راهکارها و ابزارهای مقابله با باج افزارها

باج افزار (Ransomware) چیست؟
در واقع، باج افزارها (Ransomware) نوعی بدافزار (Malware) هستند؛ که اسناد دیجیتال را تخریب و آنها را غیر قابل استفاده می کنند درحالیکه کامپیوتر کاربر همچنان در دسترس و قابل استفاده خواهد بود.

بهترین راهکارهای مقابله با باج افزارها

مهاجمین سایبری با استفاده از باج افزارها قربانیان خود را وادار می کنند تا مبالغی را به عنوان باج و از طریق روش های پرداختی که خودشان مشخص کرده اند به آنها پرداخت کنند. اما در برخی موارد نادر ممکن است قربانی بتواند مجددا به اطلاعات رمزگذاری شده خود دست یابد.
دسته ای دیگر از این نوع تهدید سایبری Ransomlockers نام دارد، که با Lock کردن کامپیوتر از دسترسی کاربر به کامپیوتر و یا داده های موجود در آن جلوگیری میکند. در این حالت قربانی یک پیام دریافت خواهد کرد، مبنی بر اینکه اگر قصد دارد کامپیوتر و یا داده های خود را Unlock نماید باید مبلغی را به عنوان باج پرداخت نماید. در غیر این صورت در هر دو حالت داده ها پس از مدت زمانی مشخص حذف و یا به صورت رمزگذاری شده و غیر قابل استفاده رها خواهند شد.

 


مقابله با باج افزارها همراه با Symantec Endpoint Protection

6 راهکار موثر به منظور جلوگیری از آلوده شدن توسط باج افزارها به شرح ذیل می باشد:

  1. تهیه نسخه پشتیبان از داده ها به صورت منظم
    جهت تهیه نسخه پشتیبان از داده های موجود برروی کلاینت ها و سرورهای خود به صورت منظم اقدام کنید. اگر راهکاری مناسب و اختصاصی جهت تهیه نسخه پشتیبان ندارید، می تواند یک کپی از داده های حیاتی خود برروی رسانه های قابل حمل (Hard External) ذخیره نمائید. به یاد داشته باشید پس از اتمام فرآیند انتقال یک نسخه از داده ها، رسانه قابل حمل مذکور را از سیستم اصلی جدا نمائید.
  2. محدودسازی سطوح دسترسی به Mapped Network Driveها
    اعمال رمز عبور و از استفاده از قابلیت های Access Control جهت اعمال سطح دسترسی Read-Only برای فایل های موجود در Network Drivesها، علی رغم اینکه سطح دسترسی با قابلیت نوشتن و تغییر فایل برای این قبیل فایل ها مورد نیاز می باشد. بنابراین با محدودسازی سطوح دسترسی کاربر برای نوشتن و تغییر فایل ها، برخی تهدیدات قادر نخواهند بود فایل های موجود در Network Drivesها را رمزگذاری و غیر قابل استفاده کنند.
  3. بکارگیری ماژول های امنیتی Symantec Endpoint Protection Manager
    • IPS
    ماژول IPS برخی از تهدیداتی که به تنهایی و از طریق سایر ماژول ها مانند Virus Definitionها قابل مقابله نیستند را Block می کند. ماژول IPS بهترین سد دفاعی در برابر نرم افزارها و فایل هایی می باشد که به صورت ناخواسته و یا از طرق Third-Party Applicationها از اینترنت دانلود می شوند.
    • SONAR
    SONAR یک ماژول محافظتی مبتنی بر رفتار، در برابر بد افزارها می باشد. SONAR از اجرا شدن انواع باج افزارها شبیه CryptoLocker جلوگیری می کند.
    • Download Insight
    این ماژول فایل هایی را که از نظر امنیتی و بر اساس پایگاه ها داده های Symantec مورد تائید نیستند را قرنطینه می کند.
  4. بازیابی فایل های Lock شده با استفاده از ابزار تعبیه شده در Windows
  5. بروزرسانی برنامه های تحت وب مانند، مرورگرها و Plug-inها
    امروزه مهاجمین از وجود برنامه های تحت وب قدیمی و بروز نشده ای مانند Adobe Flash Player برای ورود به سیستم و آسیب رساندن به داده های کاربران سوء استفاده می کنند. براساس آمارهای بدست آمده بیشتر حملات سایبری از طرق مرورگرها و Phishing صورت پذیرفته است.
    اغلب این حملات نیز از طریق آسیب پذیری های برنامه های تحت وب مانند WordPress ،JBOSS و Joomla صورت پذیرفته اند. بنابراین دانلود آخرین بسته های امنیتی و بروز برای برنامه های تحت وب مانند مرورگرها و Plug-inهای نصب شده برروی مرورگرها از اهمیت ویژه ای برخوردار است.

