روشهای پیشگیری از باج افزار Ransomware

سازمان خود را با روشهایی برای پیشگیری از باج افزار Ransomware قدرتمند کنید، قبل از اینکه قربانی یکی از بدترین تهدیدهای امنیتی IT در تاریخ اخیر شوید!

استیو مورگان، بنیانگذار و مدیر مسئول در Cybersecurity Ventures در گزارشی گفت:

“در حالیکه بنظر میرسد درصد قربانیان باج که به امید بازپس گیری اطلاعات خود بیت کوین را به هکرها پرداخت میکنند، در حال کاهش است، کل هزینه‌های خسارت مربوط به حملات باج افزار سر به فلک میکشد. ما اعتقاد داریم که پرداخت غرامت کمترین هزینه برای خسارت است.”

تعداد بسیار کمی از شرکتها قادر به از دست دادن چندین میلیون ضرر هستند، چه رسد به اینکه ماهها یا حتی هفته‌ها از کار بیفتند.

وقتی سیستمهای رایانه‌ای شما مورد حمله قرار گرفت، برای محافظت خیلی دیر است.

برای کمک به جلوگیری از دست رفتن داده‌ها و محافظت از شرکت خود، برخی از تهدیدهای باج افزار را که باید از آنها آگاه باشید، بررسی خواهیم کرد و سپس چندین روش قدرتمند محافظت در برابر آنها و پیشگیری از باج افزار را مرور خواهیم کرد.

اما ابتدا، مطمئن شوید که باج افزار چیست و چگونه میتواند کنترل سیستمهای رایانه‌ای شما را بدست آورد.

Ransomware چیست و چگونه رخ میدهد؟

تعریف باج افزار در نام خود پیچیده است: نوعی از یک بدافزار است که مجرمان از طریق کنترل راه دور، کامپیوتر شخص را قفل میکند و داده‌های شخص یا شرکت را گروگان میگیرد تا زمانیکه برای دسترسی به آن هزینه ای بپردازد.

شما میتوانید به تمام روشهای معمول آلوده شوید:

• یک لینک مخرب در یک پیام ایمیل
• وبسایت‌های آلوده
• برنامه‌های جعلی
• تبلیغات مخرب یا Malvertising

هنگامیکه دستگاه شما آلوده شد، باج افزار میتواند انواع فولدرها، از اسناد گرفته تا تصاویر تا فیلمها را رمزگذاری کند.

این میتواند داده‌های شما را رمزگذاری کند (با یا بدون کلید)، شما را از سیستم عامل قفل کرده و به سایر کامپیوترهای شبکه گسترش دهد.

برای بازگرداندن اطلاعات شما، هکرها معمولاً درخواست پرداخت با بیت کوین را میکنند زیرا ردیابی و پیگیری این شکل از پول دشوارتر است.

یکی دیگر از ویژگیهای بارز باج افزار اینست که برای پرداخت باج، برای شما مهلت کوتاه مدت در نظر گرفته شده است و یا خطر از دست دادن اطلاعات شما برای همیشه وجود دارد.

روشهای انتشار باج افزار در شبکه

1. متداول ترین روش انتقال باج افزار از طریق ایمیل میباشد بدین صورت که ایمیلی حاوی لینک مخرب برای کاربران ارسال میگردد تا کاربران زود باور بر روی آن لینک کلیک کرده و سیستم خود را آلوده سازند.
2. در روش دیگر باج گیرها از طریق حفره‌های امنیتی نرم افزارها اقدام به اجرا کردن باج افزارها میکنند.
3. بازدید از وبسایت‌های نامعتبر نیز ریسک آلوده شدن به باج افزارها را در پی دارد.
4. دانلود فایلهای مشکوک نیز از دیگر موارد احتمال ابتلا به باج افزار میباشد.

برخی از باج افزارها اگر وارد سیستم یک کاربر در محیط شبکه شوند، با اسکن نمودن شبکه و پیدا کردن دیگر کامپیوترها خود را منتشر میکنند.

