اقدامات امنیتی جهت پیشگیری از آلوده شدن به باج افزار

اقدامات امنیتی جهت پیشگیری از آلوده شدن به باج افزار

باج افزاران یک نوع از بد افزار میباشند که دسترسی به بخشی از سیستم را میبندد. باج افزار با اجرای یک فایل یا اکسپلویت آلوده بر اثر داشتن رخنه های امنیتی در ویندوز و نداشتن راهکار امنیتی مناسب موجب رمزنگاری تمامی فایل های مهم و مورد نیاز کاربر میشود و باج گیران از شما درخواست پول به ارزش بیت کوین را خواهند داشت تا فایل های شما را رمزگشایی کنند. چندی از مثال های بارز این آلودگی نام های معروفی چون Crypto Locker, Cryptowall, WannaCry و Petya میباشند گرچه اکنون روزانه باج افزاران بسیاری با کلید های رمزنگاری پیچیده ساخته میشوند و این آمار ساعت به ساعت در حال افزایش است.

باج افزاران یک نوع از بد افزار میباشند که دسترسی به بخشی از سیستم را میبندد. باج افزار با اجرای یک فایل یا اکسپلویت آلوده بر اثر داشتن رخنه های امنیتی در ویندوز و نداشتن راهکار امنیتی مناسب موجب رمزنگاری تمامی فایل های مهم و مورد نیاز کاربر میشود و باج گیران از شما درخواست پول به ارزش بیت کوین را خواهند داشت تا فایل های شما را رمزگشایی کنند. چندی از مثال های بارز این آلودگی نام های معروفی چون Crypto Locker, Cryptowall, WannaCry و Petya میباشند گرچه اکنون روزانه باج افزاران بسیاری با کلید های رمزنگاری پیچیده ساخته میشوند و این آمار ساعت به ساعت در حال افزایش است.

معمولا، در صورت رمزنگاری باج افزار، فایل های شخصی با استفاده از یک کلید امنیتی خاص که فقط با آن سیستم یکسان میباشد کدگذاری میشوند. درحالی که کلید عمومی بر روی سیستم آلوده کپی میشود، کلید خصوصی این باج افزار تهدید به حذف میشود و هیچگونه راهی را برای رمزگشایی فایل های کد شده باقی نمیگذارد.

یکی از مرسوم ترین راه های آلودگی طبق روش های حملات تحت درایوری انجام میشود که از طریق وب سایت های تبلیغاتی آلوده و همچنین نرم افزار های آلوده میباشد.

       بخاطر داشته باشید آنتی ویروس به تنهایی نمیتواند به طور 100 درصد از سیستم در برابر حملات و تهدیدات محافظت کند و رعایت موارد و راهکار های زیر جهت افزایش امنیت شبکه بسیار ضروری میباشد.

  1. با اینکه متد آلوده سازی هر مدل از باج افزار با دیگری تا حدی متفاوت است ولی اکثر باج افزاران 90 درصد مواقع از طریق اسپم آلوده انتقال پیدا می کنند. به عبارتی دیگر فایل های ضمیمه ی بسیاری از طریق ایمیل منتقل میشوند و ممکن است کاربر به صورت ناخواسته این فایل ها را اجرا کند.
     
  2. دسترسی ریموت باز بر روی سیستم ها یا سرور های مجموعه در صورتی که سروری آی پی valid داشته باشد یا دسترسی آن محدود نشده باشد منجر به آلوده شدن توسطباج افزار میشود.
     
  3. درایور های شیر شده در مجموعه میبایست تنها قابلیت Read داشته باشند چرا که این درایور ها محلی برای پخش آلودگی در شبکه و سیستم ها هستند.
     
