باج افزار

در این مقاله هر آچه در مورد باج افزار باید بدانید را بازگو می کنیم. بسیاری از سازمان ها هنوز هم رویکرد قدیمی برای امنیت سایبری را دنبال می کنند و برای محافظت از زیرساخت ها تنها به دفاع محیطی تکیه کرده اند. ما یک رویکرد قوی تر پیشنهاد می کنیم که به چهار مرحله تقسیم می شود:

پیش بینی، پیشگیری، شناسایی و پاسخ

  • پیش بینی: خطرات خود را بشناسید، سطح حمله خود را بدانید، نقطه ضعف ها را آشکار کنید.
  • پیشگیری: سطح حمله را به حداقل برسانید، از حوادث پیشگیری کنید.
  • شناسایی: اتفاقات و تهدیدات را تشخیص دهید، آنها را جداسازی کنید.
  • پاسخ دهی: به نقص ها و شکاف ها واکنش نشان دهید، آسیب ها را از بین ببرید، تجزیه تحلیل کنید و یاد بگیرید.

 

پیش بینی

به منظور ارزیابی سطح حمله زیرساخت های سازمان، یک تجزیه و تحلیل آشکار انجام می شود. یافته های این تحلیل ها برای طراحی یک محیط دفاعی فیزیکی استفاده می شود.

پیشگیری

راه حل های دفاعی به منظور توسعه زیرساخت ها و کاهش سطح حمله آنها اعمال می شود. نرم افزار امنیتی مستقر می شوند، آسیب پذیری ها پچ می شوند، کارمندان آموزش می بینند ، و فرهنگ امنیتی یک سازمان به طور کلی بهبود می یابد.

شناسایی

زیرساخت ها به دقت به منظور شناسایی علائم نفوذ و دیگر رفتارهای مشکوک نظارت می شود تا نقص ها به سرعت و با دقت مشخص شود.

پاسخ دهی

شواهد قانونی برای تعیین این که چگونه نقص اتفاق افتاده و تاثیر آن روی سیستم ها، داده ها و زیرساخت ها چگونه است،مورد بررسی قرار می گیرد. یک فرآیند پاسخگویی حادثه ای برای بازگرداندن محیط به حالت خوب و رفع هر گونه مشکل امنیتی آغاز می شود. یافته های این فاز، به نوبه خود، دوباره به مرحله پیش بینی منتقل می شود، و چرخه ادامه می یابد.

 

در این مقاله، ما بررسی می کنیم که چگونه این رویکرد به امنیت را می توان برای مقابله با یک تهدید اساسی استفاده کرد: Ransomware.

امنیت سایبری در برابر باج افزار ها

Ransomware یکی از برجسته ترین تهدیدات سایبری در جهان امروز است. مثل دیگر تهدیدات، رویکرد چهار مرحله ای امنیت سایبری (پیش بینی، پیش گیری، شناسایی و پاسخ دهی) به سازمان ها کمک می کند که دربرابر حوادث باج افزاری از خود دفاع کنند، با آن مقابله کنند و یا خود را ریکاوری کنند.

برنامه های مخرب به نام باج افزار در چند سال اخیر میزان قابل توجهی از توجهات را در رسانه ها به خود جلب کرده اند، زیرا شرکت های بزرگ و سازمان ها اعلام کرده اند که عملیات آنها تحت تاثیر تهدید این برنامه مخرب قرار گرفته است. نمونه هایی از مشاغل تحت تاثیر شامل بیمارستان ها، دانشگاه ها و بسیاری از شرکت های بین المللی بزرگ می باشد.

علی رغم ماهیت هشدار دهنده تهدید، روش این نوع بد افزار برای ورود به دستگاه کاربر در واقع با روش های تهدیدهای دیگر فرقی ندارد. آنها اغلب توسط دو روش گسترش می یابند:

– پیام های ایمیل که کاربر را فریب می دهند تا یک فایل پیوست مخرب را باز کنند.