راهکارهای پیشگیری از آلودگی به Ransomware

1. بطور منظم از رایانه‌ها و سرورهای خود بکاپ تهیه کنید.

بطور منظم از فولدرها در کامپیوترها و سرورها بکاپ تهیه کنید.

درصورت آفلاین بودن کامپیوترها، از فایلها بکاپ تهیه کنید یا از سیستمی استفاده کنید که کامپیوترهای شبکه و سرورها قادر به نوشتن نیستند.

اگر نرم افزار بکاپ اختصاصی ندارید، میتوانید فایلهای مهم را در مدیاهای قابل جابجایی کپی کنید. سپس آنرا خارج کرده و از برق بکشید. مدیای قابل جابجایی را به برق وصل نکنید.

2. با ایمن سازی رمزها و محدودیتهای کنترل دسترسی، درایوهای شبکه را قفل کنید.

از دسترسی فقط خواندنی برای فایلهای موجود در درایوهای شبکه استفاده کنید، مگر اینکه دسترسی نوشتن برای این فایلها کاملاً ضروری باشد.

دسترسی‌های غیرضروری را برای کاربران ادمین بررسی و بازبینی نمایید.

محدود کردن مجوزهای کاربر، فایلهایی را که میتواند تهدیدها را رمزگذاری کند محدود میکند.

3. محافظتهای زیر را از Symantec Endpoint Protection Manager پیاده و فعال کنید:

• IPS

IPS برخی از تهدیدها را که تعاریف سنتی ویروس به تنهایی نمیتواند متوقف کند، مسدود میکند.

IPS بهترین دفاع در برابر دانلود درایو است که درصورت دانلود ناخواسته نرم افزار از اینترنت رخ میدهد.

مهاجمان اغلب از کیتهای اکسپلویت برای حملات تحت وب مانند CryptoLocker از طریق دانلود درایو استفاده میکنند.

• SONAR

حفاظت مبتنی بر رفتار SONAR یکی دیگر از موارد مهم دفاع در برابر بدافزار است.

SONAR یکی از راهکارهای پیشگیر از باچ افزار میباشد که از اجرای نام فایلهای قابل اجرا با دو نسخه از باج افزارها مانند CryptoLocker جلوگیری میکند.

در خط مشی حفاظت از ویروس و جاسوس افزار، روی SONAR> فعال کردن SONAR کلیک کنید.

• Insight Modify را دانلود کنید

 Insight in a Virus and Spyware را دانلود کنید.

سیاست امنیت بالا برای قرنطینه کردن فایلهایی که هنوز توسط پایگاه مشتری سیمانتک ثابت نشده است که ایمن باشد.

4. جدیدترین وصله‌های برنامه‌های وب، مرورگرهای وب و افزونه‌های مرورگر وب را دانلود کنید.

حمله به کیتهای بهره برداری نمیتواند دانلود درایو را انجام دهد، مگر اینکه نسخه قدیمی پلاگین برای بهره برداری مانند Flash وجود داشته باشد.

از لحاظ تاریخی، حملات از طریق فیشینگ و مرورگرهای وب انجام میشد. اخیراً حملات بیشتری از طریق برنامه‌های آسیب پذیر وب مانند JBOSS، WordPress و Joomla انجام میشود.

5. برای مدیریت ایمن ایمیل از یک محصول امنیتی ایمیل استفاده کنید.

CryptoLocker اغلب از طریق ایمیلهای هرزنامه‌ای که حاوی پیوستهای مخرب هستند، پخش میشود.

اسکن ایمیلهای ورودی برای تهدیدات با یک محصول یا سرویس امنیتی اختصاصی ایمیل برای پیشگیری از باج افزار و سایر بدافزارها از سازمان امری ضروریست.

6. یک برنامه بازیابی فاجعه تهیه کنید.

یک طرح بازیابی فاجعه DRP (Disaster Recovery Plan) میتواند به شما کمک کند در طی موارد اضطراری مختلف، به مرحله عمل برسید.