  4. حتما از آخرین آپدیت ها و به روز رسانی تمامی سرور ها و سیستم ها اطمینان حاصل فرمایید. اکثر باج افزاران از رخنه ها و حفره های مربوط به فایل های سیستمی ویندوز ها انتقال پیدا میکنند و زمانی که ویندوز وصله های امنیتی را داشته باشد امکان بروز این اتفاق به حداقل میرسد. در لینک زیر میتوانید آپدیت های امنیتی مربوط به برخی پورت ها و پروتکل های ویندوز همچون SMB ( که اکثر باج افزاران از آن طریق وارد میشوند) را مشاهده کنید و مطابق با نوع سیستم عامل آن را به روز رسانی نمایید. همچنین به روز رسانی کلی فایل های سیستمی ویندوز نیز الزامی است. 
  1. از نصب آنتی ویروس و آپدیت بودن آن در تمامی سیستم ها و سرور های مجموعه اطمینان حاصل فرمایید.
     
  2. حتما از داشتن بکاپ از سرور ها اطمینان حاصل فرمایید. داشتن بکاپ به عنوان یکی از مهمترین موارد پیشگیری در خصوص باج افزاران به حساب می آید. سرورهای بک آپ را از دیگر سرورها جدا کنید و از اتصال از راه دور درایوها در سرورهای پشتیبان ( بک آپ) خودداری کنید. بکاپ میبایست به صورت روزانه و هفتگی انجام شود و بکاپ هفتگی به یک فضای خارجی امن همچون فضای ابری مطمئن و امن انتقال دهید.
     
  3. از فعال بودن دسترسی UAC در بالاترین حد ممکن بر روی سرور های خود مطمئن شوید. چرا که هرگونه فایل اجرایی قبل از اجرا از این طریق کاربر را مطلع میکند. در صورتی که فایل مجاز و قابل شناسایی نبود به هیچ عنوان تایید نکنید.
     
  4. دسترسی سرویس SMB را محدود کنید چرا که اکثر باج افزاران که الگویی شبیه به ساختار واناکرای دارند از یک نقص و آسیب پذیری پورت SMB ویندوز انتقال پیدا میکنند. در بستر TCP پورت های 445 و 139 را محدود کنید چرا که یکی از روش های انتقال آلودگی میباشد. اگرچه پورت 445 در برخی سازمان ها برای شیرینگ و پرینتر استفاده میشود ولیکن بررسی لازم را حتما به عمل آورید.
     
  5. اقدام به بروز رسانی نرم افزار های ویندوز داشته باشید چرا که به دلیل آپدیت نبودن نرم افزار های ویندوز امکان آلوده شدن نیز وجود دارد. یکی از راه های سریع و استاندارد راه اندازی سرویس wsus در سازمان میباشد تا به صورت یکپارچه این اقدام انجام شود.
     
  6.  فعالسازی سیاست های محدود سازی نرم افزار. دسترسی های ادمین سیستم نیاز به اعمال موارد گروپ پالیسی در رجیستری دارند تا دسترسی اجرایی از مکان های خاص سلب شوند. این امکان زمانی میسر است که شما نسخه ی ویندوز سرور و یا Professional استفاده میکنید. گزینه یSoftware Restriction Policies میتواند در بخش Local Security Policy یافت شود. بعد از کلیک بر روی گزینه یnew software restriction Policies در قسمت Additional Rules، مسیر فرمان ها میبایست با سطح دسترسی Disallowed استفاده شود:

 

 
   

مسیر های زیر، دایرکتوری های رایجی هستند که باج افزاران، اکسپلویت آلوده ی خود را در آن اجرا میکنند و بهتر است محدودیت ها در این مسیر ها اعمال شوند:

      - "%username%\\Appdata\\Roaming\\*.exe"
      - "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
      - C:\\\*.exe"
      - "%temp%\\*.exe"
      - "%userprofile%\\Start Menu\\Programs\\Startup\\*.exe”
      - "%userprofile%\\*.exe”
      - "%username%\\Appdata\\*.exe”
      - "%username%\\Appdata\\Local\\*.exe”
      - "%username%\\Application Data\\*.exe”
      - "%username%\\Application Data\\Microsoft\\*.exe”
      - "%username%\\Local Settings\\Application Data\\*.exe”

 

تهیه شده توسط تیم پشتیبانی فنی پانا