چگونگی محافظت از باج افزار یا بد افزار Filecoder (ransomware)

 

 

محافظت در برابر باج افزار ها یا بدافزارهای Filecoder (ransomware)

 

 

 

با درود به کاربران و بازدید کنندگان عزیز سایت تخصصی نادمارکت

 

 

---

 

 

 

 

 

این مقاله شامل بهترین روشها برای کمک به پیکربندی سیستم شما در برابر محافظت از باج افزار است

 

 

Ransomware بدافزار است که می تواند وسیله ای را قفل کرده یا محتویات آن را رمزگذاری کند تا در ازای بازگرداندن دسترسی به آن منابع ، از صاحب پول بدست آورد. این نوع بدافزار همچنین می تواند یک تایمر داخلی با مهلت پرداخت داشته باشد که باید رعایت شود ، در غیر این صورت قیمت باز کردن قفل داده و سخت افزار رشد خواهد کرد - یا در نهایت اطلاعات و دستگاه به صورت دائم غیرقابل دسترسی خواهد بود .

 

Filecoder نام ابتکاری آنتی ویروس ESET است که تهدیدات بدافزاری را که توسط اسکنرهای آن یافت می شود برچسب گذاری می کند. این تهدیدات مخرب مضر هستند و می توانند به دستگاهی که آلوده می کنند آسیب برسانند. آنتی ویروس ESET ممکن است به شما هشدار داده باشد که Filecoder در دستگاه شما وجود دارد زیرا ممکن است ویروس مذکور را در حین اسکن دریافت کرده باشد. این هشدارها در مورد شناسایی ها را نباید نادیده گرفت زیرا نشان می دهد که دستگاه شما ضعیف است و در برابر حمله مجرمان سایبری باز است. هنگامی که نرم افزار ضد بدافزار شما این نوع تهدیدات را در دستگاه شما شناسایی کرد، باید اقدام مناسب را انجام دهید. مهم است که از شر هر چیزی خلاص شوید قبل از اینکه به رایانه آسیب زیادی وارد کند.

 

این فایل‌های خطرناک اغلب از طریق کلیک بر روی پیوندهای موجود در ایمیل‌ها، بازدید از وب‌سایت‌های در معرض خطر یا دریافت هرزنامه به دست می‌آیند. Filecoder پس از نصب بر روی سیستم کامپیوتری، از طریق فایل های سیستم ویندوز در رایانه شما شروع به انتشار می کند. هنگامی که روی سیستم نصب شدند، ممکن است هکرها بتوانند به تمام داده های رایانه شما دسترسی داشته باشند و حتی کنترل آن را در دست بگیرند. ویروس هایی مانند این نباید برای مدت طولانی روی رایانه باقی بمانند زیرا ممکن است باعث آسیب دائمی شوند. آنتی ویروس ESET ممکن است به شما در مورد این تهدید هشدار دهد تا زمانی که اقدامی در مورد آن انجام ندهید.

 

به احتمال زیاد کاربرانی که بدافزار Filecoder را بر روی دستگاه های خود نصب کرده اند، با مشکلات زیر مواجه می شوند.

 

● مشکلات ناگهانی با برنامه ها و اینترنت.

● هنگ یا تاخیر در عملکرد دستگاه.

● در دسترسی یا باز کردن فایل ها مشکل دارید.

● تبلیغات پاپ آپ غیر معمول هنگام گشت و گذار یا وبگردی.

● گرمای بیش از حد و استفاده از CPU از برنامه های ناشناخته.

 

این نوع اکتشافات به ویژه خطرناک هستند، زیرا می توان از آنها برای سرقت اطلاعات بانکی، رمزهای عبور حریم خصوصی و سایر داده ها از افراد ناآگاه استفاده کرد و از آن برای حمله آنلاین به آنها استفاده کرد.

 

 

 

 

اگر در معرض این ویروس قرار گرفته باشید، باید از شر آن خلاص شوید. از آنجایی که آنتی ویروس ESET برنامه ای است که به طور خاص بدافزار را در رایانه شخصی شما شناسایی می کند. برنامه آنتی ویروس خودشان باید برای از بین بردن تهدید ناشی از Filecoder کافی باشند. قبل از تلاش برای حذف ویروس، بهتر است ابزار ضد بدافزار را در safe mode اجرا کنید زیرا ممکن است برنامه های دیگری در حال اجرا باشند که از حذف تهدید جلوگیری کنند، مگر اینکه شرایط خاصی مانع از انجام این کار برنامه شود.

