راهکار های مقابله با باج افزاران

راهکار های مقابله با باج افزاران

 مطمئنا نام باج افزاران تاکنون به گوشتان خورده است. بد افزار های مخربی که شامل اکسپلویت های آلوده هستند و فایل های سیستمتان را قفل میکنند. و از شما میخواهند در قبال بازگشت فایل های حیاتی خود به آنان باج بدهید. باید گفت که تقریبا غیر از داشتن بکاپ هیچ راه بازگشتی از این مخرب وجود ندارد. اما تا حد بسیاری میتوان از آن پیشگیری کرد. موارد پیشگیری از دچار نشدن به آلودگی توسط باج افزاران را میتوانید در ذیل مشاهده کنید:

  • - تهیه آنتی ویروس امنیتی ایده آل
     
  • یک راهکار و آنتی ویروس امنیتی ایده آل میتواند کمک بسیار زیادی در امنیت مجموعه شما بکند. آنتی ویروس بیت دیفندر در زمینه ی بیت دیفندر سازمانی و بیت دیفندر خانگی امکان برقراری امنیت و مدیریت سیستم را نیز دارد. شما میتوانید علاوه بر بهره بردن از ماژول های امنیتی ضد باج افزار و هوش مصنوعی بیت دیفندر، از امکانات مدیریتی همچون کنترل پویش های مرورگر، کنترل سخت افزار، کنترل محتوا و مدیریت نرم افزار ها و اینترنت را برعهده دارد.

  • - از ذخیره و داشتن بکاپ ممتد اطمینان حاصل فرمایید

بکاپ نقشی فوق حیاتی در حملات باج افزار را ایفا میکند و میتوان گفت شاید تنها راه بازگشت و جبران خسارات وارده توسط باج افزاران باشد. متاسفانه صرفا اضافه کردن یک هارد درایو به سیستم و هر از چندگاهی بکاپ گرفتن کافی نمیباشد. چرا که باج افزار تمامی درایو های یک سیستم را مورد هدف قرار میدهد که شامل درایو های اشتراک گذاری شده میباشد. این بدین معناست فایل های بکاپ در حافظه های لوکال و شبکه نیز میتوانند رمزگذاری شوند.

  • - نصب و راه اندازی آخرین آپدیت ها و به روز رسانی های ویندوز

بسیاری از آلودگی های باج افزار از طریق اسکریپت هایی به نام اکسپلویت که نقص های سیستم عامل را هدف گذاری میکنند وارد میشوند. اگر اطلاعیه ای از سیستم عاملتان جهت به روز رسانی ویندوز دریافت کردید، بدون معطلی آنان را نصب کنید. بسیاری از این به روز رسانی ها مانع از اجرای فایل های مخرب بر روی سیستم شما میشوند و نقص ها را میپوشانند. 

  • - تمامی نرم افزار ها، مرورگر های متفرقه در سیستم میبایست به روز رسانی شده باشند.

درست همانند نقص های سیستم عامل، اکسپلویت های آلوده نرم افزار های متفرقه بر روی سیستم همچون Java, adobe flash player , adobe reader و دیگر نرم افزار را نیز هدف قرار میدهد. درنتیجه بسیار مهم است که این نرم افزار ها نیز به روز رسانی شده باشند.

  • - فایل های ضمیمه شده دریافتی را پیش از تایید کامل باز نکنید

یکی از معمول ترین و رایج ترین متد های باج افزار از طریق هرزنامه ها میباشد که وانمود به اعلامیه هایی چون، رزومه کاری، قبض، بلیط از آژانس های دولتی هستند. به هیچ عنوان به محتوای ضمیمه شده این ایمیل ها اعتماد نکنید و آن ها را دانلود نکنید.
اگر در سازمان فعالیت دارید میتوانید اقدام به تهیه ی میل سرور برای مجموعه خود داشته باشید تا به صورت سازماندهی شده هرزنامه ها فیلتر شوند.

  • - ویندوز powershell را غیرفعال کنید (اختیاری)

درست همانند اسکریپت های ویندوز، ویندوز پاورشل توسط باج افزاران جهت راه اندازی اکسپلویت های آلوده استفاده میشود. شما میتوانید در صورت استفاده نکردن از پاورشل ویندوز این گزینه را با فرمان زیر غیرفعال نمایید:

powershell Set-ExecutionPolicy -ExecutionPolicy Restricted

اگر این روند به درستی انجام شده باشد، پیغامی مبنی بر غیرفعال شدن پاورشل دریافت میکنید.
غیرفعال کردن پاورشل میتواند در عملکرد برخی برنامه ها مشکل ایجاد کند. اگر غیرفعال کردن پاورشل را ضروری میدانید، میتوانید سطح اجرای سیاست های پاورشل را در سطح دیگری تنظیم کنید.