در اینجا چند مرحله وجود دارد که شما میتوانید برای حمله باج افزار در DRP قرار دهید:

• برای جلوگیری از گسترش عفونت، بلافاصله شبکه سازمان را خاموش کنید.
• فوراً Wi-Fi و بلوتوث را خاموش کنید.
• یا برای پس گرفتن فایلهای خود غرامت را پرداخت کنید، یا غرامت را پرداخت نکنید و فایلهای آلوده را حذف نموده و فایلهای جدید را با استفاده از نسخه بکاپ تهیه کنید.

چگونه باج افزار را حذف کنیم

هیچ ابزار حذف باج افزار یا ابزار حذف CryptoLocker وجود ندارد. در عوض، اگر کامپیوترهای شما به باج افزار آلوده شده و اطلاعات شما رمزگذاری شده است، این مراحل را دنبال کنید:

1. دیه را پرداخت نکنید. اگر دیه را پرداخت کنید:

• هیچ تضمینی وجود ندارد که مهاجم روشی را برای باز کردن قفل رایانه یا رمزگشایی پرونده های شما ارائه دهد.
• مهاجم از پول دیه برای تأمین بودجه حملات اضافی علیه سایر کاربران استفاده میکند.

2. قبل از حمله باج افزار به درایوهای شبکه ای که به آنها دسترسی دارد، کامپیوتر آلوده را جدا کنید.

3. برای بروز رسانی تعاریف ویروس و اسکن سیستمهای سرویس گیرنده از Symantec Endpoint Protection Manager استفاده کنید.

تعاریف جدید احتمالاً باج افزار را شناسایی و اصلاح میکنند. Symantec Endpoint Protection Manager بطور خودکار تعاریف ویروس را برای کلاینت بارگیری میکند، بشرطی که کلاینت مدیریت شده و به Symantec Endpoint Protection Manager متصل شود.

در Symantec Endpoint Protection Manager، روی Clients کلیک کنید، روی group کلیک راست کرده و Run a command on the group> Update Content and Scan را کلیک کنید.

4. فایلهای آسیب دیده را از یک نسخه بکاپ تهیه شده خوب بازیابی کنید.

همانند سایر محصولات امنیتی، Symantec Endpoint Protection نمیتواند پرونده‌هایی را که باج گیرها خراب کرده اند رمزگشایی کند.

5. بدافزار را به Symantec Security Response ارسال کنید.

اگر میتوانید ایمیل مخرب یا قابل اجرا را شناسایی کنید، آنرا به Symantec Security Response ارسال کنید.

این نمونه‌ها، Symantec را قادر میسازد امضاهای جدیدی ایجاد کرده و دفاع در برابر باج افزار را بهبود بخشد.

محافظت خود را در برابر باج افزار به سطح بعدی افزایش دهید

اگر میخواهید مطمئن شوید که برنامه بازیابی فاجعه درست است، فایروال شما از سطح بالایی برخوردار است و کارمندان شما نیز به خوبی آموزش دیده اند تا از ابتلا به فیشینگ جلوگیری کنند، پس شما باید همکاری با یک شرکت امنیتی IT را در نظر بگیرید.

یک شرکت موفق فناوری اطلاعات به شما کمک میکند راه حلهای متناسب با بودجه و نیازهای خود را پیدا کنید- اطمینان از پرداخت هزینه صحیح امنیت مورد نیاز شما.

آنها اقدامات امنیتی فعلی شما را تجزیه و تحلیل کرده و روشهایی برای بهبود آنها پیشنهاد میدهند.

در حقیقت، آنها اطمینان میدهند که شما در آنچه که برای محافظت از اطلاعات مورد نیازتان، لازم دارید، سرمایه گذاری کنید.

شرکت داده پایش کارن آماده پاسخگویی به سوالات و نیازهای شما در خصوص ارائه هرگونه مشاوره و راهکارهای امنیت شبکه و اطلاعات سازمانی میباشد.