Rootkit چیست و چگونه آن را حذف کنیم؟

Eset training
Software articles
Owner:
بازدید: 0

روت کیت نوعی بدافزار مخفی است که به هکرها اجازه می دهد بدون اطلاع شما به رایانه دسترسی داشته باشند. خوشبختانه می‌توان آن را یافت و حذف کرد.

روت کیت چیست؟ نحوه حذف روت کیت از کامپیوتر

با درود به کاربران و بازدید کنندگان عزیز سایت تخصصی نادمارکت

جهت خرید لایسنس اورجینال آنتی ویروس نود 32 بر روی لینک رو به رو کلیک کنید:خرید لایسنس نود 32

جهت خرید لایسنس اورجینال ویندوز 10 و 11 بر روی لینک رو به رو کلیک کنید:خرید ویندوز

روت کیت چیست؟

روت کیت نوعی بدافزار مخفی و خطرناک است که به هکرها اجازه می دهد بدون اطلاع شما به رایانه شما دسترسی داشته باشند. روت کیت یک بسته نرم افزاری مخرب است که برای دسترسی غیرمجاز به رایانه یا نرم افزارهای دیگر طراحی شده است. شناسایی روت کیت ها سخت است و می توانند حضور خود را در یک سیستم آلوده پنهان کنند. هکرها از بدافزار rootkit برای دسترسی از راه دور به رایانه شما، دستکاری آن و سرقت داده ها استفاده می کنند. خوشبختانه حتی این بخش‌های تقریباً نامرئی نرم‌افزار را می‌توان یافت و حذف کرد. در مورد انواع مختلف روت کیت ها، نحوه شناسایی آنها و نحوه حذف روت کیت ها از دستگاه خود با اسکنر روت کیت هوشمند مانند آنتی ویروس بیاموزید.

هنگامی که یک روت کیت حمله میکند، سیستم شما مانند یک کامپیوتر زامبی عمل می کند و هکر می تواند با استفاده از دسترسی از راه دور، کنترل مطلق دستگاه شما را در اختیار بگیرد. این قسمت از تعریف rootkit چیزی است که آنها را بسیار قدرتمند می کند. مشابه نحوه استفاده بدافزارهای بدون فایل از برنامه های قانونی بدون بر جای گذاشتن ردی، rookit ها نیز ممکن است مشروع به نظر برسند، زیرا هکر دسترسی ممتازی به فایل های سیستم و فرآیندهای سیستم دارد. روت‌کیت‌ها باعث می‌شوند رایانه‌تان به شما دروغ بگوید، و گاهی اوقات، به آنتی‌ویروس و نرم‌افزارهای امنیتی نیز دروغ بگوید.

روت کیت چه کاری انجام می دهد؟

روت کیت ها به کدهای مخرب اجازه می دهند در دستگاه شما پنهان شوند. هنگامی که یک حمله rootkit آغاز میگردد، دسترسی مدیریت از راه دور به سیستم عامل شما را می دهد و در عین حال از شناسایی جلوگیری می کند. روت کیت چه چیزی را اصلاح می کند؟ از آنجایی که هدف یک روت کیت دستیابی به دسترسی ممتاز در سطح مدیریت به سیستم رایانه شما است، یک روت کیت می تواند هر چیزی را که یک مدیر می تواند تغییر دهد، را انجام دهد. در اینجا لیست کوتاهی از کارهایی که یک روت کیت می تواند انجام دهد یا تغییر دهد آورده شده است:

▪ مخفی کردن بدافزار : روت‌کیت‌ها انواع دیگر بدافزارها را در دستگاه شما پنهان می‌کنند و حذف آنها را سخت‌تر می‌کنند.
▪ دسترسی از راه دور Rootkit به سیستم عامل: روت کیت ها دسترسی از راه دور به سیستم عامل شما را فراهم می کنند و در عین حال از شناسایی جلوگیری می کنند. نصب Rootkit به طور فزاینده ای با کلاهبرداری های دسترسی از راه دور مرتبط است.
▪ دستکاری یا غیرفعال کردن برنامه‌های امنیتی : برخی از روت‌کیت‌ها می‌توانند خود را از برنامه‌های امنیتی رایانه‌تان پنهان کنند یا آن‌ها را به طور کامل خاموش کنند - شناسایی و حذف بدافزار را دشوار می‌کند.
▪ سرقت داده ها : بیشتر اوقات مجرمان سایبری از روت کیت ها برای سرقت داده ها استفاده می کنند. برخی از هکرها افراد را هدف قرار می دهند و داده های شخصی را برای سرقت هویت یا کلاهبرداری ضبط می کنند. دیگران در تعقیب جاسوسی یا جرایم مالی به دنبال اهداف شرکتی هستند.
▪ ایجاد یک درب پشتی دائمی : برخی روت‌کیت‌ها می‌توانند یک درب پشتی امنیت سایبری در سیستم شما ایجاد کنند، که باز می‌ماند تا هکر بتواند بعداً بازگردد.
▪ استراق سمع : روت کیت ها را می توان به عنوان ابزار نظارتی استفاده کرد که به هکرها اجازه می دهد شما را استراق سمع کنند.
▪ حمله به حریم خصوصی شما : با یک روت کیت یک هکر می تواند ترافیک اینترنت شما را رهگیری کند، ضربه های صفحه کلید شما را ردیابی کند و حتی ایمیل های شما را بخواند.