– کیت های اکسپلویت که به طور مخفیانه و زمانی که کاربر در حال بازدید از سایت ها است، تهدیدات را بر روی دستگاه دانلود می کنند.

این مسیر ها بر روی دستگاه کاربر، نسبتا قابل پیش بینی هستند و به راحتی شناسایی شده و می توان در مقابل آنان از خود دفاع کرد. این امر نیازمند شناسایی نقطه ضعف های بالقوه ی دستگاه و تامین امنیت آن می باشد. هر دوی این موارد هرگونه تلاش برای نفوذ را مسدود می کنند و در صورتیکه هرگونه نفوذ اتفاق بیفتد، هشدار را بالا می برند.

 

این رویکرد چهار مرحله ای به این معناست که حتی درصورتی که تهدید موفق شود از موانع محافظتی عبور کند، باز هم همه چیز از دست نرفته است. دستگاه تحت تاثیر قرار گرفته را می توان شناسایی و جداسازی کرد. بنابر این آسیب و خسارات را می توان محدود کرد.

یافته های تحقیقاتی به دست آمده از دستگاه می تواند در آینده برای بهبود زیرساخت های سازمان و محکم کردن آن در برابر حوادث پیش رو استفاده شود.

 

پیش بینی این نوع حملات

  • شناسایی نرم افزارهایی که دارای آسیب پذیری هستند و ممکن است به منظور نقاط ورود به دستگاه، داده ها و یا شبکه محلی مورد استفاده قرار بگیرند.
  • تعیین تنظیمات برای پیکربندی به منظور امنیت مطلوب
  • ارزیابی الگوهای رفتاری کاربر و آگاهی از امنیت

برای اطلاعات بیشتر در مورد ارزیابی سطح حمله، در این مورد در ادامه توضیحات بیشتری می دهیم.

 

پیشگیری از حملات باج گیری

  • بک آپ گیری منظم و اطمینان از آلوده نبودن آنها
  • پچ کردن تمام نرم افزار های نصب شده به طور منظم
  • استفاده از نرم افزارهای قوی و چند لایه
  • آموزش کاربران برای آگاهی مناسب از اعمال محافظتی و تهدیدات

 

شناسایی حملات مبتنی بر اخاذی و باج

  • استفاده از نرم افزار محافظتی با قابلیت های تجزیه و تحلیل رفتاری به منظور شناسایی رفتار های مشکوک یک دستگاه در شبکه ی محلی
  • شناسایی منابعی (دستگاه ها و اشتراک های شبکه) که به دستگاه آلوده متصل است به منظور تخمین زدن آسیب ها
  • شناسایی تغییرات انجام شده در دستگاه آسیب دیده توسط تهدید

 

پاسخ دهی به حملات اخاذی و دریافت باج

  • قطع کردن دستگاه آسیب دیده از شبکه محلی و اینترنت بدون معطلی
  • اسکن کردن تمام دستگاه های متصل، اشتراک های شبکه و حافظه ی ابری به عنوان شواهد برای تهدید
  • بررسی دستگاه آسیب دیده به منظور کسب اطلاعات درباره چگونگی نصب و اجرای تهدید

 

درباره باج افزارها

باج افزار چیست ؟

باج افزار یا Ransomware، برنامه ایست که کنترل دستگاه یا داده های کاربر را به دست می گیرد،سپس از کاربر درخواست باج می کند تا دسترسی عادی کاربر به سیستمش را به او برگرداند.

آنها شکلی از جرم افزارها هستند؛ برنامه های مخربی که توسط فرد و یا گروه مجرمان سازماندهی شده استفاده می شود تا از کاربر آسیب دیده، اخاذی کند. دو نوع اصلی از باج افزار ها وجود دارد: Cryptoransomware و  Police-themed

آنچه موجب تفاوت در دو نوع اصلی می شود در واقع شیوه ای است که با ترساندن کاربر, او را به پرداخت باج سوق می دهد. police-themed کاربر را می ترساند و او را متقاعد که می کند که باید جریمه ای بابت ارتکاب به جرم پرداخت کند در حالیکه crypto-ransomware از این ترس کاربر که هرگز نمی تواند به اطلاعاتش دسترسی پیدا کند سواستفاده می کند.

