راهکارهایی برای کاهش و مقابله با باج افزار (Ransomware)

مقابله و جلوگیری از  باج افزار
مقابله و جلوگیری از باج افزار

در این مقاله بررسی میکنیم که باج افزار (Ransomware) چیست و راههای مقابله با باج افزار را توضیح میدهیم:

در واقع باج افزارها دسته ای از بدافزارها هستند که اسناد را رمزگذاری میکنند، آنها را غیرقابل استفاده کرده و بقیه رایانه را از دسترس خارج میکند. مهاجمان باج‌افزار سعی میکنند قربانیان خود را از طریق روشهای پرداخت مشخص شده وادار به پرداخت باج کنند و پس از آن ممکن است به قربانیان اجازه دسترسی به داده‌های خود را بدهند یا ندهند.

باج‌افزار هدفمند پیچیده‌تر از حملات باج‌افزار اصلی است و فراتر از عفونت اولیه است. مهاجمان راههای بیشتری برای اخاذی از سازمانهای قربانی با استفاده از طیف وسیعی از روشهای توزیع زیر پیدا کرده اند:

  • فیشینگ: ایمیلهایی که بعنوان مکاتبات مربوط به کار به کارمندان ارسال میشوند.
  • تبلیغات بد: به خطر انداختن وبسایت های رسانه ای به منظور ارائه تبلیغات مخرب حاوی یک چارچوب مبتنی بر جاوا اسکریپت به نام SocGholish که بعنوان یک بروز رسانی نرم افزار ظاهر میشود.
  • بهره‌برداری از آسیب‌پذیری: بهره‌برداری از نرم‌افزار آسیب‌پذیر در حال اجرا بر روی سرورهای عمومی.
  • عفونت های ثانویه: استفاده از بات نت های از قبل موجود برای بدست آوردن جای پایی در شبکه قربانی.
  • خدمات با امنیت ضعیف: حمله به سازمانها از طریق سرویسهای RDP با امنیت ضعیف، با استفاده از اعتبارنامه های لو رفته یا ضعیف.

بهترین روشها برای مقابله با باج افزار (Ransomware)

علاوه بر فعال کردن نرم افزار SEP، مراحل اضافی را برای جلوگیری از آلودگی به باج افزار (Ransomware) دنبال کنید.

1.      از محیط محلی خود محافظت کنید.

  • دسترسی به آخرین نسخه PowerShell. مطمئن شوید که آخرین نسخه PowerShell را دارید و ورود به سیستم را فعال کرده اید.
  • دسترسی به خدمات RDP را محدود کنید. فقط RDP را از آدرسهای IP شناخته شده خاص مجاز کنید و مطمئن شوید که از احراز هویت چند عاملی استفاده میکنید. از File Server Resource Manager (FSRM) برای قفل کردن توانایی نوشتن پسوندهای باج افزار (Ransomware) شناخته شده در اشتراک‌گذاریهای فایل که در آن دسترسی کاربر به نوشتن مورد نیاز است، استفاده کنید.
  • برنامه ای برای در نظر گرفتن اطلاع رسانی به طرفهای خارجی ایجاد کنید. بمنظور اطمینان از اطلاع رسانی صحیح سازمانهای مورد نیاز، مانند FBI یا سایر مقامات/ سازمانهای مجری قانون، حتماً برنامه ای برای تأیید داشته باشید.
  • یک”jump bag” با نسخه های هارد کپی و آرشیو نرم افزاری از تمام اطلاعات مهم اداری ایجاد کنید. بمنظور محافظت در برابر خطر در دسترس بودن این اطلاعات حیاتی، آن را در یک jump bag با سخت افزار و نرم افزار مورد نیاز برای عیب یابی ذخیره کنید. هنگامیکه فایلهای شبکه رمزگذاری شده اند، ذخیره این اطلاعات در شبکه مفید نیست. حسابرسی مناسب و کنترل استفاده از حساب اداری را اجرا کنید. همچنین میتوانید اعتبارنامه های یکبار مصرف را برای کارهای اداری اجرا کنید تا به جلوگیری از سرقت و استفاده از اعتبارنامه مدیریت کمک کنید.
  • پروفایلهایی برای استفاده ابزارهای ادمین ایجاد کنید. بسیاری از این ابزارها توسط مهاجمان برای جابجایی جانبی بدون شناسایی در یک شبکه استفاده میشوند. حساب کاربری که دارای سابقه اجرا بعنوان ادمین با استفاده از PsInfo/PsExec در تعداد کمی از سیستمها است، احتمالاً مشکلی ندارد، اما یک حساب کاربری که PsInfo/PsExec را در همه سیستمها اجرا میکند مشکوک است.

2.      از سیستم ایمیل خود محافظت کنید.

  • احراز هویت دو مرحله ای (2FA) را فعال کنید تا از به خطر افتادن اعتبارنامه ها در طول حملات فیشینگ جلوگیری کنید.
  • معماری امنیتی را در اطراف سیستمهای ایمیل سخت‌تر کنید تا میزان اسپم هایی را که به صندوقهای دریافتی کاربر نهایی میرسد به حداقل برسانید و مطمئن شوید که بهترین روشها را برای سیستم ایمیل خود دنبال میکنید، از جمله استفاده از SPF و سایر اقدامات دفاعی در برابر حملات فیشینگ.