نحوه حذف روت کیت

حذف Rootkit آسان نیست. از آنجایی که روت‌کیت‌ها می‌توانند خود را در اعماق سیستم عامل شما دفن کنند، تشخیص اینکه حتی در آنجا هستند دشوار است. اما زمانی که متوجه شدید که یکی از آن ها را دارید، درمان آن بسیار مهم است.

مرحله 1: نرم افزار حذف روت کیت - آنتی ویروس را اجرا کنید

به Windows Defender یا دیگر نرم‌افزارهای امنیتی داخلی کامل تکیه نکنید، زیرا اکثر روت‌کیت‌ها می‌توانند حفاظت‌های اولیه را زیر و رو کنند. برای محافظت کامل از نرم افزارهای تخصصی مانند آنتی ویروس "خرید آنتی ویروس Eset" استفاده کنید. Eset یکی از بزرگترین شبکه تشخیص تهدید جهان و محافظت از بدافزارهای یادگیری ماشینی را در یک ابزار واحد و سبک وزن ترکیب می کند که می تواند روت کیت ها را شناسایی و حذف کند. آنتی ویروس نود 32 می داند که چگونه ویروس های روت کیت را حذف کند و از بازگشت آنها جلوگیری کند. بنابراین قبل از اینکه یک هکر بتواند داده‌های شما را بدزدد یا دسترسی ممتاز به رایانه شما داشته باشد، اجازه دهید Eset آنها را برای همیشه از زندگی شما حذف کند.

مرحله 2: اسکن زمان بوت را انجام دهید

بدافزارهای مدرن از تکنیک های پیچیده برای فرار از شناسایی توسط محصولات آنتی ویروس استفاده می کنند. هنگامی که یک سیستم عامل در حال اجرا است، روت کیت های موجود در دستگاه می توانند اسکن های آنتی ویروس خودکار را پیشی بگیرند. اگر یک برنامه آنتی ویروس از سیستم عامل بخواهد یک فایل بدافزار خاص را باز کند، روت کیت می تواند جریان اطلاعات را تغییر دهد و به جای آن یک فایل بی ضرر را باز کند. آنها همچنین می توانند کد شمارش فایل بدافزار را تغییر دهند - که برای ذخیره و به اشتراک گذاری اطلاعات مربوط به بدافزار استفاده می شود - که از گنجاندن آن در اسکن جلوگیری می کند.

به همین دلیل است که اسکن در زمان بوت، مانند اسکن موجود در آنتی ویروس eset بسیار مفید است. اسکن‌های زمان راه‌اندازی در طول فرآیند راه‌اندازی رایانه شما اجرا می‌شوند و روت‌کیت‌ها را قبل از اینکه بتوانند عمل کنند، می‌گیرند. مزیت اسکن در زمان بوت این است که معمولاً روت کیت همچنان در حالت غیرفعال است و نمی تواند خود را در سیستم شما پنهان کند. ▪ جهت مشاهده اسکن زمان بوت این آموزش را دنبال کنید : چگونه ویروس و بدافزار را از کامپیوتر و لپ تاپ پاک کنیم؟

مرحله 3: ویندوز را پاک کنید و سیستم عامل را دوباره نصب کنید

اگر نرم‌ افزار آنتی‌ویروس و اسکن زمان راه‌اندازی نتوانستند روت‌کیت را حذف کنند، سعی کنید از اطلاعات خود نسخه پشتیبان تهیه کنید، سیستم عامل خود را پاک کنید و یک نصب تمیز انجام دهید. این گاهی اوقات تنها راه حلی است که یک روت کیت در سطح بوت سیستم عامل یا هایپروایزر کار می کند. برای شروع باید بدانید که چگونه یک هارد دیسک را فرمت کنید و یک هارد دیسک را برای پشتیبان گیری از فایل های مهم خود شبیه سازی کنید. ممکن است لازم باشد درایو اصلی C: را پاک کنید، اما همچنان می توانید بیشتر اطلاعات خود را نگه دارید. این آخرین راه حل برای حذف روت کیت است.