خانواده ها و مجموعه های فردی گوناگونی از باج افزار ها وجود دارد که آنقدر مشابه هستند که بتوانند در کنار هم تحت یک عنوان قرار بگیرند. هر خانواده دارای ویژگی های منحصر به فردی ست مانند اینکه چگونه دستگاه را آلوده می کنند، چه فایل هایی را هدف قرار می دهند، چگونه درخواست باج می کنند و غیره.

دانستن آنکه در هر حادثه چه نوع از این باج افزار ها دخیل است، در یافتن اینکه قدم بعدی چه باید باشد ضروری است تا بتوان هر آسیبی را محدود کرده و تهدید را از دستگاه آسیب دیده حذف کرد.

انواع باج افزار:

crypto-ransomware

ویژگی ها:

  • دستگاه یا فایل ها را رمزگذاری می کند بنابراین بدون داشتن کلید رمزگذاری یا همان رمز، دسترسی به فایل ها امکان پذیر نمی باشد.
  • پیامی که نمایش داده می شود میگوید که دستگاه و یا فایل ها رمزگذاری شده اند و دستورالعملی برای پرداخت باج ارائه می دهند.
  • بعضی از اینگونه بد افزار ها همچنین اعمال دیگری انجام می دهند مثل اینکه اگر باج مهیا نشود، یا تا مهلت مقرر پرداخت نشود، فایل ها را حذف میکند.

اصلی ترین خانواده های این نوع باج افزارها تا کنون عبارتند از : Locky, CryptoWall, TeslaCrypt, Petya, Jigsaw، WannaCry

Police-Themed Ransomware

ویژگی ها:

  • پیام نمایش داده شده می گوید که دستگاه و یا فایل ها توسط یک مقام محلی به منظور اجرای قانون “قفل” شده است.
  • پیام شامل یک دستورالعمل برای پرداخت “جریمه” به همان مقام محلی است.
  • برخی از اینگونه باج افزار ها همچنین دستگاه و یا فایل ها را رمزگذاری می کنند، برخی دیگر دسترسی را قفل می کنند و برخی تنها پیام را نمایش می دهند.

اصلی ترین خانواده های این نوع باج افزارها تا کنون عبارتند از : Reveton, Browlock, Urausy

 

باج افزار چگونه پخش  می شود ؟

فیشینگ/ ایمیل های اسپم

Ransomware معمولا از طریق ایمیل گسترش می یابد، معمولا یا به صورت پیام های اسپم دسته جمعی یا پیامهای به دقت پردازش شده و هدفمند به گیرنده (شناخته شده به عنوان فیشینگ). پیام های ایمیل شامل یک فایل ضمیمه هستند، که اغلب یک مایکروسافت افیس، سند، فایل زیپ یا یک برنامه اجرایی است. اگر کاربر فایل پیوست را باز کند، آن کد را اجرا می کند که در نتیجه باج افزار بر روی دستگاه نصب و اجرا می شود.

کیت اکسپلویت

یکی دیگر از روش های رایج توزیع، کیت اکسپلویت می باشد. اینها ابزارهایی هستند که توسط مهاجمان بر روی وبسایت ها کاشته می شوند. در برخی از موارد این سایت ها به منظور اعمال مخرب ساخته شده اند ولی در دیگر موارد، سایت کاملا قانونی است که به خطر افتاده است. زمانی که کیت اکسپلویت نصب می شود، آسیب پذیری های موجود هر کاربری که از آن سایت بازدید می کند را پیدا می کند و آن را مورد هدف قرار می دهد. اگر آسیب و نقصی پیدا شود، کیت از آن سواستفاده می کند تا باج افزار را بر روی دستگاه دانلود کند.

