Filecoder چیست؟ نحوه محافظت از بدافزار Filecoder

محافظت در برابر باج افزار ها یا بدافزارهای Filecoder

این مقاله شامل بهترین روشها برای کمک به پیکربندی سیستم شما در برابر محافظت از باج افزار است

Ransomware بدافزار است که می تواند وسیله ای را قفل کرده یا محتویات آن را رمزگذاری کند تا در ازای بازگرداندن دسترسی به آن منابع ، از صاحب پول بدست آورد. این نوع بدافزار همچنین می تواند یک تایمر داخلی با مهلت پرداخت داشته باشد که باید رعایت شود ، در غیر این صورت قیمت باز کردن قفل داده و سخت افزار رشد خواهد کرد - یا در نهایت اطلاعات و دستگاه به صورت دائم غیرقابل دسترسی خواهد بود.

Filecoder نام ابتکاری است که تهدیدات بدافزاری "خرید Eset " را که توسط اسکنرهای آن یافت می شود برچسب گذاری می کند. این تهدیدات مخرب مضر هستند و می توانند به دستگاهی که آلوده می کنند آسیب برسانند. آنتی ویروس ESET ممکن است به شما هشدار داده باشد که Filecoder در دستگاه شما وجود دارد زیرا ممکن است ویروس مذکور را در حین اسکن دریافت کرده باشد. این هشدارها در مورد شناسایی ها را نباید نادیده گرفت زیرا نشان می دهد که دستگاه شما ضعیف است و در برابر حمله مجرمان سایبری باز است. هنگامی که نرم افزار ضد بدافزار شما این نوع تهدیدات را در دستگاه شما شناسایی کرد، باید اقدام مناسب را انجام دهید. مهم است که از شر هر چیزی خلاص شوید قبل از اینکه به رایانه آسیب زیادی وارد کند.

این فایل‌های خطرناک اغلب از طریق کلیک بر روی پیوندهای موجود در ایمیل‌ها، بازدید از وب‌سایت‌های در معرض خطر یا دریافت هرزنامه به دست می‌آیند. Filecoder پس از نصب بر روی سیستم کامپیوتری، از طریق فایل های سیستم ویندوز در رایانه شما شروع به انتشار می کند. هنگامی که روی سیستم نصب شدند، ممکن است هکرها بتوانند به تمام داده های رایانه شما دسترسی داشته باشند و حتی کنترل آن را در دست بگیرند. ویروس هایی مانند این نباید برای مدت طولانی روی رایانه باقی بمانند زیرا ممکن است باعث آسیب دائمی شوند. آنتی ویروس ESET ممکن است به شما در مورد این تهدید هشدار دهد تا زمانی که اقدامی در مورد آن انجام ندهید.

به احتمال زیاد کاربرانی که بدافزار Filecoder را بر روی دستگاه های خود نصب کرده اند، با مشکلات زیر مواجه می شوند.

● مشکلات ناگهانی با برنامه ها و اینترنت.

● هنگ یا تاخیر در عملکرد دستگاه.

● در دسترسی یا باز کردن فایل ها مشکل دارید.

● تبلیغات پاپ آپ غیر معمول هنگام گشت و گذار یا وبگردی.

● گرمای بیش از حد و استفاده از CPU از برنامه های ناشناخته.

این نوع اکتشافات به ویژه خطرناک هستند، زیرا می توان از آنها برای سرقت اطلاعات بانکی، رمزهای عبور حریم خصوصی و سایر داده ها از افراد ناآگاه استفاده کرد و از آن برای حمله آنلاین به آنها استفاده کرد.

اگر در معرض این ویروس قرار گرفته باشید، باید از شر آن خلاص شوید. از آنجایی که آنتی ویروس ESET برنامه ای است که به طور خاص بدافزار را در رایانه شخصی شما شناسایی می کند. برنامه آنتی ویروس خودشان باید برای از بین بردن تهدید ناشی از Filecoder کافی باشند. قبل از تلاش برای حذف ویروس، بهتر است ابزار ضد بدافزار را در safe mode اجرا کنید زیرا ممکن است برنامه های دیگری در حال اجرا باشند که از حذف تهدید جلوگیری کنند، مگر اینکه شرایط خاصی مانع از انجام این کار برنامه شود.

نسخه های فعلی محصولات Eset از چندین لایه فن آوری برای محافظت از رایانه در برابر باج افزار استفاده می کنند. نمونه هایی از این فن آوری ها عبارتند از Advanced Memory Scanner، سیستم اعتبار معروف ESET LiveGrid و Exploit Blocker. علاوه بر این ، جدیدترین محصولات ESET یک ماژول تقویت شده در برابر حفاظت Botnet را فراهم می کند که ارتباط بین سرور نرم افزارها و سرورهای Command and Control (C&C) را مسدود می کند .