در وهله اول از ورود روت کیت ها جلوگیری کنید

▪ مراقب فایل‌های ناشناخته باشید: حتی فایل‌هایی که از مخاطبین مورد اعتماد برای شما ارسال می‌شوند باید قبل از باز کردن به دقت بررسی شوند. هرگز پیوست های فرستنده ناشناس را باز نکنید - آنها می توانند حملات فیشینگ باشند.

▪ نرم افزار را از منابع معتبر دریافت کنید: در حالت ایده آل مستقیماً از سازنده، یا از فروشگاه App یا Google Play Store. شرایط و ضوابط را به دقت بررسی کنید تا مطمئن شوید که هیچ کس سعی در گذاشتن روت کیت روی دستگاه شما ندارد.

▪ به‌ روزرسانی‌های سیستم را در اسرع وقت نصب کنید: این به‌روزرسانی‌ها اغلب آسیب‌پذیری‌هایی را که اخیراً کشف شده‌اند وصله می‌کنند و هکرها می‌توانند از آنها برای دسترسی به دستگاه شما سوء استفاده کنند.

نحوه شناسایی و یافتن روت کیت ها

وقتی روت کیت کار خود را به درستی انجام می دهد، متوجه آن نمی شوید. بهترین راه برای یافتن و شناسایی روت‌کیت‌ها، استفاده از اسکنر و ابزار حذف روت‌ کیت مانند آنتی‌ویروس است. این ابزار اسکن روت کیت نه تنها روت کیت های نصب شده روی دستگاه شما را پیدا و حذف می کند، بلکه از نصب آنها در آینده نیز جلوگیری می کند.

علائم حمله روت کیت

▪ سیستم شما به طرز عجیبی عمل می کند: روت کیت ها به هکرها اجازه می دهند تا سیستم عامل رایانه شما را دستکاری کنند. اگر رایانه شما به طرز عجیبی عمل می کند، ممکن است کار یک هکر از طریق یک روت کیت باشد.
▪ تغییر در تنظیمات: به طور کلی رایانه شما نباید کارها را بدون اینکه به او گفته شود انجام دهد - و در حالت ایده آل، شخصی که این کار را انجام می دهد شما هستید. دسترسی از راه دور با قابلیت Rootkit می تواند به شخص دیگری اجازه دهد تا در تنظیمات و پیکربندی های شما دخالت کند. اگر چیزی متفاوت به نظر می رسد، ممکن است دلیلی برای نگرانی وجود داشته باشد.
▪ صفحات وب / فعالیت‌های شبکه : اگر اتصال اینترنت شما به طور ناگهانی ضعیف‌تر از حد معمول شود، ممکن است چیزی بیش از یک مشکل سرویس باشد. اگر یک هکر از یک روت کیت برای ارسال یا دریافت ترافیک زیادی از رایانه شما استفاده کند، ممکن است اتصال اینترنت شما را مختل کند.

روت کیت ها چگونه نصب می شوند؟

برخلاف کرم‌ها و ویروس‌های کامپیوتری - اما مشابه بدافزارهای تروجان - عفونت‌های روت‌کیت برای نصب روی کامپیوتر شما نیاز به کمک دارند. هکرها روت کیت های خود را با دو برنامه شریک - یک dropper و یک loader - بسته بندی می کنند که برای نصب روت کیت با هم کار می کنند. این سه بدافزار با هم یک تهدید ترکیبی را تشکیل می دهند. بیایید نگاهی دقیق‌تر به ابزارهایی بیندازیم که روت‌کیت‌ها برای نصب استفاده می‌کنند:

▪ Dropper : rootkit را به رایانه قربانی وارد می کند. Dropper اولین مرحله از مراحل نصب است. هنگامی که قربانی Dropper را فعال می کند، Dropper نیز به نوبه خود Loader را فعال می کند.
▪ Loader : با اجرای Dropper لودر وارد عمل می شود و روت کیت را روی سیستم هدف نصب می کند. لودرها اغلب این کار را با ایجاد سرریز بافر انجام می دهند. این یک سوء استفاده امنیتی رایج است که به هکرها اجازه می دهد کد خود را در مناطق غیرقابل دسترس از حافظه رایانه قرار دهند.

