رمزگذار فایل ها (Filecoder)/باج افزارها (Ransomware)، نوعی از آلودگی سیستم هستند که فایل ها و اطلاعات شخصی شمارا رمز گزاری (Encrypt) میکنند.
معمولا یک کامپیوتر متصل به شبکه آلوده به این بدافزارها میشود و سپس سعی میکند اطلاعات همه ی درایو های مشترک در شبکه (Shared Network Drive) را رمزگذاری کند. ممکن است اینگونه به نظر برسد که این آلودگی از طریق شبکه منتقل میشود درحالی که به این صورت نیست.
ممکن است بر روی سیستمی فایلهای رمزگذاری شده توسط این بدافزار وجود داشته باشند ولی به این معنا نیست که خود سیستم نیز آلوده شده باشد. معمولا این اتفاق زمانی میافتد که برروی یک فایل سرور یک درایو مشترک وجود داشته که از طریق سیستم آلوده دیگری رمزگذاری شده ولی خود سرور آلوده نیست (مگر اینکه Terminal Server باشد)
1-از سیستم خود پشتیبان (Backup) تهیه کنید
به طور منظم و هرچند وقت یکبار از سیستم خود بک اپ بگیرید تا آخرین کارها و فعالیت خود را داشته باشید و آن را از این تهدید حفظ کنید. ESET راهکارهای زیر را برای تهیه پشتیبان توصیه میکند:
2-تعریف محدودیت (Restriction) و سطح دسترسی (Permissions)
انواع مختلفی از این محدودیت ها وجود دارد مثل محدودیت دسترسی Application Data و انواع دیگری که بصورت پیش فرض در گروپ پالیسی (GPO) تعریف شده اند. اجرای برنامه ها از فولدر App data و Local App data و همچنین Temp و پوشه های مربوط به فایل های بازشده (Decompress) توسط نرم افزارهایی مانند winzip و 7zip را غیرفعال کنید.
به علاوه در ESET شما میتوانید یک لیست سفید از برنامه هایی که اجازه اجرا شدن دارند تهیه کنید و از اجرای باقی نرم افزارها را بصورت پیش فرض جلوگیری کنید.
3- User Account Control) UAC) را از کار نیندازید
فایل های ضمیمه شده ای (Attachments) که به صورت فکس،صورت حساب و رسید نشان داده میشوند و نام های مشکوک دارند یا شما انتظار دریافت ان ها را نداشتید را باز نکنید.
از کار انداختن یا عوض کردن Remote Desktop Protocol
Filecoder ها معمولا به با استفاده از RDP (یکی از امکانات ویندوز که امکان دسترسی به دسکتاپ از راه دور و کنترل ان را میدهد) به سیستم قربانی دسترسی پیدا میکنند. اگر به استفاده از سرویس نیاز ندارید، پورت پیش فرض 3389 آنرا تغییر دهید یا بصورت کلی RDP را از کار بیندازید تا سیستم خود را از Filecoder ها و سایر سواستفاده ها حفظ کنید.
برای مشاهده دستورالعمل مناسب از کار انداختن RDP در ویندوز، به پایگاه اطلاعاتی مایکروسافت که در ادامه آمده مراجعه کنید.
4-از احراز هویت 2 عامله (two-factor) استفاده کنید
توصیه ما استفاده از ESET Secure Authentication میباشد.
برای مثال مقاله ای که مربوط است به امنیت ورود به ویندوز و ارتباط RDP در کامپوترکه مطعلق به Active Directoryکه از 2فاکتور برای احراز هویت استفاده میکند، را ببینید.
نصب محافظ win login و RDP با GPO
-از کار انداختن قابلیت ماکرو در آفیس بوسیله GPO
آفیس 2013 و 2016 ( لینکی که در ادامه آمده برای 2013 است اما تنظیمات برای 2016 به همین ترتیب است)
Installation of Windows login protection and (RDP) protection via Group Policy Object (GPO)
5-ESET را به روز نگه دارید
هرروزه ورژن های جدیدی از این نوع بدافزارها منتشر میشود. بنابراین ضروری است که بانک اطلاعات آنتی ویروس خود را به طور منظم بروزرسانی کنید. (نرم افزارهای ESET بصورت خودکار هر یک ساعت یک بار برای بروزرسانی اقدام میکنند.)
6-Advanced memory Scanner و Exploit Blocker فعال نگه دارید
در ورژن 5 و قبل تر ESET این دو ویژگی به طور پیش فرض فعال است. این دو الگوریتم جدید محافظت از سیستم در مقابل بدافزار هایی که خود را از Anti-malware ها با استفاده از مبهم سازی و رمزگذاری (Encryption) پنهان می کنند، تقویت میکند.
توصیه ما این است که اگر از ESET Smart Security یا ESET NOD32 Antivirus ورژن 4 یا جدیدتر (و همچنین نرم افزارهای شرکتی مانند ESET Endpoint Security و ESET Endpoint Antivirus)استفاده میکنید ، به اخرین ورژن ارتقا بدید.
Eset Live Grid-7 را فعال نگه دارید.
اطمینان حاصل کنید که ESET Live Grid در محصولات ESET شما فعال بوده و کار کند.
بهترین شیوه محافظت در مقابل Filecoder ها در محیط های مجازی استفاده از ESET Endpoint Security است. شما می توانید با استفاده از ESET Endpoint Security با ESET Shared Local Cache استفاده کنید برای به حداقل رساندن بار در شبکه، زیرا ممکن است توسط چند VMs به روز رسانی دانلود شود.
بد افزار های جدید اطلاعات و داده ها را با استفاده از روش های بی تناسب (نا متقارن) و مختلف رمزگزاری میکنند. به طزر خلاصه فایل هایی که با یک کلمه عبور رمزگزاری میشوند بدون آن کلمه قادر به رمز گشایی نیستند.در بدافزار های کنونی کلمه عبور شخصی در کامپیوتر و محیطی که تحت تاثیر قرار گرفته قرار نمیگیرد. این به این معنی است که اطلاعات برای باز افرینی به یک بک آپ خوب قبل از دریافت آن ویروس احتیاج دارند.
اگر هیچ بک آپی در دسترس نیست شما میتوانید سعی کنید فایل های خود را از طریق Shadow Copies برگردانید. میتوانید از مرورگر shadow استفاده کنید که می توانید آن را از لینکی که در ادامه امده دانلود کنید.
به هر حال، این بد افزار قادر نیست فایل هایی که در Shadow Copies را از بین ببرد تا از بازگردانی آن فایل ها جلوگیری کند.
شما می توانید درصورت بروز مشکل با نمایندگی های شرکت ESET تماس بگیرید تا مهندسان بخش فنی شما را راهنمایی کنند