مقابله با باج افزار های باج گیر

1.عدم بازگشایی ایمیلهای مشکوک 

بایستی پیوستهای ایمیلهای دریافتی قبل از باز شدن با ابزارهای مناسب پویش شوند. مشخصههای ایمیلهای مشکوک به مخرب بودن به قرار زیر است: 

ایمیل موردنظر در لیست اسپم قرار گرفته باشد.

 فرستنده ایمیل ناشناس باشد.

 آدرس پست الکترونیکی فرستنده، مربوط به یک وبسایت ایمیل رایگان باشد.

 آدرس ایمیل فرستنده با آدرس ایمیل سازمان مورد اعتماد کاملاً متفاوت باشد و یا حتی تفاوتهای جزئی داشته

 باشد(وجود تفاوتهای جزئی در آدرس ایمیل فرستنده و سازمان مورد اعتماد نشان دهنده نوعی مهندسی اجتماعی است). در محتوای ایمیل، نام دقیق کاربر ذکر نشده و از نامهای کلی استفاده شده باشد. برای مثال گیرنده با عبارتهایی

 "کارشناس محترم" خطاب قرار گیرد. ، " مانند "مشتری عزیز نوعی احساس فوریت در ایمیل بیان گردد. برای مثال فرستنده تهدید کند که در صورت عدم انجام عمل خواسته

 شده، حساب شما سریعاً بسته میشود. ایمیل دارای محتوای ترغیب کننده باشد، در حالی که فرستنده آن معتبر نیست. برای مثال وعده پول، شرکت در

 قرعه کشی، برنده شدن در لاتاری، تخفیف فروشگاههای بزرگ، درخواست برای کمک به یک سازمان خیریه، و یا درخواست کمک به بازماندگان یک حادثه . ایمیل حاوی درخواست برای ارسال اطلاعات شخصی مانند نام کاربری، پسورد و یا جزئیات حساب بانکی باشد.

 ایمیل دارای اشتباهات املایی و دستوری باشد.  ایمیل درحالی از سازمان مورد اعتماد دریافت شود که انتظار نمیرود سازمان در آن زمان ایمیلی ارسال کرده باشد.

 کل متن ایمیل در واقع یک عکس از محتوا باشد که در قالب متن قرار گرفته است.

 تصویر موجود در ایمیل حاوی لینک تعبیه شده به یک سایت جعلی باشد.

 ایمیل حاوی لینک و یا پیوستهایی باشد که مورد انتظار نیست. به عبارت دیگر نام و فرمت پیوستها متفاوت از

 نام و فرمت پیوستهای مورد انتظار باشد. پیوستها دارای دو یا چند پسوند برای فرمت خود باشند.

 پس از شناسایی ایمیل مشکوک، بایستی نکات زیر رعایت شود: بر روی لینکهای موجود در ایمیل کلیک نشود.

 پیوستهای ایمیل به هیچوجه باز نشود.

 نباید هیچگونه پاسخی به ایمیل داده شود و با ارسال کننده ایمیل نیز نباید تماس گرفته شود.

 درصورت کلیک بر روی لینکی در ایمیل مشکوک، هیچ اطلاعاتی در وبسایت باز شده وارد نشود.

 در نهایت، گزارش ایمیل مشکوک به نهاد مسئول رسیدگی این دسته از ایمیلها ارسال شود. 

 

2.عدم دریافت فایل از منابع نامعتبر

عدم دریافت فایل از منابع نامعتبر یکی دیگر از اقدامات پیشگیرانه محسوب میشود. دانلود فایلهای کرک نرمافزارها و بازیها، نسخههای بروزرسانی و غیره، از منابع نامعتبر میتواند موجب آلودگی سیستم به باجافزارها شود.

 

پشتیبانگیری منظم(  Backup Operation)