 

نسخه های فعلی محصولات Eset " خرید لایسنس Eset Internet Security " از چندین لایه فن آوری برای محافظت از رایانه در برابر باج افزار استفاده می کنند .

نمونه هایی از این فن آوری ها عبارتند از Advanced Memory Scanner ، سیستم اعتبار معروف ESET LiveGrid و Exploit Blocker . علاوه بر این ، جدیدترین محصولات ESET یک ماژول تقویت شده در برابر حفاظت Botnet را فراهم می کند که ارتباط بین سرور نرم افزارها و سرورهای Command and Control (C&C) را مسدود می کند .

ESET LiveGrid را فعال کنید

 

 

 

 

سیستم محافظت از بدافزار ESET Cloud مبتنی بر " فعال سازی ESET LiveGrid " است. این برنامه برای برنامه های ناشناخته و بالقوه مخرب نظارت می کند و نمونه های آن را به ماسهبازی اتوماتیک و تجزیه و تحلیل رفتاری می اندازد. ESET LiveGrid&reg یک سیستم پیشگیری است که اطلاعات مربوط به تهدیدات کاربران ESET در سراسر جهان را جمع آوری می کند. پایگاه داده ESET LiveGrid&reg شامل اطلاعات در مورد تهدیدات احتمالی است. هنگامی که فعال است ، ESET LiveGrid&reg می تواند تهدیدهای تازه معرفی شده را شناسایی و مسدود کند. این امر را به روشی موثر برای دفاع در برابر تهدیدهای در حال تغییر سریع مانند انواع جدید باج افزارها (به عنوان مثال Cryptolocker ، Crypto wall و غیره) تبدیل می کند.

 

اطمینان حاصل کنید که ESET LiveGrid در محصول ESET شما فعال و کار می کند .

اطمینان حاصل کنید که "درایوهای شبکه" در حفاظت از سیستم فایل Real-Time انتخاب شده است

با فعال کردن حفاظت از درایو شبکه ، اسکنر زمان واقعی ESET قادر به شناسایی در یک ایستگاه کاری آلوده می باشد و از رمزگذاری درایور جلوگیری می کند .

 

انواع جدیدی از باج افزارهای موجود به طور مکرر منتشر می شوند ، بنابراین مهم است که مرتباً به روزرسانی های پایگاه داده ویروس را دریافت می کنید (محصول ESET شما هر ساعت به روزرسانی را بررسی می کند مشروط بر اینکه مجوز معتبر و اتصال به اینترنت کار داشته باشید) .

 

کنترل حساب کاربری (UAC) را غیرفعال نکنید

 

 

 

 

UAC هدف خاصی را دنبال می کند و غیرفعال کردن UAC در ویندوز مستحق تجدید نظر جدی است. فقط به این دلیل که یک درخواست UAC ویندوز به وجود می آید به این معنی نیست که نتیجه یک اقدام غیرمجاز است. گاهی اوقات، کاربران شما نیاز به انجام فعالیت های مجاز مانند نصب برنامه های مورد تایید شرکت یا یکپارچه سازی و بهینه سازی درایوها دارند. به عنوان مثال، خطر حملات را کاهش می دهد. بدافزارها اغلب از این واقعیت استفاده می کنند که برنامه ها می توانند با ویندوز و با یکدیگر ارتباط برقرار کنند. نرم افزار سازگار با UAC به جداسازی امتیازات فرآیندها کمک می کند و در نتیجه خطر به خطر افتادن سایر بخش های سیستم را کاهش می دهد. در حال حاضر، بسیاری از برنامه های کاربردی سازگار با UAC در دسترس نیستند.

 

غیرفعال کردن ماکروها در Microsoft Office از طریق Group Policy

 

پیکربندی‌ها می‌توانند به مسدود کردن خودکار اجرای ماکروها کمک کنند. پس از ارزیابی محیط خود و آزمایش مناسب، از Group Policy برای مسدود کردن یا غیرفعال کردن اجرای ماکروها در Microsoft Word، Excel و PowerPoint استفاده کنید. از جمله فایل های دانلود شده از اینترنت و فایل هایی که امضای دیجیتالی ندارند. این تنظیم به شما امکان می‌دهد اجرای ماکروها را مسدود کنید، حتی اگر «فعال کردن همه ماکروها» در تنظیمات ماکرو انتخاب شده باشد. علاوه بر این، امضای دیجیتال به عنوان روشی برای تأیید اعتبار ارسال کننده سند عمل می کند و از فعال کردن تصادفی ماکروها بر روی یک سند حاوی یک بار مخرب جلوگیری می کند.

لطفاً برای مراحل دقیق در مورد غیرفعال کردن سراسری ماکروها به زیر مراجعه کنید.