جلوگیری از Filecoder با فعال کردن ESET LiveGrid

سیستم محافظت از بدافزار ESET Cloud مبتنی بر " فعال سازی ESET LiveGrid " است. این برنامه برای برنامه های ناشناخته و بالقوه مخرب نظارت می کند و نمونه های آن را به ماسهبازی اتوماتیک و تجزیه و تحلیل رفتاری می اندازد. ESET LiveGrid&reg یک سیستم پیشگیری است که اطلاعات مربوط به تهدیدات کاربران ESET در سراسر جهان را جمع آوری می کند. پایگاه داده ESET LiveGrid&reg شامل اطلاعات در مورد تهدیدات احتمالی است. هنگامی که فعال است ، ESET LiveGrid&reg می تواند تهدیدهای تازه معرفی شده را شناسایی و مسدود کند. این امر را به روشی موثر برای دفاع در برابر تهدیدهای در حال تغییر سریع مانند انواع جدید باج افزارها (به عنوان مثال Cryptolocker ، Crypto wall و غیره) تبدیل می کند.

اطمینان حاصل کنید که ESET LiveGrid در محصول ESET شما فعال و کار می کند .

اطمینان حاصل کنید که "درایوهای شبکه" در حفاظت از سیستم فایل Real-Time انتخاب شده است

با فعال کردن حفاظت از درایو شبکه ، اسکنر زمان واقعی ESET قادر به شناسایی در یک ایستگاه کاری آلوده می باشد و از رمزگذاری درایور جلوگیری می کند .

انواع جدیدی از باج افزارهای موجود به طور مکرر منتشر می شوند، بنابراین مهم است که مرتباً به روزرسانی های پایگاه داده ویروس را دریافت می کنید (محصول ESET شما هر ساعت به روزرسانی را بررسی می کند مشروط بر اینکه مجوز معتبر و اتصال به اینترنت کار داشته باشید).

کنترل حساب کاربری (UAC) را غیرفعال نکنید

UAC هدف خاصی را دنبال می کند و غیرفعال کردن UAC در ویندوز مستحق تجدید نظر جدی است. فقط به این دلیل که یک درخواست UAC ویندوز به وجود می آید به این معنی نیست که نتیجه یک اقدام غیرمجاز است. گاهی اوقات، کاربران شما نیاز به انجام فعالیت های مجاز مانند نصب برنامه های مورد تایید شرکت یا یکپارچه سازی و بهینه سازی درایوها دارند. به عنوان مثال، خطر حملات را کاهش می دهد. بدافزارها اغلب از این واقعیت استفاده می کنند که برنامه ها می توانند با ویندوز و با یکدیگر ارتباط برقرار کنند. نرم افزار سازگار با UAC به جداسازی امتیازات فرآیندها کمک می کند و در نتیجه خطر به خطر افتادن سایر بخش های سیستم را کاهش می دهد. در حال حاضر، بسیاری از برنامه های کاربردی سازگار با UAC در دسترس نیستند.

غیرفعال کردن ماکروها در Microsoft Office از طریق Group Policy

پیکربندی‌ها می‌توانند به مسدود کردن خودکار اجرای ماکروها کمک کنند. پس از ارزیابی محیط خود و آزمایش مناسب، از Group Policy برای مسدود کردن یا غیرفعال کردن اجرای ماکروها در Microsoft Word، Excel و PowerPoint استفاده کنید. از جمله فایل های دانلود شده از اینترنت و فایل هایی که امضای دیجیتالی ندارند. این تنظیم به شما امکان می‌دهد اجرای ماکروها را مسدود کنید، حتی اگر «فعال کردن همه ماکروها» در تنظیمات ماکرو انتخاب شده باشد. علاوه بر این، امضای دیجیتال به عنوان روشی برای تأیید اعتبار ارسال کننده سند عمل می کند و از فعال کردن تصادفی ماکروها بر روی یک سند حاوی یک بار مخرب جلوگیری می کند.

لطفاً برای مراحل دقیق در مورد غیرفعال کردن سراسری ماکروها به زیر مراجعه کنید.

برای غیرفعال کردن ماکروهای Microsoft Office از طریق Active Directory / Domain Controller

فایل‌های قالب آفیس (ADMX/ADML) و ابزار سفارشی‌سازی آفیس را روی کنترل‌کننده دامنه Active Directory نصب کنید

1- پس از اتمام نصب روی Start Menu > Control Panel > System and Security > Administrative Tools کلیک کنید.

2- کنسول Group Policy Management را باز کنید.

3- روی شیء Group Policy که می خواهید پیکربندی شود کلیک راست کرده و روی Edit کلیک کنید.

4- در ویرایشگر مدیریت سیاست گروه، به User Configuration بروید.

5- روی Administrative templates > Microsoft Word 2016 > Word options > Security Trust Center کلیک کنید.

6- برای پیکربندی و فعال کردن آن Block macros from running in Office files from the Internet باز کنید.

7- یا اگر ماکروها در محیط شما مورد نیاز است، Disable all macros except digitally signed macros را باز کنید.