مهمترین و موثرترین رکن در مقابله با بدافزارهای باجگیر داشتن پشتیبانهای منظم دورهای و غیرمتصل است. مقصود از پشتیبان غیرمتصل، این است که رسانهای که اطلاعات روی آن پشتیبان گرفته میشود، باید پس از انجام عملیات پشتیبانگیری از سیستم جدا شود، تا در صورت آلوده شدن به بدافزارهای باجگیر، خود اطلاعات پشتیبان رمزگذاری نشوند. مهمترین دادهها عبارتند از: - سیستمعامل ها و سرویسهای فعال - دادههای عملیاتی و حساس بسیاری از باجگیرها علاوه بر رمز کردن فایلها و اطلاعات معمول، اطلاعات پشتیبان و حتی پوشههای اشتراکی شبکه و مانند آن را نیز رمز میکنند تا همه اطلاعات در دسترس رمز شده و قربانی مجبور به پرداخت باج گردد. بدیهی است تنها پشتیبانگیری منظم کافی نیست و حتما باید با انجام بازیابیهای دورهای از امکان انجام بازیابی صحیح و بدون مشکل در صورت وقوع حوادث اطمینان حاصل نمود. پشتیبانگیری تنها روش تضمینی جلوگیری از تهدید بدافزارهای باجگیر به شمار میرود. نکته مهم: همچنین باید نسبت به صحت و سلامت کامل نسخههای پشتیبان اطمینان حاصل کرد.

 

 

3.امن سازی سامانه ها 

 

  1.نصب و به روز کردن ضدویروس

اگر چه باجگیرهای اینترنتی از بهترین و به روزترین ضدویروسها نیز عبور میکنند، اما داشتن یک ضدویروس معتبر و به روز به منظور کاهش خطر این تهدیدات بسیار موثر است. البته باید همواره در نظر داشت که در حال حاضر ضدویروس تاثیر کمی در جلوگیری از این خطر دارد، چرا که اگر بدافزار باجگیر یک بار موفق به عبور از سد ضدویروس شود، قربانی مجبور به پرداخت باج خواهد شد. در عین حال به علت همهگیر بودن و در دسترس بودن ضدویروسها، نویسندگان بدافزارهای باجگیر تمرکز خاصی روی این ابزارهای امنیتی دارند و قبل از انتشار نسخههای جدید خود (که برخی اوقات در یک روز هزاران نسخه جدید و یکتا است) حتما آن را با ضدویروسهای موجود تست کرده و از عدم شناسایی باجافزار خود مطمئن میشوند.

لازم به ذکر است سامانههای ضدویروس باید تنها از عرضه کنندگان معتبر تهیه شوند تا از اصالت این سامانهها اطمینان حاصل شود.

 

2.نصب و استفاده از ابزار خاص ضدباجگیر 

استفاده از ابزاری موسوم به ضدباجگیر که قابل نصب در کنار ضدویروس بوده و بدافزارهای باجگیر را به صورت رفتاری شناسایی و خنثی کند در مقابله با این تهدید میتواند موثر باشد. در تهیه این ابزارها باید حتما دقت شود که :

1.از اصالت سامانه ضدباج افزار اطمینان حاصل شود؛

2- از عرضه کنندگان معتبر تهیه شود؛ 

3.به صورت سرویس رایانش ابری نباشد.

 

  3.پیکربندی امن سیستمعامل و نرمافزارها 

بهروز کردن سیستم عامل و نرمافزارهای مورد استفاده بخصوص مرورگرها و نرمافزارهای ارتباطی یا رایج مانند کلاینت ایمیل و مجموعه آفیس و غیره تاثیر بالایی در کاهش ریسک آلودگی به تهدیدات بدافزاری دارد. امروزه بسیاری از تهدیدات بدافزاری از طریق روشها و آسیبپذیریهای شناخته شده انجام میشوند و در نتیجه امنسازی و بهروز بودن میتواند حداقل این اطمینان را بدهد که آلوده کردن سیستم، کار سادهای نبوده است. بخصوص در مورد بدافزارهای باجگیر به علت رواج استفاده از کیتهای حمله در آلوده سازی، این مساله بسیار مهم است. 

 

از جمله این امنسازیها در بحث باجافزارها شامل موارد زیر است:

 در صورت امکان سرویس RDP(Remote Desktop Protocolغیر فعال شود یاازسایر روش های دسترسی در این خصوص استفاده شود.

1.به کاربران سازمان حداقل مجوزهای لازم و کنترل دسترسی را بدهید به اندازهای که نیاز سازمانی آنها را مرتفع  کنند. 

2.از پسوردهای قوی استفاده کنید، به طوریکه با روشهای کشف رمز عبور مانند حملات دیکشنری به راحتی قابل شناسایی نباشد .

3.از لیست سفید برنامههای کاربردی که تنها به برنامههای شناس و مورد تایید، براساس سیاستهای امنیتی اجازهی  اجرا میدهند، استفاده کنید.

4. از لیست سفید برنامههای کاربردی که تنها به برنامههای شناس و مورد تایید، براساس سیاستهای امنیتی اجازهی  اجرا میدهند، استفاده کنید. 

