راهکاری حفاظتی ضروری در مقابل باج افزارها
به نرم افزارهای مخربی که مجرمان با استفاده از آنها فایلها و اطلاعات سیستمهای قربانیان را رمزنگاری کرده و در ازای دریافت مبالغی وعده بازگشایی آنها را می دهند باج افزار گفته می شود. متاسفانه، باج افزار روشی محبوب برای نویسندگان نرم افزارهای مخرب برای گرفتن پول از کاربران خانگی و سازمانی به طور یکسان است.
پرداخت مبلغ درخواستی به مجرمان هرگز و هرگز یک ایده خوب نیست، حتی زمانی که به نظر می رسد مصلحت در این کار باشد، نویسندگان باج افزارها نه تنها هیچ تعهدی در مقابل باز کردن فایلهای رمز شده ندارند بلکه زمانی که با قربانی مستأصلی مواجه شوند امکان درخواست مبالغ بیشتر بسیار زیاد است. از این مهمتر اینکه این نرم افزارها برای کد کردن بسیار عالی طراحی می شوند ولی هیچ تضمینی نیست که طراح کدهای بازگشایی را نیز طراحی کرده باشد چرا که هدف آنها تنها رمزنگاری و سودجویی است نه خدمات به مشتری.
-
راهکارهای پیشگیری
هرچند باج افزارها ممکن است بسیار خطرناک و تصور فایلهای کد شده بسیار ترسناک و نگران کننده باشد اما اگر برای این تهدید آماده باشیم واقعا چیزی بیش از یک مزاحم نیستند. بنابراین با رعایت چند مورد زیر به صورت دقیق و کامل تا حد بسیار زیادی از ورود باج افزارها پیشگیری کنید و در صورت ورود آسیبها را به حداقل برسانید.
1- تهیه نسخه پشتیبان از اطلاعات سازمان:
بهترین و مطمئن ترین شیوه برای حفظ اطلاعات از هر گونه گزندی استفاده درست و مطمئن از ابزارهای پشتیبان گیری و الزام و درک اهمیت این موضوع برای محافظت از اطلاعات ارزشمند ما است.
مهم ترین فرایندی که برای آماده شدن برای شرایط اضطراری می توان انجام داد، که توسط باج افزارها تحت تاثیر قرار نگرفت، پشتیبان گیری منظم و به روز است. بسیاری از انواع باج افزارها فایل های بر روی Map دیسک ها را هم کد می کنند.
این شامل همه درایوهای خارجی مانند یک درایو فلش USB، و همچنین همه شبکه و یا فایلهای شما در درایو Cloud اختصاصی هم می باشد. بنابراین برای اینکه نسخه پشتیبان تهیه کنید نیاز به یک درایو یا سرور پشتیبان خارجی است که از دستگاه ها و شبکه سازمان در اوقاتی که زمان پشتیبان گیری نیست به صورت فیزیکی و دیجیتالی بطور کامل قطع باشد.
2- سیستم عامل ها و نرم افزارهای کاربردی خود را به روز نگه دارید.
نویسندگان نرم افزارهای مخرب اغلب نرم افزارهای قدیمی با آسیب پذیری های شناخته شده را مورد هدف قرار می دهند. به روز رسانی منظم و ترجیحا اتوماتیک و مستقیم از طریق سایت اصلی نرم افزارهای کاربردی به طور قابل توجهی می تواند باعث کاهش پتانسیل آلودگی سایت گردد
نویسندگان نرم افزارهای مخرب گاهی اوقات خود را در لباس مبدل به عنوان به وصله های روز رسانی نرم افزارها معرفی می کنند، در صورت استفاده از وصله های نامناسب شما به راحتی بدافزار را به کامپیوتر خود هدایت می کنید. این موضوع بخصوص برای سیستم عامل بسیار حساستر است.
3- استفاده از یک مجموعه امنیتی معتبر
همیشه یک ایده خوب برای افزایش سطح ایمنی در شبکه استفاده از نرم افزارهای آنتی ویروس و نرم افزار فایروال به طور همزمان است که می تواند به شما در شناسایی تهدیدات و یا رفتار مشکوک بسیار کمک کند. نویسندگان نرم افزارهای مخرب اغلب خلاقیت خود را در تلاش برای جلوگیری از تشخیص توسط آنتی ویروسها قرار می دهند، بنابراین بسیار مهم است که هر دو این لایه ها برای محافظت شما پیش بینی شود. اگر شما با یک نوع از باج افزارها مواجه شوید که به قدری جدید است که از ضد ویروس شما گذشته، با وجود فایروال زمانی که برای برقراری ارتباط با فرماندهی و کنترل (C & C) سرور برای دریافت دستورالعمل برای رمزنگاری فایل ها تلاش می کند توسط فایروال گرفتار می شود.
4- گزارشگیری و نظارت مداوم بر Logها و گزارشات آنتی ویروس و فایروال
این امر بسیار حیاتی است به این ترتیب به نقاط آسیب پذیر و بحرانی شبکه پی می برید و می توان قبل از آسیب واکنش مناسبی انجام داد.
5- غیر فعال کردن ماکروها در فایل های مایکروسافت آفیس
همانگونه که مطلع هستید مایکروسافت آفیس فایل هایی مشابه فایل سیستم دارد، که شامل توانایی استفاده از یک زبان برنامه نویسی قدرتمند به طور خودکار است. با غیر فعال کردن ماکروها در فایل های آفیس، شما استفاده از این زبان برنامه نویسی را غیرفعال کنید.
6- نمایش پسوند فایل پنهان
یکی از روش های محبوب مورد استفاده توسط بدافزارها، ارسال فایلهای آلوده با ظاهری موجه و مهم است. فایل هایی با پسوندهایی مانند “.PDF.EXE”. به طور پیش فرض، پسوند فایلهای شناخته شده در ویندوز مخفی است، لطفا نمایش پسوند فایلها را از حالت مخفی خارج کنید، با دیدن کامل فایل فرمت، می توان آن را آسان تر شناسایی کرد.
7- فیلتر پسوندهای EXE در ایمیل
اگر درگاه پست الکترونیکی شما قابلیت فیلتر کردن فایل با فرمتهای مشخص را دارد حتما فایلهایی با پسوند .EXE را فیلتر کنید یکی از شایعترین شکلهای نام فایل مورد استفاده توسط باج افزارها به شکل زیر است: (به عنوان مثال ، “Filename.PDF.EXE. اگر شما نیاز به تبادل فایل های اجرایی در ایمیل خود دارید و ایمیل با پسوند “EXE.” را فیلتر کرده اید، می توانید آنها را در فایل های ZIP و یا از طریق خدمات ابری ارسال کنید. ارسال در فایل های ZIP نیز می تواند با تعبیه یک رمز عبور استاندارد در سازمان برای نقل و انتقال فایلها برای شما یک لایه اضافی از اطمینان ایجاد نماید.
8- غیر فعال کردن فایل های در حال اجرا از پوشهAPPDATA / LOCALAPPDATA
با تنظیمات در ویندوز و یا با IPS، از ورود باج افزارها با رفتارهایی منحصر به فرد در پوشه APPDATA یا LOCALAPPDAT جلوگیری کنید. اگر نرم افزارهایی دارید که می دانید قرار است از منطقه APPDATA اجرا شوند توجه داشته باشید که این رفتار نسبتا غیر معمول است، و نرم افزارهای مشروع غالبا به شما اجازه می دهد تا محل نصب را انتخاب کنید.
9- غیر فعال کردن(Remote Desktop)RDP
یکی از بیشترین آسیب پذیری ها از طریق خدمات دسترسی از راه دور و ارتباطات خارج از سایت است. توصیه اکید بستن Remote Desktop و استفاده از بسته های امن برای برقراری ارتباط با خارج از شبکه است، به خصوص در ساعت های غیر اداری و غیر ضروری.
10- پیش بینی و ایجاد Policy ها و سیاست گذاری های مناسب در سازمان
محدود کردن سطوح دسترسی، عدم استفاده از کاربر Administrator علی الخصوص برای ارتباطات از راه دور، سیاستهای رمز ورود با محدودیت سطح تلاش ناموفق، قوانین پیچیدگی رمز عبور
-
اگر در حال حاضر احساس می کنید آلوده شده اید برای کاهش آسیبها لطفا این موارد را انجام دهید:
1- بررسی کنید آیا decryptor برای این حمله موجود است؟
گاهی اوقات نویسندگان نرم افزارهای مخرب اشتباها decryptors را هم منتشر می کنند، و یا نویسندگان نرم افزارهای مخرب برای اقدامات خود احساس ندامت دارند و یا هدف آنها متوقف کردن توسعه یک خانواده ransomware خاص است، بنابراین کلید رمزگشایی را منتشر می کنند. این موضوع ارزش یک جستجوی سریع در اینترنت در یک منبع معتبر را دارد.
2- بلافاصله قطع اتصال به اینترنت از طریقWiFiو جدا سازی سیستم آلوده از شبکه
اگر شما یک فایلی دارید که گمان می کنید ممکن است به باج افزارآلوده شده، اماهنوز رفتاری نشان نداده یا هشداری روی صفحه نمایش دریافت نکرده اید، اگر بسیار سریع عمل کنید و سیستم خود را بلافاصله از شبکه قطع کنید ممکن است با متوقف کردن ارتباط با سرورC & C قبل از اتمام رمزگذاری فایل های خود را.نجات دهید یا تعداد فایل های رمزنگاری شده را کاهش دهید.
3- استفاده از System Restore برای بازگشت به حالت قبل از آلودگی
اگر شما System Restore را بر روی ویندوز خود فعال کنید، ممکن است بتوانید سیستم را به حالت قبل بازگردانید، البته بسیاری از انواع باج افزار از این موفقیت جلوگیری می کنند، اما آزمایش آن ضرری ندارد حتما آن را امتحان کنید.
4- تنظیم ساعت BIOS
برخی از انواع باج افزارها از یک تایمر پرداخت برای کلید رمزگشایی استفاده می کنند و پس از زمان تعیین شده مبلغ را افزایش می دهند. با تغییر ساعت زمان بیشتری برای خود ایجاد کنید.
اطلاعات بیشتر
اگر مشتری پانا برای هر یک از محصولات ESET و یا Kaspersky هستید و در مورد حفاظت از باج افزارها نگران هستید و یا فکر می کنید که توسط ransomware هدف قرار گرفته اید، هر چه سریعتر با ما تماس بگیرید. ما شما را از آخرین جزئیات در مورد چگونگی جلوگیری و اصلاح حملات باج افزار مطلع می کنیم.
علاوه بر این، چندین مقاله دیگر در همین زمینه در سایت ما www.panaco.ir منتشر شده که مطالعه آنها پیشنهاد می گردد.
در نهایت لازم به ذکر است که اخیرا حملات باج افزارها همه افکار و اخبار را به سمت خود معطوف داشته است باید در نظر داشت سایر تهدیدات همچنان به قوت خود باقی هستند و در مواردی می توانند مخربتر عمل کنند، بنابراین باید به همه جوانب توجه داشت.
باج افزارها قطعا می توانند ترسناک باشند، اما بسیاری از مشکلات آنها خوش خیم است و آسیب بسیار زیادی ایجاد نمی کند، بهترین روش برای محافظت از خود در برابر از دست دادن داده ها با پشتیبان گیری منظم آفلاین می باشد. به این ترتیب، بدون توجه به آنچه اتفاق می افتد، شما قادر خواهید بود به سرعت زندگی دیجیتال خود را ادامه دهید.