 

 

 

 

برای غیرفعال کردن ماکروهای Microsoft Office از طریق Active Directory / Domain Controller

 

 

● فایل‌های قالب آفیس (ADMX/ADML) و ابزار سفارشی‌سازی آفیس را روی کنترل‌کننده دامنه Active Directory نصب کنید.

1- پس از اتمام نصب روی Start Menu > Control Panel > System and Security > Administrative Tools کلیک کنید.

2- کنسول Group Policy Management را باز کنید.

3- روی شیء Group Policy که می خواهید پیکربندی شود کلیک راست کرده و روی Edit کلیک کنید.

4- در ویرایشگر مدیریت سیاست گروه، به User Configuration بروید.

5- روی Administrative templates > Microsoft Word 2016 > Word options > Security Trust Center کلیک کنید.

6- برای پیکربندی و فعال کردن آن Block macros from running in Office files from the Internet باز کنید.

7- یا اگر ماکروها در محیط شما مورد نیاز است، Disable all macros except digitally signed macros را باز کنید.

 

برای اطلاعات بیشتر لطفاً از صفحه وب مایکروسافت در مورد مسدود کردن ماکروها و فعال یا غیرفعال کردن ماکروها دیدن کنید.

 

 

سیستم خود را به روز نگه دارید

 

برای اطمینان از بهترین محافظت در دسترس ، سیستم عامل و برنامه های خود را به روز کنید. آخرین به روزرسانی های دارای اولویت بالا را که در ابزار Windows Update ارائه شده است ، نصب کنید و مرتباً بررسی کنید یا ویژگی Automatic Updates را فعال کنید. به روزرسانی های امنیتی جدید ، آسیب پذیری های سیستم را تکه تکه می کند و خطر حمله بدافزار را کاهش می دهد .

مایکروسافت تکه هایی برای سیستم عامل های فعلی ویندوز و همچنین ویندوز Automatic Updates برای کاهش آسیب پذیری مهم منتشر کرده است. به بولتن امنیت مایکروسافت MS17-010 مراجعه کنید - برای دستورالعمل های اعمال این به روزرسانی های مهم .

 

پورت ها / خدمات بالقوه ای که می توانند در صورت باز بودن مورد سوء استفاده قرار بگیرند. برای جلوگیری از انجام یک آدرس IP ناشناخته از حملات موفق Brute Force ، توصیه می کنیم SMB ، SQL ، RDP را قفل کنید. SMB درگاههای به اشتراک گذاری پرونده 135-139و 445 را ببندید. پورتهای نباید در معرض اینترنت قرار گیرند.

SQL آدرس های IP معتبر لیست سفید مجاز به اتصال به SQL هستند RDP با بستن RDP به اتصالات خارجی ، حملات RDP Brute Force را متوقف کنید. برای اتصال به شبکه داخلی از یک VPN با تأیید هویت Two Factor استفاده کنید.

 

 

 

پروتکل دسک تاپ از راه دور بهترین روش ها در برابر حملات است

 

 

 

 

بدافزارهای مبتنی بر رمزگذاری اغلب با استفاده از ابزار Remote Desktop Protector (RDP) که در ویندوز یکپارچه شده است به دستگاههای هدف دسترسی پیدا می کنند. RDP به دیگران اجازه می دهد تا از راه دور به سیستم شما متصل شوند ، بنابراین مهاجم می تواند از RDP سوء استفاده کند تا محافظت را از بین ببرد و سپس بدافزار را مستقر کند .

اگر نیازی به استفاده از RDP ندارید ، می توانید درگاه پیش فرض (3389) را تغییر داده یا RDP را غیرفعال کنید تا دستگاه خود را از Filecoder و سایر بهره برداری های RDP محافظت کنید. برای راهنمایی در مورد غیرفعال کردن RDP به مقاله مناسب Microsoft Knowledge Base در زیر مراجعه کنید :

 

 

در صورت آلوده شدن به باج افزار چه اقداماتی باید انجام دهید؟

 

بهترین راه برای ایمن نگه داشتن فایل‌هایتان در برابر باج‌افزار، جلوگیری از دسترسی بدافزارهای گروگان‌گیر به رایانه است. اما اگر رایانه شخصی شما قبلاً آلوده شده است، به شما نشان خواهیم داد که چگونه آنتی ویروس می تواند به راحتی به شما در حذف باج افزار کمک کند. سپس یاد بگیرید که چگونه می توانید در برابر حملات باج افزار در آینده ایمن بمانید. " نحوه حذف باج افزار و بدافزار از ویندوز "