درباره باج افزارها بیشتر بدانیم

رمزگذار فایل ها (Filecoder)/باج افزارها (Ransomware)، نوعی از آلودگی سیستم هستند که فایل ها و اطلاعات شخصی شمارا رمز گزاری (Encrypt) میکنند.

معمولا یک کامپیوتر متصل به شبکه آلوده به این بدافزارها میشود و سپس سعی میکند اطلاعات همه ی درایو های مشترک در شبکه (Shared Network Drive) را رمزگذاری کند. ممکن است اینگونه به نظر برسد که این آلودگی از طریق شبکه منتقل می‌شود درحالی که به این صورت نیست.

ممکن است بر روی سیستمی فایل‌های رمزگذاری شده توسط این بدافزار وجود داشته باشند ولی به این معنا نیست که خود سیستم نیز آلوده شده باشد. معمولا این اتفاق زمانی میافتد که برروی یک فایل سرور یک درایو مشترک وجود داشته که از طریق سیستم آلوده دیگری رمزگذاری شده ولی خود سرور آلوده نیست (مگر اینکه Terminal Server باشد)

راه های مقابله با باج افزارها

1-از سیستم خود پشتیبان (Backup) تهیه کنید

به طور منظم و هرچند وقت یکبار از سیستم خود بک اپ بگیرید تا آخرین کارها و فعالیت خود را داشته باشید و آن را از این تهدید حفظ کنید. ESET  راهکارهای زیر را برای تهیه پشتیبان توصیه میکند:

• StorageCraft ShadowProtect backup and recovery
• Backblaze personal backup

2-تعریف محدودیت (Restriction) و سطح دسترسی (Permissions)

انواع مختلفی از این محدودیت ها وجود دارد مثل محدودیت دسترسی Application Data و انواع دیگری که بصورت پیش فرض در گروپ پالیسی (GPO) تعریف شده اند. اجرای برنامه ها از فولدر App data و Local App data و همچنین Temp و پوشه های مربوط به فایل های بازشده (Decompress) توسط نرم افزارهایی مانند winzip و 7zip را غیرفعال کنید.

به علاوه در ESET شما میتوانید یک لیست سفید از برنامه هایی که اجازه اجرا شدن دارند تهیه کنید و از اجرای باقی نرم افزارها را بصورت پیش فرض جلوگیری کنید.

3- User Account Control) UAC) را از کار نیندازید

فایل های ضمیمه شده ای (Attachments) که به صورت فکس،صورت حساب و رسید نشان داده میشوند و نام های مشکوک دارند یا شما انتظار دریافت ان ها را نداشتید را باز نکنید.

از کار انداختن یا عوض کردن Remote Desktop Protocol

Filecoder ها  معمولا به با استفاده از RDP (یکی از امکانات ویندوز که امکان دسترسی به دسکتاپ از راه دور و کنترل ان را میدهد) به سیستم قربانی دسترسی پیدا می‌کنند. اگر به استفاده از سرویس نیاز ندارید، پورت پیش فرض 3389 آنرا تغییر دهید یا بصورت کلی RDP را از کار بیندازید  تا سیستم خود را از Filecoder ها و سایر سواستفاده ها حفظ کنید.

برای مشاهده دستورالعمل مناسب از کار انداختن RDP در ویندوز، به پایگاه اطلاعاتی مایکروسافت که در ادامه آمده مراجعه کنید.

• Windows XP
• Windows 7 
• Windows 8 
• Windows 10

4-از احراز هویت  2 عامله (two-factor) استفاده کنید

توصیه ما استفاده از ESET Secure Authentication می‌باشد.

برای مثال مقاله ای که مربوط است به امنیت ورود به ویندوز و ارتباط RDP در کامپوترکه مطعلق به Active Directoryکه از 2فاکتور برای احراز هویت استفاده میکند، را ببینید.