 

تاثیرات باج افزار

دستگاه یا فایل ها را رمزگذاری میکند

باج افزار های Crypto و برخی از باج افزار های police-themed از طریق الگوریتم های ریاضی فایل های شما را رمزگذاری می کنند تا دسترسی به آنها بدون کلید رمزگذاری را غیرقابل امکان کنند. در اغلب اوقات کاربر مقدار باج را به مهاجم (مهاجمان) پرداخت می کند تا کلید رمزگشایی را به دست آورده و اطلاعاتش را ریکاوری کند.

دستگاه را  Brick میکند

در مورد برخی از خانواده های بدجنس باج افزارها، پرداخت نکردن باج و یا عدم پرداخت باج تا مهلت مقرر ممکن است منجر به از دست رفتن تمام فایل ها و اجزای حیاتی دستگاه شود. درصورتیکه که فایل ها شامل فایل های سیستم عاملی باشد، سیستم غیر قابل استفاده و به اصطلاح” brick ” خواهد شد.

درخواست پرداخت باج میکند

پرداخت باج به باج افزار ها اغلب به دو شیوه ی رایج درخواست می شود: فرم های پیش پرداخت الکترونیکی انتقال پول (مثل Ukash یا MoneyPak) و یا ارزهای رمزپایه دیجیتالی (مثل Bitcoin ، بیت کوین) . این شیوه از پرداخت انتخاب شده است تا ردیابی پرداخت ها و دستگیری مجرمانی که در پشت باج افزارها هستند برای مقامات قضایی سخت تر و پیچیده تر شود.

برای برخی از کاربران، الزام استفاده از ارزهای رمزپایه ی دیجیتالی یک مانع بزرگ است چرا که ممکن است دانش و یا امکانات فراهم کردن آن را در اختیار نداشته باشند.

در اغلب موارد برای کاربر یک محدودیت زمانی تعیین شده است. او در این بازه زمانی فرصت دارد تا باج را پرداخت کند در غیر این صورت مهاجمان به نوعی او را مجازات می کنند.

پیش بینی

باج افزارها اغلب از آسیب پذیری های نرم افزار و یا رفتاری انسانی سو استفاده می کنند تا دسترسی به دستگاه یا شبکه را به دست بیاورند. بنابر این طبق این مطلب، زیرساخت های خود را ارزیابی کنید.

ماهیت انسانی

اغلب اوقات، ایمیل هایی که برای ارسال باج افزار استفاده می شوند، به گونه ای طراحی می شوند که کاملا قانونی و درست به نظر می رسند طوریکه کاربر قانع می شود که قابل اعتماد است. کاربر با حسن نیت بر روی فایل ضمیمه کلیک می کند و آلوده می شود.

این به عنوان مهندسی اجتماعی شناخته می شود و با وجود سادگی، هنوز به شکل شگفت آوری موثر است.  بررسی آسیب پذیری کاربران در سازمان خود مربوط به همین مهندسی اجتماعی است که مسائل ذیل را در نظر می گیرد:

  • آیا کاربران به طور مداوم در جریان مبارزات با اسپم که ممکن است بر آنها تاثیر بگذارد هستند؟
  • کدام کاربر به احتمال زیاد ایمیل هایی از منابع خارجی دریافت می کند؟
  • آیا کاربران می توانند میان ایمیل های قانونی و درست و ایمیل های جعلی، تمایز قائل شوند؟
  • آیا در این مکان مکانیسم ساده ای وجود دارد که کاربران از طریق آن ایمیل های مشکوک را گزارش دهند؟

آسیب پذیری های نرم افزاری

کیت اکسپلویت که توزیع کننده ی باج افزار می باشد تنها در صورتی موثر است که در برابر آسیب پذیری های پچ نشده قرار بگیرد.