5.برای انجام کارهای روزانه و غیر ضروری به عنوان کاربر نرمال و یا کاربری غیر ازAdmin  در سیستم وارد شوید.

6.  سرویسها و پورت های غیرضروری را غیرفعال کنید.

7.پنجره هایها popup را بر روی مرورگر بلوکه کنید. 

8. درصورت وجود قابلیت ضد اسپم در سرور پست الکترونیکی، آن را فعال نموده یا از نرم افزار های مخصوص این کار استفاده کنید. 

9. امکان Autoplay  را برای جلوگیری از راه اندازی خودکار هارد اکسترنال یا فلش USB در هنگام اتصال به رایانه غیرفعال کنید.

 

4.غیرفعال کردن و محدود کردن اجرای اسکریپتهای غیرضروری

یکی از روندهای رو به رشد در بدافزارهای باجگیر استفاده از اسکریپتهای SCR, JS, VBS, WSF و مانند آن به عنوان اولین مرحله آلودگی است. با توجه به محدودیتهای سرویسدهنده های ایمیل در ارسال فایلهای اجرایی،

تمرکز و نرخ تشخیص بالاتر این فایلها، و نیز راحتتر بودن درهمسازی اسکریپتها، نویسندگان باجافزار به سوی این ابزارها رغبت بیشتری پیدا کرده اند.

از طریق : 

1. غیر فعال کردن برنامه اجراییwscriptویندوز مانند  Windows power shell و Windows script host 

 2. غیرفعال کردن ماکروهای مجموعه آفیس به نحوی که بدون پرسش از کاربر این ماکروها محدود شوند.

میتوان فریب دادن کاربران نامطلع و آلوده کردن سیستم را تا حد خوبی مهار کرده و به حداقل رساند. های امضا شده اجرا شوند. برای این کار میتوان 

 

 5. پیشگیری از اجرای برنامهها از مسیرهای خاص 

 از اجرای فایل در فولدرهای خاص مانند%AppData% یا Downloads ، %TEMP%جلوگیری شود همچنین میتوان قوانینی اعمال کردکه هر قوانینی که خارج ازفولدرهای ProgramFiles  می باشد اجرا نشود یا اینکه فقط برنامه  های امضا شده اجرا شوند. برای این کار میتوان از نرم افزارMicrosoft AppLocker  استفاده نمود. این ابزار در ویندوز 7و ویندوز سرور 2008برای جلوگیری از اجرای برنامه های ناخواسته طراحی شده است.  

 

 

 6.بستن ارتباط با کانالهای کنترل و فرماندهی باج افزار 

میتوان در هنگام شیوع باجافزار جدید از لیستهای سیاه معتبر و بروز بهمنظور قطع ارتباط کاربران سازمان با سرورهای C&C  باج افزارها استفاده کرد زیرا اغلب باج افزارها پس از نصب نیاز به ارتباط با سرورهای خود برای دریافت کلید و شروع فرآیند رمزنگاری دارند. اگرچه این راهکار به عنوان یک رویکرد جامع در مقابله با باجافزارها محسوب نمیشود اما یک گام مهم و سریع در غیر فعال کردن موقت آنها محسوب میشود. با قطع کردن موقت ارتباط با آدرسهای منتشر کننده بدافزارهای باجگیر میتوان از آلوده شدن سیستمهای بیشتر در سازمان جلوگیری کرد.برای نمونه می توان با استفاده از فایروال سازمان، دسترسی به C&Cرا فیلتر کرد. 

 

 

 

خواندن 618 دفعه
محتوای بیشتر در این بخش: « تاریخچه باج افزار ها

آدرس : تهران ، میدان انقلاب ، کوچه رشتچی ، پلاک ۱۴ (ساختمان ایرانیان) ،طبقه دوم واحد ۸

 

خط ویژه: ۶۶۹۲۸۷۸۷-۰۲۱

تلفن : ۶۶۹۲۸۰۴۰-۰۲۱ | ۶۶۱۲۴۱۴۹-۰۲۱ | تلفن همراه : ۰۹۱۲۳۷۹۰۵۸۸

فکس دیجیتال: ۸۹۸۷۷۳۷۳-۰۲۱

آدرس ایمیل : wnegaran[at]gmail.com 

تمامی حقوق مادی و معنوی این سایت متعلق به شرکت وب نگاران پارسه می باشد