  • - از گذرواژه های مستحکم استفاده نمایید.

مطمئن شوید که از گذرواژه های قوی برای محافظت از سیستم خود جهت ممانعت از دسترسی های غیر مجاز استفاده میکنید. هدف سخت تر کردن شرایط برای مهاجمین و هکران میباشد. این مسئله از این جهت حائز اهمیت است که برخی هکران از طریق لاگین شدن از طریق دسترسی های ریموت که با گذرواژه های ضعیف تنظیم شده اند اقدام به نصب باج افزار میکنند.

  • - اگر به دسترسی ریموت نیازی ندارید، آن را غیرفعال کنید، در غیر این صورت پورت آن را تغییر دهید.

اگر از دسترسی ریموت دسکتاپ استفاده نمیکنید، پس به طور حتم آن را غیرفعال کنید. اگر از آن استفاده میکنید پس میبایست پورت آن را به پورتی دیگر غیر از پورت پیش فرض آن 3389 تغییر دهید. برای چگونگی تغییر پورت کلیک کنید.
اکثر مهاجمین بر روی بستر پورت TCP میتوانند پورت سیستم را از راه دور اسکن کنند. با تغییر پورت، سیستم خود را نسبت به این ابزار ها نامرئی کنید.

  • - یک سیاست فهرست مجاز نرم افزار (Application White List) در ویندوز تعریف کنید

این پیشگیری نیز کمی نیاز به زمان جهت راه اندازی دارد. سیاست فهرست مجاز زمانیست که شما ویندوز را پیکربندی میکنید که تنها نرم افزار هایی که شما تعریف میکنید اجرا شوند. این مسئله باعث میشود که سیستم شما به صورت کامل از اجرای خواسته یا ناخواسته نرم افزار های غیر مجاز مصون باشد. تنها مشکل راه اندازی این ساختار در ویندوز هاست که کمی زمان بر میباشد. برای کسانی که علاقه مند هستند به اینجا  میتوانند مراجع نمایید.

  • Vssadmin در ویندوز را تغییر نام دهید.

درایور های Shadow Volume Copies توسط ویندوز به صورت خودکار برای ذخیره ی بکاپ ها استفاده میشود این بکاپ ها میتوانند زمانی که اطلاعات تغییر یافتند یا پاک شده اند بازیابی شوند.

بسیاری از باج گیران این مسئله را میدانند، پس بسیاری از آلودگی های باج افزار فرمان Vssadmin.exe را اجرا میکنند تا تمامی درایور های Shadow Volume Copies بر روی سیستم پاک شوند تا امکان بازگردانی فایل های رمزگشایی شده وجود نداشته باشد. اگر نرم افزار هایی دارید که به فایل vssadmin.exe متکی هستند، میبایست این بخش را مطالعه کنید تا بدون تاثیر بر کارکرد دیگر نرم افزار ها، فایل را تغییر نام دهید.

  • - پورت SMB و دسترسی های آن

پورت های SMB یکی دیگر از رخنه های ورود آلودگی میباشند. بستن برخی پورت ها و ایجاد محدودیت بر آنان نیز باعث بالا بردن امنیت میشود

  • - کرک و پچ نرم افزار های متفرقه

گاهی پچ های نرم افزاری و فایل های کرک میتوانند حاوی اسکریپت آلوده باشند. بنا بر این در دریافت این فایل ها دقت به عمل آورید.

  • - برقراری فایروال (دیواره آتش)

دیواره ی آتش سخت افزاری در مجموعه و ایجاد محدودیت بر روی پورت ها نیز راهی دیگر برای برقراری امنیت در مجموعه است و از ورود مخرب های آلوده نیز جلوگیری میکند.

  • - دسترسی سرور به اینترنت را محدود یا قطع کنید

به صورت معمول سرور های حساس سازمان با حملات و اتک های بسیاری به نسبت ویندوز کلاینت ها مواجه هستند. محدود سازی پورت و یا قطع دسترسی اینترنت بر روی سرور ها نیز میتواند یک راه پیشگیری از آلودگی نسبت به مخرب ها و باج افزار ها باشد.

  • - قابلیت Shadow Copy

Shadow Copy یک تکنولوژی مربوط به ویندوز های مایکروسافت میباشد که قادر است به صورت خودکار و یا دستی اقدام به گرفتن فایل کپی، بکاپ و یا اسنپ شات از فایل های سیستم و درایور ها میکند. حتی برای زمانی که آنان در حال استفاده باشند. شما میتوانید فایل Shadow Explorer و چگونگی عملکرد آن را از این جا ببینید.