ارزیابی وضعیت تمام نرم افزار های استفاده شده در شبکه، تنها راه موثر برای پیشگیری در مقابل نفوذ مبتنی بر آسیب پذیری می باشد. ارزیابی سطح حمله مربوط به نرم افزار ها، سوالات زیر را در ذهن ایجاد می کند:

  • چه دستگاه هایی قابل دسترسی در اینترنت هستند و چه برنامه هایی بر روی آنها نصب شده است؟
  • به طور مرتب هر چند وقت یکبار این برنامه ها آپدیت می شوند؟ آیا آخرین آپدیت های امنیتی بر روی آنها نصب شده است؟
  • آیا کاربران می توانند به طور دستی آپدیت ها را به تاخیر بیندازند و یا اعمال آنها را متوقف کنند؟
  • آیا دستگاه ها هرگونه برنامه ی امنیتی و یا مکانیسم مخصوصی دارند که در مقابل آسیب پذیری های تازه کشف شده (zero-days روز صفر)که هنوز وصله ای برایشان ارائه نشده از خود دفاع کنند؟

نکته ویژه:

JAVA و FLASH PLAYER

پلتفرم توسعه ی جاوا و فلش پلیر محصولات بسیار محبوبی هستند که در میلیون ها دستگاه در سراسر جهان یافت می شوند.

متاسفانه همه گیری و رایج بودن اینها موجب شده است که گزینه ی مناسبی برای مهاجمان باشند. مهاجمان از آسیب پذیری های این دو استفاده می کنند تا به میلیون ها هدف بالقوه خود دسترسی پیدا کنند.

در حال حاضر محققان امنیتی به طور مرتب در رابطه با این دو برنامه توصیه های زیر را ارائه می دهند:

اگر به آن نیاز ندارید، پس آن را لغو نصب کنید و اگر به طور مرتب از آن استفاده نمی کنید، تا زمانی که لازم باشد آن را غیرفعال کنید.

پیشگیری

این یک مثل کهنه اما درست است – پیشگیری بهتر از درمان است. این اقدامات احتیاطی را برای کاهش سطح حمله خود انجام دهید.

اقدامات کلیدی:

  • به طور منظم بک آپ گیری کنید و آنها را امتحان کنید تا مطمئن شوید قابل اعتماد هستند. مهمترین اقدام در این مرحله همین است که نه تنها در برابر باج گیرها بلکه دربرابر تمام آلودگی ها از شما محافظت می کند. درصورتیکه شما آسیب ببینید، دیگر در این شرایط سخت قرار نخواهید گرفت که آیا باج را بپردازید یا خیر.
  • تمام نرم افزار ها را به روز نگه دارید. اغلب اوقات این برنامه های مخرب از طریق سواستفاده از نقص های امنیتی در نسخه های قدیمی نرم افزار ها موجب آلودگی می شود بنابراین با آپدیت نگه داشتن نرم افزار ها باج افزار باید راه طولانی را طی کند.
  • از نرم افزار امنیتی قوی استفاده کنید که رویکرد چندلایه ای را به کار می گیرد تا تهدیدات شناخته شده را به خوبی ناشناخته ها مسدود می کند.

اف سکیور خدمات و تکنولوژی های مربوطه را ارائه می دهد:

RAPID DETECTION SERVICE

F-SECURE PROTECTION SERVICE FOR BUSINESS

(DEEPGUARD (PDF

Data Guard

 

  • مراقب اسپم ها و ایمیل های فیشینگ باشید. به عنوان مثال اداره پست هرگز یک سند را به عنوان یک فایل زیپ ارسال نخواهد کرد و همینطور اسناد قانونی که از شما میخواهند گزینه ی ” فعال کردن محتوا” را انتخاب کنید. کسب و کار ها باید یک سیستم فیلترینگ ایمیل مناسب استفاده کنند و macro script های فایل های دریافتی آفیس از طریق ایمیل را غیر فعال کنند و به پرسنل آموزش های مناسبی درباره فیشینگ و اسپم ارائه نمایند.
  • غیرفعال کردن MACROS در مایکروسافت آفیس. برخی از انواع باج افزار ها پیش از آنکه فایل ها را رمزگذاری کنند برای اینکه در مایکروسافت آفیس فعال شوند به ماکرو نیاز دارند. غیرفعال کردن ماکرو ها در این گونه برنامه ها موجب توقف آنها شده و مانع خراب کردن فایل ها می شود.