چالش مجرمان سایبری این است که بسته تهدید ترکیبی را دریافت کنند. در اینجا چند روش وجود دارد که یک هکر ممکن است این کار را برای نصب یک روت کیت بر روی رایانه شما انجام دهد :

▪ برنامه های پیام ربایی : یک تهدید ترکیبی می تواند پیام مشتریان را ربوده تا خود را به مخاطبین قربانی منتقل کند. هنگامی که گیرندگان روی پیوند مخرب موجود در پیام کلیک می کنند، رایانه های آنها نیز آلوده می شود. این نوع حمله مهندسی اجتماعی یک روش بسیار موثر برای گسترش روت کیت ها است.
▪ Piggybacking در نرم افزارهای قابل اعتماد : هکرها می توانند یک روت کیت کامپیوتری را در برنامه ها و برنامه های قابل اعتماد وارد کنند، سپس آن برنامه های مسموم را در پورتال های دانلود مختلف آپلود کنند. هنگامی که برنامه آلوده را نصب می کنید، ناخواسته روت کیت را نیز نصب می کنید.
▪ استفاده از بدافزارهای دیگر: ویروس ها و تروجان ها را می توان به عنوان پخش کننده روت کیت استفاده کرد، زیرا هر دو در ورود به رایانه شما بسیار مؤثر هستند. هنگامی که برنامه حاوی ویروس "خرید نود 32" را اجرا می کنید یا تروجان را اجرا می کنید، روت کیت روی دستگاه شما نصب می شود.
▪ مخفی شدن در فایل های با محتوای غنی: با ظهور فایل های با محتوای غنی مانند PDF، هکرها دیگر نیازی به پنهان کردن بدافزار در وب سایت ها یا برنامه های اختصاصی ندارند. در عوض، آنها می توانند روت کیت ها را در این فایل های ساده با محتوای غنی جاسازی کنند. هنگامی که فایل آلوده را باز می کنید، dropper rootkit به طور خودکار اجرا می شود.

انواع روت کیت ها

کارشناسان امنیتی روت‌کیت‌ها را بر اساس مکان و میزان نفوذ عمیق دستگاه شما به چند دسته تقسیم می‌کنند.

▪ روت‌کیت‌های حالت کاربر : حساب اداری سیستم عامل شما را آلوده می‌کنند و امتیازات سطح بالای مورد نیاز برای تغییر پروتکل‌های امنیتی رایانه شما را به دست می‌آورند و در عین حال خود و هر بدافزار دیگری را که استفاده می‌کنند پنهان می‌کنند. این روت‌کیت‌ها به‌طور خودکار هنگام راه‌اندازی رایانه شما راه‌اندازی می‌شوند، بنابراین یک راه‌اندازی مجدد ساده برای پاک کردن هجوم کافی نیست. برنامه‌های اسکنر و حذف بدافزار مانند آنتی ویروس می‌توانند روت‌کیت‌های حالت کاربر را شناسایی کنند، زیرا نرم‌افزار شناسایی rootkit در سطح عمیق‌تری اجرا می‌شود که به عنوان هسته شناخته می‌شود.
▪ روت کیت های حالت هسته : در پاسخ به اسکنرهای روت کیت - هکرها روت کیت هایی در حالت هسته ایجاد می کنند. آنها در همان سطح رایانه شما با سیستم عامل واقعی آن زندگی می کنند و در نتیجه کل سیستم عامل را به خطر می اندازند. هنگامی که با یک روت کیت حالت هسته مورد حمله قرار گرفتید، دیگر نمی توانید به هیچ چیز در مورد رایانه خود اعتماد کنید - همه چیز به طور بالقوه آلوده است، از جمله نتایج هر اسکن ضد روت کیت. خوشبختانه، ایجاد یک روت کیت در حالت هسته که بتواند بدون ایجاد خرابی بیش از حد سیستم و سایر مشکلاتی که حضور آن را آشکار می کند، کار کند، بسیار دشوار است.
▪ روت کیت های هیبریدی : روت کیت های ترکیبی برخی از اجزای خود را در سطح کاربر و برخی دیگر را در هسته قرار می دهند. این به یک روت کیت ترکیبی اجازه می‌دهد تا از پایداری روت‌کیت‌های حالت کاربر با پنهان‌کاری پیشرفته‌ی ساکن هسته خود استفاده کند. بر این اساس روت کیت‌های ترکیبی هسته کاربر یکی از محبوب‌ترین انواع مجرمان سایبری هستند.