هشدار ! انتشار ویروس wipe
همانطور که از اسم این ویروس مشخص است عمل پاک کردن را انجام میدهد.
با توجه به بروز مشکلات یکسان در مراکزی که اطلاعات مهمی داشتند و مشخص نبودن اینکه مشکل از کجا ناشی میشود با تلاش و بررسیهای بسیار متوجه شدیم که بر روی تمام این قطعات عمل Erase انجام شده و تمامی سکتورهای هارد دیسک یا Raid Array دوباره نویسی میشود و دیگر اطلاعاتی از قبل قابل بازیابی نمی باشد.
بعنوان مثال در یکی از این موارد یک سرور HP و تعداد 27 کامپیوتر در یک شبکه دامین در حال کار بودند.طبق معمول هر روزه بعد از اتمام کار روزانه سیستمها خاموش و سرور در حالت انجام کار بوده.در روز بعد سرور ریست شده و حالت بوت خود را از دست داده بود.کامپیوترها در ابتدا بوت شده ولی بعد از چند دقیقه ریست شده اند و دیگر بوت نشدند.
بعد از بررسی روی سرور مشخص شد تمام دیتا ها از بیین رفته و سه عدد هاردی که بصورت Raid 5 بودند Erase شده اند. روی کامپیوترها اطلاعات بدون ساختار قبل بازیابی شد که این نشان دهنده تخریب کامل فایل سیستم پارتیشنها میباشد.
در این مورد از یک ویروس گارد با آخرین آپدیتها بر روی سرور استفاده شده بود.
با بررسیهای دقیق مشخص شد در تمام این موارد از دستور diskpart استفاده شده بود.این دستور از دستورات command prompt می باشد و در ویندوز هم قابل اجرا است.
با توجه با اینکه هنوز این بد افزار توسط ویروس گاردها شناسایی نمیشود بهتر است یک نسخه پشتیبان از اطلاعات تهیه شود و بعد از اتمام ذخیره اطلاعات آن را از دستگاه جدا کرد.
راهکارهای مقابله با بد افزار Wipe :
بهترین راه برداشتن و یا تغییر نام فایل diskpart.exe میباشد.چون این فایل از فایهای سیستمی می باشد لذا از خود سیستم عامل نمیتوان برای اینکار استفاده کرد.
برای انجام این عمل باید از برنامه های بوت مثل hiren bootable cd استفاده کرد.
مسیر فایلها :
WindowsSystem32diskpart.exe
WindowsSystem32en-USdiskpart.exe.mui
بعد از اتمام کار ویندوز را بوت کرده و با اجراء دستور diskpart در command prompt مطمئن شوید که اجرا نخواهد شد.اگر باز این دستور اجرا شد diskpart را در پارتیشنی که ویندوز نصب شده جستجو کرده و آنها را نیز تغییر دهید و یا پاک کنید.
بدیل اینکه نمیتوان در سیستم عامل درایو OS را Erase کرد لذا نیاز به یک بوت تحت کنترل از طریق شبکه داریم.این امکان از طریق PXE امکان پذیر است.بنابراین برای جلوگیری از ریست و بوت شدن سیستم از طریق LAN برای Setup و Boot سیستم در Setup پسورد تعریف کنید.بهتر است این کار برای کلاینها نیز انجام شود.
اگر به هردلیلی سیستم ریست شود قبل از بوت پسورد میخواهد و این پسورد فقط از طریق صفحه کلید میتواند داده شود و به این صورت امکان کنترل و بوت شدن سیستم از طرق دیگر گرفته خواهد شد.
نظرات شما عزیزان:
|