– برای همه ی نسخه های اپلیکیشن ها، تنظیمات Group Policy را انتخاب کرده و برای تنظیمات ماکرو، ‘Disable macros with

notification’ را انتخاب کنید. این کار مانع اجرای خودکار ماکرو ها می شود.

– در نرم افزار آفیس( ۲۰۱۳ و ۲۰۱۶) تنظیماتِ Group Policy را به مسدود کردن ماکروها در فایل های ورد و اکسل و پاور پوینتِ دریافت شده از اینترنت ویرایش کنید.

به علاوه..

در مایکروسافت ویندوز:

-دسترسی نوشتن کاربر در اشتراک گذاری های درون شبکه را محدود کنید و تنها زمانی که ضروری است به پارتیشن متصل شوید و پس از استفاده از پارتیشن جدا شوید.

– “نمایش فایل ها و فولدر ها و درایو های هیدن” را فعال کنید و ” پنهان کردن پسوند فایل های شناخته شده” را غیرفعال کنید.

– قوانینِ  Group Policy Objects را برای محدود کردن فایل های اجرایی (.exe) در %APPDATA%, %LOCAL_APPDATA% و زیرشاخه هایشان اعمال کنید  و برای فایل های شناخته شده استثنا قائل شوید.

– حساب کاربران را به حسابی بدون اختیارات و حقوق مدیری محدود کنید تا از نصب و تغییرات مخفیانه جلوگیری کنید.

– امکانِ Applocker موجود در Windows 7 and 2008 R2 را فعال کنید.

– در ویندوز ویستا و سیستم عامل های بعدی، محدودیت برنامه ها را فعال کنید.

– کنترل حساب کاربر (UAC) را به منظور جلوگیری از ‘elevation of privilege’ و آسیب پذیری های حمله به حساب کاربران، فعال کنید.

– راهکارهای ضد اسپم را به منظور فیلتر کردن ایمیل هایی با فایل های  ZIP,DOC, DOCX, XSL, XSLX, و XML و فایل های قابل اجرا تنظیم کنید.

 

شناسایی

آلودگی های باج افزاری به ندرت ناپیدا می مانند. آنچه که از یک آلودگی موضعی سخت تر است، مهار کردن یک آلودگی سراسری است.

 

 

برخلاف دیگر تهدیدات، باج افزار نه نامحسوس است و نه حیله گر. آلودگی معمولا به طور چشمگیری وجود خود را اعلام می کند. به عنوان یک برنامه ی مخرب ابتدا دسترسی به دستگاه یا فایل ها را قطع می کند، سپس درخواست باج را نمایش می دهد.

تصاویر بالا نشان دهنده ی درخواست های باجی است که بیشتر خانواده های باج افزاری نشان می دهند و به طور واضح طراحی شده اند تا موجب ترس و اخطار به کاربر باشند.

گرچه یک اقدام فوری در برخورد با دستگاه آسیب دیده لازم است، اما مساله ی مهم دیگر بررسی آن است که آیا باج افزار می تواند در دیگر دستگاه های متصل یا حافظه های اشتراکی پخش شود؛ این جایی است که باج افزار به طور بالقوه میتواند تاثیر آلودگی را بیشتر کند. برای ارزیابی کامل محدوده ی یک حادثه ی باج افزاری، سوالات زیر باید مطرح شود:

