایه جلوی این باج‌افزارها را می‌گیرد.
  4. لایه محافظت طعمه‌گذاری (Bait): این لایه با ساختن فایل‌های طعمه در نقاط مختلف دیسک، باج‌افزار را در هنگام دسترسی به این فایل‌ها و فولدرهای طعمه شناسایی می‌کند.
    تا پیش از معرفی این لایه در ضدباج‌گیر پادویش، برخی باج‌گیرها با وجودیکه به علت وجود لایه‌های قبلی امکان رمز کردن فایل‌ها را نداشتند و محتوای فایل‌ها سالم می‌ماند، باز هم فایل‌های کاربر را تغییرنام می‌دادند. در این لایه محافظتی جلوی چنین اتفاقی نیز گرفته می‌شود.

همانطور که می‌بینید عملکرد این لایه‌ها به نحوی است که اگر باج‌افزار از هر لایه عبور کرد در لایه‌ی دیگری شناسایی و متوقف شود. و این چیزی است که ضدباج‌گیر پادویش را منحصربفرد کرده است.

در نسخه‌های سری ۲.۴ امنیت کامل پادویش و سری ۱.۵ ضدباج‌گیر پادویش نام این پوشه !!AntiCrypto!! و یا !!ACPadvishAV!! بود. در سری نسخ جدید ضدویروس و ضدباج‌گیر پادویش این اسامی به صورت تصادفی و رندوم تولید می‌شوند تا نویسندگان باج‌افزار نتوانند از طریق نام فایل‌های طعمه را شناسایی نمایند. ضمنا در این نسخه‌ها از طریق غیر فعال کردن گزینه طعمه یا Bait در تنظیمات ضدباج‌گیر می‌توانید این لایه محافظتی را خاموش و فولدرها را حذف نمایید.


چگونه فایل‌های پشتیبان گرفته شده توسط داده‌بان را مشاهده کنم؟

مساله

ضدباجگیر پادویش روزی دو بار از کل اطلاعات و فایل‌های شما پشتیبان تهیه می‌کند. شما می‌خواهید یک یا چند فایل و فولدر را از طریق این بکاپ پیدا کرده و آن را بازگردانی کنید.

راهکار

جهت مشاهده فایل‌هایی که توسط بخش داده‌بان (DataCop) در ضدباجگیر پادویش پشتیبان گرفته شده‌اند از روش زیر استفاده کنید:

  1. برنامه مدیریت فایل ویندوز (This PC) را باز کنید.
  2. درایوی که قبلا فایل شما در آن قرار گرفته بوده را پیدا کنید.
  3. روی درایو کلیک راست کرده و گزینه Properties را انتخاب کنید.
  4. به برگه Previous Versions بروید.
  5. تاریخ مورد نظر خود را انتخاب کرده و گزینه Open را بزنید.
  6. پنجره‌ای شامل اطلاعات و فایل‌های درایو شما در تاریخ و زمان انتخاب شده نمایش داده می‌شود. در اینجا می‌توانید فایل خود را پیدا کرده و به بیرون کپی کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *