روشهای پیشگیری از باج افزار Ransomware

سازمان خود را با روشهایی برای پیشگیری از باج افزار Ransomware قدرتمند کنید، قبل از اینکه قربانی یکی از بدترین تهدیدهای امنیتی IT در تاریخ اخیر شوید!

استیو مورگان، بنیانگذار و مدیر مسئول در Cybersecurity Ventures در گزارشی گفت:

“در حالیکه بنظر میرسد درصد قربانیان باج که به امید بازپس گیری اطلاعات خود بیت کوین را به هکرها پرداخت میکنند، در حال کاهش است، کل هزینه های خسارت مربوط به حملات باج افزار سر به فلک میکشد. ما اعتقاد داریم که پرداخت غرامت کمترین هزینه برای خسارت است.”

مایک فی، رئیس و مدیر COO سیمانتک، گفت: “تمیز کردن” شرکتهایی که تحت تأثیر باج افزار WannaCry قرار گرفتند بسیار زیاد خواهد بود، از جمله ماههای بهبودی بخشهای IT و هزینه های چند میلیون برای قربانیان.”

تعداد بسیار کمی از شرکتها قادر به از دست دادن چندین میلیون ضرر هستند، چه رسد به اینکه ماهها یا حتی هفته ها از کار بیفتند.

وقتی سیستمهای رایانه ای شما مورد حمله قرار گرفت، برای محافظت خیلی دیر است.

برای کمک به جلوگیری از دست رفتن داده ها و محافظت از شرکت خود، برخی از تهدیدهای باج افزار را که باید از آنها آگاه باشید، بررسی خواهیم کرد و سپس چندین روش قدرتمند محافظت در برابر آنها را مرور خواهیم کرد.

اما ابتدا، مطمئن شوید که باج افزار چیست و چگونه میتواند کنترل سیستمهای رایانه ای شما را بدست آورد.

باج افزار Ransomware چیست و چگونه رخ میدهد؟

تعریف باج افزار در نام خود پیچیده است: نوعی از یک بدافزار است که مجرمان از طریق کنترل راه دور، کامپیوتر شخص را قفل میکند و داده های شخص یا شرکت را گروگان میگیرد تا زمانیکه برای دسترسی به آن هزینه ای بپردازد.

شما میتوانید به تمام روشهای معمول آلوده شوید:

• یک پیوند مخرب در یک پیام ایمیل
• وبسایت های آلوده
• برنامه های جعلی
• تبلیغات مخرب یا Malvertising

هنگامیکه دستگاه شما آلوده شد، باج افزار میتواند انواع فولدرها، از اسناد گرفته تا تصاویر تا فیلمها را رمزگذاری کند.

این میتواند داده های شما را رمزگذاری کند (با یا بدون کلید)، شما را از سیستم عامل قفل کرده و به سایر رایانه های شبکه گسترش دهد.

برای بازگرداندن اطلاعات شما، هکرها معمولاً درخواست پرداخت با بیت کوین را میکنند زیرا ردیابی و پیگیری این شکل از پول دشوارتر است.

یکی دیگر از ویژگیهای بارز باج افزار اینست که برای پرداخت باج، برای شما مهلت کوتاه مدت در نظر گرفته شده است و یا خطر از دست دادن اطلاعات شما برای همیشه وجود دارد.

روشهای انتشار باج افزار در شبکه

1. متداول ترین روش انتقال باج افزار از طریق ایمیل میباشد بدین صورت که ایمیلی حاوی لینک مخرب برای کاربران ارسال میگردد تا کاربران زود باور بر روی آن لینک کلیک کرده و سیستم خود را آلوده سازند.
2. در روش دیگر باج گیرها از طریق حفره های امنیتی نرم افزارها اقدام به اجرا کردن باج افزارها میکنند.
3. بازدید از وبسایت های نامعتبر نیز ریسک آلوده شدن به باج افزارها را در پی دارد.
4. دانلود فایلهای مشکوک نیز از دیگر موارد احتمال ابتلا به باج افزار میباشد.

برخی از باج افزارها اگر وارد سیستم یک کاربر در محیط شبکه شوند، با اسکن نمودن شبکه و پیدا کردن دیگر کامپیوترها خود را منتشر میکنند.

راهکارهای پیشگیری از آلودگی به باج افزار

1. بطور منظم از رایانه ها و سرورهای خود بکاپ تهیه کنید.

بطور منظم از پرونده ها در کامپیوترها و سرورها بکاپ تهیه کنید.

در صورت آفلاین بودن رایانه ها یا از فایلها بکاپ تهیه کنید یا از سیستمی استفاده کنید که رایانه های شبکه و سرورها قادر به نوشتن نیستند.

اگر نرم افزار بکاپ اختصاصی ندارید، میتوانید فایلهای مهم را در مدیاهای قابل جابجایی کپی کنید. سپس آنرا خارج کرده و از برق بکشید. مدیای قابل جابجایی را به برق وصل نکنید.

2. با ایمن سازی رمزها و محدودیتهای کنترل دسترسی، درایوهای شبکه را قفل کنید.

از دسترسی فقط خواندنی برای فایلهای موجود در درایوهای شبکه استفاده کنید، مگر اینکه دسترسی نوشتن برای این فایلها کاملاً ضروری باشد.

دسترسی های غیرضروری را برای کاربران ادمین بررسی و بازبینی نمایید.

محدود کردن مجوزهای کاربر، فایلهایی را که میتواند تهدیدها را رمزگذاری کند محدود میکند.

3. محافظتهای زیر را از Symantec Endpoint Protection Manager پیاده و فعال کنید:

• IPS

IPS برخی از تهدیدها را که تعاریف سنتی ویروس به تنهایی نمیتواند متوقف کند، مسدود میکند.

IPS بهترین دفاع در برابر دانلود درایو است که درصورت دانلود ناخواسته نرم افزار از اینترنت رخ میدهد.

مهاجمان اغلب از کیتهای اکسپلویت برای حملات تحت وب مانند CryptoLocker از طریق دانلود درایو استفاده میکنند.

• SONAR

حفاظت مبتنی بر رفتار SONAR یکی دیگر از موارد مهم دفاع در برابر بدافزار است.

SONAR از اجرای نام فایلهای قابل اجرا با دو نسخه از باج افزارها مانند CryptoLocker جلوگیری میکند.

در خط مشی حفاظت از ویروس و جاسوس افزار، رویSONAR>  فعال کردن SONAR کلیک کنید.

• Insight Modify را بارگیری کنید

 Insight in a Virus and Spyware را بارگیری کنید-

سیاست امنیت بالا برای قرنطینه کردن فایلهایی که هنوز توسط پایگاه مشتری سیمانتک ثابت نشده است که ایمن باشد.

4. جدیدترین وصله های برنامه های وب، مرورگرهای وب و افزونه های مرورگر وب را بارگیری کنید.

حمله به کیتهای بهره برداری نمیتواند دانلود درایو را انجام دهد، مگر اینکه نسخه قدیمی پلاگین برای بهره برداری مانند Flash وجود داشته باشد.

از لحاظ تاریخی، حملات از طریق فیشینگ و مرورگرهای وب انجام میشد. اخیراً حملات بیشتری از طریق برنامه های آسیب پذیر وب مانند JBOSS، WordPress و Joomla انجام میشود.

5. برای مدیریت ایمن ایمیل از یک محصول امنیتی ایمیل استفاده کنید.

CryptoLocker اغلب از طریق ایمیلهای هرزنامه ای که حاوی پیوستهای مخرب هستند، پخش میشود.

اسکن ایمیلهای ورودی برای تهدیدات با یک محصول یا سرویس امنیتی اختصاصی ایمیل برای جلوگیری از باج افزار و سایر بدافزارها از سازمان امری ضروریست.

6. یک برنامه بازیابی فاجعه تهیه کنید.

یک طرح بازیابی فاجعه DRP (Disaster Recovery Plan) میتواند به شما کمک کند در طی موارد اضطراری مختلف، به مرحله عمل برسید.

در اینجا چند مرحله وجود دارد که شما میتوانید برای حمله باج افزار در DRP قرار دهید:

• برای جلوگیری از گسترش عفونت، بلافاصله شبکه سازمان را خاموش کنید.
• فوراً Wi-Fi و بلوتوث را خاموش کنید.
• یا برای پس گرفتن فایلهای خود غرامت را پرداخت کنید، یا غرامت را پرداخت نکنید و فایلهای آلوده را حذف نموده و فایلهای جدید را با استفاده از نسخه بکاپ تهیه کنید.