3.      بکاپ تهیه کنید.

بطور منظم از فایلها هم در کلاینتها و هم در سرورها نسخه بکاپ تهیه کنید. یا زمانیکه کامپیوترها آفلاین هستند از فایلها نسخه بکاپ تهیه کنید یا از سیستمی استفاده کنید که رایانه ها و سرورهای شبکه نمیتوانند روی آن بنویسند.

اگر نرم افزار بکاپ اختصاصی ندارید، میتوانید فایلهای مهم را در مدیاهای قابل جابجایی نیز کپی کنید. سپس مدیای قابل جابجایی را خارج کرده و از برق بکشید. مدیاهای قابل جابجایی را بهم وصل نکنید.

  • اجرای ذخیره سازی نسخ بکاپ خارج از سایت. برای ذخیره سازی خارج از سایت، حداقل چهار هفته بکاپ گیری کامل هفتگی و روزانه ترتیب دهید.
  • بکاپ گیری آفلاین که در محل وجود دارد را پیاده سازی کنید. اطمینان حاصل کنید که بکاپهایی دارید که به شبکه متصل نیستند تا از رمزگذاری آنها توسط باج افزار (Ransomware) جلوگیری کنید. حذف بهتر است با سیستم خارج از شبکه انجام شود تا از گسترش احتمالی تهدید جلوگیری شود.
  • راه حل بکاپ گیری در سطح سرور خود را تأیید و آزمایش کنید. این قبلاً باید بخشی از فرآیند بازیابی فاجعه باشد.
  • مجوزهای سطح فایل برای بکاپ گیری و دیتابیس های بکاپ را ایمن کنید. اجازه ندهید نسخه های بکاپ شما رمزگذاری شوند.
  • قابلیت بازیابی را آزمایش کنید. اطمینان حاصل کنید که قابلیتهای بازیابی از نیازهای کسب و کار پشتیبانی میکند.

با اضافه کردن پسوردها و محدودیتهای کنترل دسترسی، Mapped network drives را قفل کنید.

از دسترسی “read only” برای فایلهای موجود در درایوهای شبکه استفاده کنید، مگر اینکه دسترسی نوشتن برای این فایلها کاملا ضروری باشد. محدود کردن مجوزهای کاربر، فایلهایی را که تهدیدها میتوانند رمزگذاری کنند، محدود میکند.

در صورت دریافت باج افزار (Ransomware) چه باید کرد؟

هیچ ابزار حذف باج افزار وجود ندارد. هیچ محصول امنیتی نمیتواند فایلهایی را که باج افزار رمزگذاری میکنند، رمزگشایی کند. در عوض، اگر کامپیوترهای شما به باج افزار (Ransomware) آلوده میشوند و داده های شما رمزگذاری شده است، این مراحل را دنبال کنید:

1.    باج را نپردازید.

در صورت پرداخت باج:

  • هیچ تضمینی وجود ندارد که مهاجم روشی را برای باز کردن قفل رایانه یا رمزگشایی فایلهای شما ارائه دهد.
  • مهاجم از پول باج برای حملات اضافی علیه سایر کاربران استفاده میکند.

2.    کامپیوتر آلوده به باج افزار (Ransomware) را ایزوله کنید.

قبل از اینکه باج افزار (Ransomware) بتواند به درایوهای شبکه ای که به آنها دسترسی دارد حمله کند، کامپیوتر آلوده را ایزوله کنید.

3.    از Symantec Endpoint Protection Manager یا SES برای بروز رسانی تعاریف ویروس و اسکن کلاینتها استفاده کنید.

تعاریف جدید احتمالاً باج افزار (Ransomware) را شناسایی و اصلاح میکنند. Symantec Endpoint Protection Manager بطور خودکار تعاریف ویروس را برای کلاینت دانلود میکند، تا زمانیکه کلاینت مدیریت شده و به سرور مدیریت یا کنسول ابری متصل باشد.

  • در Symantec Endpoint Protection Manager، روی Clients کلیک کنید، روی group کلیک راست کنید و سپس روی Run a command on the group > Update Content and Scan کلیک کنید.
  • در Symantec Endpoint Security، دستور Scan Now را اجرا کنید.

4.   مجدد clean installation را نصب کنید.

اگر فایلهای رمزگذاری شده را از یک نسخه بکاپ بازیابی کنید، میتوانید داده های بازیابی شده خود را دریافت کنید، اما ممکن است بدافزار دیگری در طول حمله نصب شده باشد.

5.    بدافزار را به Symantec Security Response ارسال کنید.

اگر میتوانید ایمیل مخرب یا ایمیل اجرایی را شناسایی کنید، آنرا به Symantec Security Response ارسال کنید. این نمونه‌ها سیمانتک را قادر میسازد تا امضاهای جدیدی ایجاد کند و دفاع در برابر باج‌افزار را بهبود بخشد.