  6. بکارگیری محصولات Mail Security
    بدافزار CryptoLocker اغلب از طریق Spam Emailهایی که شامل یک پیوست مخرب هستند پخش شده است. بررسی و آنالیز داخلی ایمیل ها برای تشخیص تهدیدات از طریق یک محصول تخصصی مناسب و برای جلوگیری از آلوده شدن توسط باج افزار و دیگر انواع بد افزارها در سازمان توصیه می شود.

 

وضعیت حملات سایبری توسط Malwareها در سال 2018

malware_infection

malware_infection_country

راهکارهایی برای حذف کردن باج افزارها (Ransomware)
در ابتدا باید بگوییم که هیچ ابزاری برای حذف باج افزار و یا CryptoLocker وجود ندارد. اما در صورتی که توسط این خانواده از بدافزارها آلوده شده اید و داده های شما رمزگذاری شده اند، می توانید اقدامات ذیل را انجام دهید.
در اولین قدم به یاد داشته باشید که به هیچ عنوان مبلغی را به باج گیر پرداخت نکنید، اما اگر مبلغ درخواستی را پرداخت کردید بدانید هیچ تضمینی مبنی بر این که مهاجم به قول خود عمل کرده و داده های شما را رمزگشایی و یا کامپیوتر شما را Unlock کند وجود نخواهد داشت. از سویی دیگر، اغلب مهاجمین از مبالغ باج های دریافتی برای حمله های بیشتر و بزرگتر به سایر کاربران استفاده کرده و آن را در این راه سرمایه گذاری خواهند کرد.
در دومین قدم می بایست کامپیوتر آلوده را قبل از اینکه باج افزار از طریق Network Driveهای متصل به آن به سایر کامپیوترهای شبکه دسترسی پیدا کند از شبکه جدا کنید.

در سومین قدم با استفاده از کنسول مدیریتی Symantec Endpoint Protection Manager برای بروز رسانی Virus Definition کلاینت ها، Scan و آنالیز وضعیت سایر کامپیوترها استقاده کنید. آپدیت های جدید قادر خواهند بود باج افزارها را شناسایی و با آنها مقابله کنند. کنسول مدیریتی آنتی ویروس سیمانتک به صورت خودکار Virus Definitionsهای جدید را برای کلاینت ها دانلود می کند و تا زمانی که کلاینت ها با سرور در ارتباط باشند قادر خواهند بود این Virus Definitionsهای جدید را دریافت کرده و در برابر انواع تهدیدات مصون گردند.
در چهارمین قدم می توانید از طریق نسخه های پشتیبان مناسب و کارآمد تهیه شده اقدام به بازیابی فایل های آسیب دیده نمائید. همانند سایر محصولات امنیتی، Symantec Endpoint Protection قادر به رمزگشایی فایل هایی که باج افزار آنها را رمزگذاری کرده است نخواهد بود.
در پنجمین قدم اقدام به ارسال بدافزارهای شناسایی شده برای Symantec Security Response نمائید. اگر موفق به شناسایی یک ایمیل و یا یک فایل اجرایی مشکوک و مخرب شدید آن را به Symantec Security Response ارسال کنید. این نمونه ها کمپانی سیمانتک را قادر می سازند تا بتواند Signaturesهای جدید ایجاد کرده و قدرت دفاعی خود را در برابر باج افزارها ارتقا دهد.

برچسب ها: malware, ransomlockers, باج افزار, CryptoLocker, بدافزار, ransomware, سیمانتک, Symantec Endpoint Protection, آنتی ویروس, Symantec