چند نوع خطرناک Ransomware

در اینجا جدیدترین تهدیدات شناخته شده، خطرناک و فعال باج افزار را معرفی میکنیم  که باید از سازمان خود در برابر آنها محافظت کنید.

• WannaCry

باج افزاری است که در ماه مه 2017 با آلوده کردن بیش از 200،000 کامپیوتر در 150 کشور، جهان را لرزاند. WannaCry از یک حفره در سیستم عامل Microsoft Windows استفاده میکند که توسط NSA به نام EternalBlue ساخته شده است.

با رمزگذاری داده های شما، همانند اکثر انواع باج افزارها، “یادداشت باج” و محدودیت زمانی برای پرداخت دیه به شما میدهد. در حالیکه با موفقیت مسدود شده بود، نسخه های بدتر با استفاده از بلوک پیام سرور مشابه (SMB) ساخته شدند.

• CryptoLocker

یکی از جدیدترین انواع باج افزار است که در آن بدافزار فایلهای کاربر را رمزگذاری کرده و اغلب نسخه اصلی آن را حذف میکند. مهاجم باج میخواهد تا فایلها رمزگذاری نشوند.

نه تنها فایلهای موجود در رایانه محلی آسیب دیده اند، بلکه فایلهای موجود در هر درایو شبکه مشترک یا متصل شده که رایانه به آنها دسترسی نوشتن دارد.

Ransomlocker ها با قفل کردن رایانه از دسترسی کاربران به دستگاهها یا اطلاعات آنها جلوگیری میکند.

قربانی پیامی را دریافت میکند که بنظر میرسد از طرف اجرای قانون محلی است و خواستار “جریمه” برای جلوگیری از دستگیری قربانیان و باز کردن قفل رایانه است.

• UIWIX

UIWIX از همان آسیب پذیری SMB (EternalBlue) استفاده میکند که WannaCry برای آلوده کردن سیستمها، انتشار خود در داخل شبکه ها و اسکن اینترنت برای آلوده شدن بیشتر قربانیان استفاده کرده است.

برخلاف WannaCry، هیچ گزارشی در مورد تعداد دستگاههای آلوده به باج افزار UIWIX، و نه در مورد “درآمد” تولید شده گزارش نشده است.

ما تصور میکنیم که این نتیجه مستقیم یک تفاوت عمده بین WannaCry و خانواده باج افزار UIWIX است که در این تهدیدات استفاده میشود. WannaCry سعی در فرار از شناسایی نکرده است.

UIWIX اگر گیر نیفتد، پسوند uiwix را به تمام پرونده های آلوده شما اضافه میکند و یک فایل .txt به نام _DECODE_FILES.txt به شما میدهد که دستورالعمل پرداخت دیه برای بازیابی اطلاعات شما را دارد.

• Petya

یک فرم منحصر بفرد باج افزار است به این دلیل که فایلهای موجود در سیستم را یکی یکی رمزگذاری نمیکند.

در عوض، کامپیوترها را مجدداً راه اندازی کرده و master file table (MFT) را رمزگذاری میکند و master boot record (MBR) را غیرفعال میکند.

با این کار کامپیوتر قادر به راه اندازی نیست تا اینکه قربانی باج را که بجای MBR رایانه روی صفحه نمایش داده میشود، پرداخت کند.

• Cerber

بر اساس تاکتیکها و تکنیکهای جرایم سایبری Q1 2017،Cerber در سه ماهه اول سال 2017 تسلط گسترده ای بر بازار داشت، تقریباً 90% از سهم بازار را در اواخر آن سه ماهه داشت.

Cerber بدلیل توزیع در پیوندهای مخرب از طریق ایمیل مشهور است. این پیوند به یک حساب Dropbox کنترل شده توسط هکر منتهی میشود که بایگانی را باز میکند و دستگاه شما را در اختیار میگیرد.