برای اطلاعات بیشتر لطفاً از صفحه وب مایکروسافت در مورد مسدود کردن ماکروها و فعال یا غیرفعال کردن ماکروها دیدن کنید.

سیستم خود را به روز نگه دارید

برای اطمینان از بهترین محافظت در دسترس ، سیستم عامل "خرید ویندوز 11" و برنامه های خود را به روز کنید. آخرین به روزرسانی های دارای اولویت بالا را که در ابزار Windows Update ارائه شده است ، نصب کنید و مرتباً بررسی کنید یا ویژگی Automatic Updates را فعال کنید. به روزرسانی های امنیتی جدید ، آسیب پذیری های سیستم را تکه تکه می کند و خطر حمله بدافزار را کاهش می دهد .

مایکروسافت تکه هایی برای سیستم عامل های فعلی ویندوز و همچنین ویندوز Automatic Updates برای کاهش آسیب پذیری مهم منتشر کرده است. به بولتن امنیت مایکروسافت MS17-010 مراجعه کنید - برای دستورالعمل های اعمال این به روزرسانی های مهم .

پورت ها / خدمات بالقوه ای که می توانند در صورت باز بودن مورد سوء استفاده قرار بگیرند. برای جلوگیری از انجام یک آدرس IP ناشناخته از حملات موفق Brute Force ، توصیه می کنیم SMB ، SQL ، RDP را قفل کنید. SMB درگاههای به اشتراک گذاری پرونده 135-139و 445 را ببندید. پورتهای نباید در معرض اینترنت قرار گیرند.

SQL آدرس های IP معتبر لیست سفید مجاز به اتصال به SQL هستند RDP با بستن RDP به اتصالات خارجی ، حملات RDP Brute Force را متوقف کنید. برای اتصال به شبکه داخلی از یک VPN با تأیید هویت Two Factor استفاده کنید.

پروتکل دسک تاپ از راه دور بهترین روش ها در برابر حملات است

بدافزارهای مبتنی بر رمزگذاری اغلب با استفاده از ابزار Remote Desktop Protector (RDP) که در ویندوز یکپارچه شده است به دستگاههای هدف دسترسی پیدا می کنند. RDP به دیگران اجازه می دهد تا از راه دور به سیستم شما متصل شوند ، بنابراین مهاجم می تواند از RDP سوء استفاده کند تا محافظت را از بین ببرد و سپس بدافزار را مستقر کند.

با استفاده از پاک کننده ESET Filecoder.AE آلودگی Filecoder.AE را تمیز کنید

●محصول ESET شما ویروس Win32/Filecoder.AE را شناسایی کرده است

● انواع خاصی از فایل های خود را با استفاده از ابزار decoder.exe رمزگشایی کنید

● فایل های شخصی شما رمزگذاری شده اند

برای اجرای رمزگشا، باید به صورت دستی دو فایل (config.cfg و account.cfg) را که به عنوان عارضه جانبی این بدافزار ایجاد شده اند، پیدا کنید.

1. ابزار رمزگشا را دانلود کنید و فایل را در دسکتاپ خود ذخیره کنید.

ESETFilecoderAEcleaner.zip

2. فایل را از حالت فشرده خارج کرده و decoder.exe را در دسکتاپ خود کپی کنید.

3. اطمینان حاصل کنید که config.cfg و account.cfg را در دسکتاپ خود کپی کرده اید.

4. یک پوشه جدید روی دسکتاپ خود ایجاد کنید و نام آن را رمزگذاری کنید. فایل های رمزگذاری شده ای را که می خواهید رمزگشایی کنید در این پوشه کپی کنید (انتقال نکنید).

5. روی Start → All Programs → Accessories کلیک کنید، روی Command prompt راست کلیک کرده و سپس Run as administrator را از منوی زمینه انتخاب کنید.

6. کاربران ویندوز 8 / 8.1 / 10: کلید Windows + Q را برای جستجوی برنامه ها فشار دهید، Command prompt را در قسمت Search تایپ کنید، روی Command prompt راست کلیک کنید و سپس Run as administrator را از منوی زمینه انتخاب کنید.

7. دستور cd %userprofile%\Desktop را تایپ کنید (نام کاربری خود را جایگزین «userprofile» نکنید، دستور را دقیقاً مطابق شکل تایپ کنید) و سپس Enter را فشار دهید.

8. Decoder.exe Encrypted را تایپ کنید و Enter را فشار دهید تا درایو پوشه اسکن شود.

9. هنگامی که پیام "Decoding 100%" یا "Done" نمایش داده شد، ابزار رمزگشا با موفقیت اجرا شد.

اگر نیاز به عیب یابی اجرای پاک کننده دارید، decoder_log.txt را روی دسکتاپ خود باز کنید.

اگر رمزگشایی موفقیت آمیز بود، decoder.exe C: را تایپ کنید تا همه فایل های آلوده در درایو C خود را رمزگشایی کنید. برای اسکن یک مکان دیگر، مسیر مربوطه را جایگزین C: کنید.