  • آیا یک سیستم نظارت بر شبکه/دستگاه در محل وجود دارد که درباره رفتار های مشکوک به مدیران هشدار دهد؟ یک سیستم نظارتی که تجزیه و تحلیل های رفتاری را برای شناسایی فعالیت های مشکوک در دستگاه و شبکه محلی استفاده می کند، می تواند مدتی زمان در اختیار مدیران سیستم قرار دهد تا آنان بتوانند آلودگی را شناسایی کنند و برای محدودسازی آن، منابع را تجهیز کنند.
  • آیا دستگاه به اینترنت یا شبکه ی محلی متصل است؟ اگر هنوز یک اتصال اینترنت فعال وجود دارد، ممکن است تهدید همچنان در حال ارسال یا دریافت داده ها به/از مهاجم باشد. اگر دستگاه هنوز به شبکه محلی متصل است، برخی از باج افزار ها می توانند بعدا روی دیگر دستگاه های متصل تاثیر بگذارند.
  • آیا دستگاه به اشتراک های شبکه یا حافظه ی ابری متصل است؟ برخی از باج افزار ها نه تنها دسترسی به فایل ها را رمزگذاری یا مسدود می کنند، بلکه بر روی اشتراک گذاری های دسترسی یا حافظه ابری هم اثر می گذارند. این مساله بعدا میتواند منجر به یک دومینو از تاثیرات شود که روی کاربران دیگر نیز که تلاش می کنند از فایل های آسیب دیده در مکان اشتراک گذاری استفاده کنند، تاثیر می گذارد.
  • آیا فایل های رمزگذاری شده با راهکارهای پشتیبانی و بک آپ همگام شده اند؟ آیا بک آپ های سالم دیگری از داده ها موجود است؟ درصورتیکه یک پروسه ی بک آپ گیری خودکار در محل وجود دارد، فایل های بک آپ ممکن است به طور غیر مستقیم تحت تاثیر قرار بگیرند و این مساله محدود کردن آلودگی و بازگرداندن اطلاعات را دشوار تر می کند.
  • تهدید چه تغییراتی در فایل ها یا دستگاه ایجاد کرده است؟ برای مثال، تهدید سعی کرده است به چه منابع و آدرس هایی متصل شود، چه مقادیری در رجیستری،پردازش ها، پارامترهای سیستم و غیره ویرایش شده اند. تجزیه تحلیل تغییرات ایجاد شده توسط تهدید به شناسایی تغییرات مشابه در دیگر دستگاه ها که ممکن است نشان دهنده ی توزیع آلودگی باشد، کمک می کند. همچنین این اطلاعات برای شناسایی و مسدود کردن حملات بعدی استفاده می شود.
  • آیا شما می توانید باج افزاری که دستگاه را آلوده کرده است شناسایی کنید؟ برخی باج افزارها را میتوان به راحتی شناسایی کرد در حالیکه برخی دیگر دارای ساختار پیچیده تر هستند. دانستن ویژگی های خانواده های باج افزارها، جستجوی آنلاین برای کسب اطلاعات درباره گزینه های راهکار شناسایی را آسان تر می کند. پروژه ی ID-Ransomware ممکن است بتواند به شناسایی باج افزارِ درگیر کمک کند.

ID-RANSOMWARE

 

پاسخ دهی

فرایند پاسخ و واکنش به یک حادثه نباید تنها شامل بازگرداندن دستگاه، فایل ها و یا شبکه باشد بلکه باید تمهیداتی با توجه به تجربیات کسب شده از حملات گذشته اتخاذ گردد.