• CryptoWall

Cryptowall از نسخه 3.0 به 4.0 پیشرفت کرده است و بسیار خطرناک است. عمدتا به این دلیل که سازندگان آن را مانند یک تجارت اداره میکنند:

• آنها بطور مستمر کد خود را برای کارآمدتر و سودآورتر کردن، افزایش میدهند.
• آنها یک گام جلوتر از روند امنیت IT باقی میمانند.
• آنها تاكتیكهای مهندسی اجتماعی متعددی را برای تحت فشار قرار دادن قربانیان خود برای پرداخت دیه در بیشتر موارد توسعه داده اند.

CryptoWall و نحوه توزیع آن به مجری قانون ثابت کرده است که بازار سیاه شلوغی از خریداران و فروشندگان باج افزار وجود دارد که این یک نشانه واضح است که شما باید از هر راه ممکن در برابر باج افزار محافظت کنید.

در اینجا چند روش برای محافظت از شرکت در برابر حمله آورده شده است:

چگونه باج افزار را حذف کنیم

هیچ ابزار حذف باج افزار یا ابزار حذف CryptoLocker وجود ندارد. در عوض، اگر کامپیوترهای شما به باج افزار آلوده شده و اطلاعات شما رمزگذاری شده است، این مراحل را دنبال کنید:

1. دیه را پرداخت نکنید. اگر دیه را پرداخت کنید:

• هیچ تضمینی وجود ندارد که مهاجم روشی را برای باز کردن قفل رایانه یا رمزگشایی پرونده های شما ارائه دهد.
• مهاجم از پول دیه برای تأمین بودجه حملات اضافی علیه سایر کاربران استفاده میکند.

2. قبل از حمله باج افزار به درایوهای شبکه ای که به آنها دسترسی دارد، کامپیوتر آلوده را جدا کنید.

3. برای بروز رسانی تعاریف ویروس و اسکن سیستمهای سرویس گیرنده از Symantec Endpoint Protection Manager استفاده کنید.

تعاریف جدید احتمالاً باج افزار را شناسایی و اصلاح میکنند. Symantec Endpoint Protection Manager بطور خودکار تعاریف ویروس را برای کلاینت بارگیری میکند، بشرطی که کلاینت مدیریت شده و به Symantec Endpoint Protection Manager متصل شود.

در Symantec Endpoint Protection Manager، روی Clients کلیک کنید، روی گروه کلیک راست کرده و Run a command on the group> Update Content and Scan را کلیک کنید.

4. فایلهای آسیب دیده را از یک نسخه بکاپ تهیه شده خوب بازیابی کنید.

همانند سایر محصولات امنیتی، Symantec Endpoint Protection نمیتواند پرونده هایی را که باج گیرها خراب کرده اند رمزگشایی کند.

5. بدافزار را به Symantec Security Response ارسال کنید.

اگر میتوانید ایمیل مخرب یا قابل اجرا را شناسایی کنید، آنرا به Symantec Security Responseارسال کنید.

این نمونه ها، Symantec را قادر میسازد امضاهای جدیدی ایجاد کرده و دفاع در برابر باج افزار را بهبود بخشد.

محافظت خود را در برابر باج افزار به سطح بعدی افزایش دهید

اگر میخواهید مطمئن شوید که برنامه بازیابی فاجعه درست است، فایروال شما از سطح بالایی برخوردار است و کارمندان شما نیز به خوبی آموزش دیده اند تا از ابتلا به فیشینگ جلوگیری کنند، پس شما باید همکاری با یک شرکت امنیتی IT را در نظر بگیرید.

یک شرکت موفق فناوری اطلاعات به شما کمک میکند راه حلهای متناسب با بودجه و نیازهای خودرا پیدا کنید- اطمینان از پرداخت هزینه صحیح امنیت مورد نیاز شما.

آنها اقدامات امنیتی فعلی شما را تجزیه و تحلیل کرده و روشهایی برای بهبود آنها پیشنهاد میدهند.

در حقیقت، آنها اطمینان میدهند که شما در آنچه که برای محافظت از اطلاعات مورد نیازتان، لازم دارید، سرمایه گذاری کنید.

شرکت داده پایش کارن آماده پاسخگویی به سوالات و نیازهای شما در خصوص ارائه هرگونه مشاوره و راهکارهای امنیت شبکه و اطلاعات سازمانی میباشد.