نصب محافظ win login و RDP با GPO

-از کار انداختن قابلیت ماکرو در آفیس بوسیله GPO

آفیس 2013 و 2016 ( لینکی که در ادامه آمده برای 2013 است اما تنظیمات برای 2016 به همین ترتیب است)

Installation of Windows login protection and (RDP) protection via Group Policy Object (GPO) 

5-ESET را به روز نگه دارید

هرروزه ورژن های جدیدی از این نوع بدافزارها منتشر می‌شود. بنابراین ضروری است که بانک اطلاعات آنتی ویروس خود را به طور منظم بروزرسانی کنید. (نرم افزارهای ESET بصورت خودکار هر یک ساعت یک بار برای بروزرسانی اقدام می‌کنند.)

6-Advanced memory Scanner و Exploit Blocker فعال نگه دارید

در ورژن 5 و قبل تر ESET این دو ویژگی به طور پیش فرض فعال است. این دو الگوریتم جدید محافظت از سیستم در مقابل بدافزار هایی که خود را از Anti-malware ها با استفاده از مبهم سازی  و رمزگذاری (Encryption) پنهان می کنند، تقویت می‌کند.

توصیه ما این است که اگر از ESET Smart Security یا ESET NOD32 Antivirus ورژن 4 یا جدیدتر (و همچنین نرم افزارهای شرکتی مانند ESET Endpoint Security و ESET Endpoint Antivirus)استفاده میکنید ، به اخرین ورژن ارتقا بدید.

Eset Live Grid-7 را فعال نگه دارید.

اطمینان حاصل کنید که ESET Live Grid در محصولات ESET شما فعال بوده و کار کند.

برای استفاده کنندگان از ماشین های مجازی

بهترین شیوه محافظت در مقابل Filecoder ها  در محیط های مجازی استفاده از ESET Endpoint Security است. شما می توانید با استفاده از ESET Endpoint Security با ESET Shared Local Cache استفاده کنید برای به حداقل رساندن بار در شبکه، زیرا ممکن است توسط چند VMs به روز رسانی دانلود شود.

آیا فایل های رمز گزاری شده می توانند دوباره بدست بیایند؟

بد افزار های جدید اطلاعات و داده ها را با استفاده از روش های بی تناسب (نا متقارن) و مختلف رمزگزاری میکنند. به طزر خلاصه فایل هایی که با یک کلمه عبور رمزگزاری میشوند بدون آن کلمه قادر به رمز گشایی نیستند.در بدافزار های کنونی کلمه عبور شخصی در کامپیوتر و محیطی که تحت تاثیر قرار گرفته قرار نمیگیرد. این به این معنی است که اطلاعات برای باز افرینی به یک بک آپ خوب قبل از دریافت آن ویروس احتیاج دارند.

اگر هیچ بک آپی در دسترس نیست شما میتوانید سعی کنید فایل های خود را از طریق Shadow Copies برگردانید. میتوانید از مرورگر shadow استفاده کنید که می توانید آن را از لینکی که در ادامه امده دانلود کنید.

به هر حال، این بد افزار قادر نیست فایل هایی که در Shadow Copies را از بین ببرد تا از بازگردانی آن فایل ها جلوگیری کند.

چه مراحلی را باید طی کنید اگر بوسیله بدافزار ها آلوده شدید؟

•  تعیین TXT و HTML با دستورالعمل کارسازیشان به طور مثال چگونگی رمزگشایی فولدرهای مشترک و درایو های رمزگزاری شده
•  کامپیوتر خود را از شبکه قطع کنید
• اجرای ESET SysRescue در کامپیوتر های آلوده. بازیابی فقط از بک آپی شود که یکبار تهدید آن شناسایی شده و از بین رفته (قسمت بالا که درباره بک اپ گرفتن از سیستم بود را ببینید)
•  برقراری ارتباط با نمایندگی های ESET

شما می توانید درصورت بروز مشکل با نمایندگی های شرکت ESET تماس بگیرید تا مهندسان بخش فنی شما را راهنمایی کنند