  • بلافاصله دستگاه را از شبکه داخلی جدا کنید. با قطع اتصال دستگاه آسیب دیده تا جایی که می توانید آلودگی را محدود کنید.
  • به منظور نقص های مشابه و تهدیدات دیگر، تمام دستگاه های متصل و اشتراک گذاری ها را اسکن کنید. نه تنها دیگر دستگاه ها و استراک گذاری ها باید برای آلودگی مشابه اسکن شوند بلکه برای هرگونه تهدید دیگر که ممکن است در سوی دیگر نصب شده باشد باید آنها را جستجو کرد.
  • در صورت امکان، دستگاه را فرمت کرده و دوباره نصب کنید. برای کمپانی های بزرگتر، پاک کردن همه چیز و از نو شروع کردن ممکن است مفید تر باشد. به علاوه برای برخی از خانواده های مشخصی از باج افزار ها، ابزار حذف موجود است.
  • داده ها را از طریق بک آپ ها دوباره بازگردانید. در صورت موجود بودن و سالم بودن، داده های آسیب دیده را می توان از طریق فایل های بک آپ بازگرداند. ممکن است بازگرداندن فایل ها در شبکه های اشتراک گذاری یا حافظه ی ابری در ابتدا، برای حفظ تداوم و بهره وری دیگر کاربران مفید تر باشد.
  • از یافته های پاسخ دهی به منظور بررسی مجدد سطح حمله استفاده کنید. طبق نتایج به دست آمده از بررسی حادثه، تمام اقدامات و سیستم های ایمنی را آپدیت کنید.
  • حادثه را به مقامات قضایی قانونی گزارش دهید. هر کشور به طور متفاوتی حادثه های الکترونیکی را مدیریت می کند اما به طور کلی اکثر سازمان های قضایی جهانی از شرکت ها می خواهند که حادثه را گزارش کنند و از پرداخت باج بپرهیزند.

حذف کردن باج افزار

ابزار حذف باج افزار:

در اکثر موارد، ابزار حذف رایگان اف سکیور قادر است باج افزار های police-themed را حذف کند و دسترسی عادی به سیستم و فایل ها را بازگرداند. برای اطلاعات بیشتر در مورد این ابزار به اینجا بروید: ONLINE SCANNER

ابزار حذف انواع خاص باج افزار :

حذف باج افزار های Crypto-ransomware به مراتب سخت تر است. در اغلب موارد راه آسان تر این است که دستگاه آلوده را به کلی پاک کرده و سیستم عامل را دوباره نصب و سپس داده ها را از طریق بک آپ های سالم برگردانیم.

برای برخی خانواده های مشخصِ باج افزارِ crypto، محققان امنیتی موفق شده اند از طریق سرور مهاجمان، کلیدهای رمزگشایی بیایند و از آنها برای ایجاد ابزار های حذف استفاده کنند. این ابزارها میتوانند محتوای فایل های رمزگذاری شده را با این کلید ها بازگردانند. استفاده از این ابزار ها به سطحی از دانش تکنیکی نیازمند است. این ابزار ها فقط برای خانواده ی مشخصی از باج افزار ها مفید است و گاهی تنها برای تهدیدات توزیع شده از روش های خاص تاثیر گذار هستند. برای اطلاعات بیشتر درباره این ابزارهااز پروژه ی   No More Ransom!دیدن کنید: NOMORERANSOM.ORG

حذف دستی باج افزار :

برای دستورالعمل های حذف دستی آلودگی از گونه های Trojan:W32/Reveton و Trojan:W32/Urausy به شرح  Trojan:W32/Revetonنگاه کنید.

احتیاط: حذف دستی، یک فرایند خطرناک است و فقط برای کاربران پیشرفته توصیه می شود، در غیر این صورت به دنبال کمک فنی یک متخصص باشید.

درباره پروژه ی No More Ransom:

این ابتکار از طریق National High Tech Crime Unit پلیس هلند و مرکز جرم های سایبری اروپا و محققان امنیتی این هدف را دارد که به قربانیان باج افزار ها کمک کند تا اطلاعات رمزگذاری شده خود را بدون نیاز به پرداخت باج به مهاجمان، بازگردانی کنند.

 

مرتبط : بانک ابزار رمزگشایی باج افزار – اطلاعات خود را رایگان بازگردانید

تهیه شده در تیم امنیت اطلاعات سایسک

منبع : F-Secure 

منبع : BBC

منبع : TechNet

منبع : FBI


همه چیز در مورد باج افزار – پیش بینی، پیشگیری، شناسایی و پاسخ


 

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *