چگونگی محافظت از باج افزار یا بد افزار Filecoder (ransomware)

Ransomware بدافزار است که می تواند وسیله ای را قفل کرده یا محتویات آن را رمزگذاری کند تا در ازای بازگرداندن دسترسی به آن منابع ، از صاحب پول بدست آورد. Owner:
`2021-03-January`

 

 

بهترین روشها برای محافظت در برابر باج افزار ها یا بدافزارهای Filecoder (ransomware)

 

هرگونه کپی برداری از الگو و مطالب سایت حرام و به هیچ عنوان مورد رضایت نیست

 

 

 

با درود به کاربران و بازدید کنندگان عزیز سایت تخصصی ناد مارکت

 

 

 

خرید لایسنس نود 32

جهت خرید لایسنس اورجینال آنتی ویروس نود 32 بر روی لینک رو به رو کلیک کنید: خرید لایسنس اورجینال نود 32

 

 

امروز مقاله ای را برای شما آماده کرده ایم که بررسی جلوگیری از بد افزار یا باج افزار توسط آنتی ویروس ایست ناد 32 می باشد .

 

این مقاله شامل بهترین روشها برای کمک به پیکربندی سیستم شما در برابر محافظت از باج افزار است

 

 


جزئیات :

Ransomware بدافزار است که می تواند وسیله ای را قفل کرده یا محتویات آن را رمزگذاری کند تا در ازای بازگرداندن دسترسی به آن منابع ، از صاحب پول بدست آورد. این نوع بدافزار همچنین می تواند یک تایمر داخلی با مهلت پرداخت داشته باشد که باید رعایت شود ، در غیر این صورت قیمت باز کردن قفل داده و سخت افزار رشد خواهد کرد - یا در نهایت اطلاعات و دستگاه به صورت دائم غیرقابل دسترسی خواهد بود .

 

Filecoders / Ransomware ویروس هایی هستند که پرونده های شخصی و داده را رمزگذاری می کنند. به طور معمول یک ایستگاه کاری آلوده می شود و سپس Filecoder / Ransomware سعی در رمزگذاری هر درایو مشترک نقشه برداری شده دارد. این می تواند باعث شود این ویروس از طریق شبکه شما پخش شود .

 

در حالی که ممکن است پرونده های شما رمزگذاری شوند ، سیستم شما ممکن است آلوده نباشد. این امکان پذیر است که یک درایو اشتراکی روی یک فایل سرور رمزگذاری شود ، اما خود سرور حاوی بدافزار نیست (مگر اینکه سرور Terminal باشد) .

 


سایر تهدیدات فیلترگذار نیز به شرح زیر شناخته می شود :

 

Win32 / Filecoder



Filecoder.WannaCryptor



ویروس Win32 / Filecoder.TeslaCrypt.A (TeslaCrypt) یا Win32 / Filecoder.Locky.A بعد از باز کردن ایمیل از یک منبع ناآشنا یا پرونده های ZIP از چنین ایمیل



"CryptoLocker" ، "Cryptowall" ، "رمزگشایی کثیف" و "قفل CTB"



Win32 / TrojanDownload.Elenoocka.A



Win32 / Gpcode

 

 

راه حل :

 

نسخه های فعلی محصولات ESET از چندین لایه فن آوری برای محافظت از رایانه در برابر باج افزار استفاده می کنند .

 

نمونه هایی از این فن آوری ها عبارتند از Advanced Memory Scanner ، سیستم اعتبار معروف ESET LiveGrid® و Exploit Blocker .

 

علاوه بر این ، جدیدترین محصولات ESET یک ماژول تقویت شده در برابر حفاظت Botnet را فراهم می کند که ارتباط بین سرور نرم افزارها و سرورهای Command and Control (C&C) را مسدود می کند .

 

 

چگونگی محافظت از باج افزار یا بد افزار Filecoder (ransomware)

 

 

محصولات ESET ضد باج افزار بهترین شیوه ها


اسکنر حافظه پیشرفته و بلوک بهره برداری را فعال کنید
این دو ویژگی به طور پیش فرض در محصولات ESET نسخه 5 و بعد از آن فعال شده است. این الگوریتم های ESET به تازگی طراحی شده ، محافظت در برابر بدافزارهایی را انجام می دهند که برای جلوگیری از شناسایی محصولات ضد بدافزار از طریق استفاده از انسداد و یا رمزگذاری طراحی شده است .

 

اسکنر حافظه پیشرفته پس از رفع بدافزار در حافظه به دنبال رفتار مشکوک می باشد و Exploit Blocker محافظت در برابر حملات هدفمند و آسیب پذیری های قبلاً ناشناخته را تقویت می کند ، همچنین به عنوان آسیب پذیری های صفر روز شناخته می شود .

 

توصیه می کنیم اگر آنتی ویروس ESET Smart Security یا ESET NOD32 (از جمله نسخه های تجاری) نسخه 4.x یا نسخه های قبلی را اجرا کرده اید ، به آخرین نسخه ارتقا دهید :

 

 

 

ESET LiveGrid را فعال کنید


سیستم محافظت از بدافزار ESET Cloud مبتنی بر ESET LiveGrid است. این برنامه برای برنامه های ناشناخته و بالقوه مخرب نظارت می کند و نمونه های آن را به ماسهبازی اتوماتیک و تجزیه و تحلیل رفتاری می اندازد .

 

اطمینان حاصل کنید که ESET LiveGrid در محصول ESET شما فعال و کار می کند .

 

اطمینان حاصل کنید که "درایوهای شبکه" در حفاظت از سیستم فایل Real-Time انتخاب شده است

 

با فعال کردن حفاظت از درایو شبکه ، اسکنر زمان واقعی ESET قادر به شناسایی در یک ایستگاه کاری آلوده می باشد و از رمزگذاری درایور جلوگیری می کند .

 

 

 

 

ESET را به روز کنید

 

انواع جدیدی از باج افزارهای موجود به طور مکرر منتشر می شوند ، بنابراین مهم است که مرتباً به روزرسانی های پایگاه داده ویروس را دریافت می کنید (محصول ESET شما هر ساعت به روزرسانی را بررسی می کند مشروط بر اینکه مجوز معتبر و اتصال به اینترنت کار داشته باشید) .

 

 

 

برای کاربران ESET Endpoint Security

 

برای بهترین محافظت در برابر بدافزارهای Filecoder ، ما استفاده از ESET Endpoint Security در محیط های مجازی را توصیه می کنیم .

 

اطمینان حاصل کنید که Ransomware Shield را فعال کرده اید

 

Ransomware Shield به عنوان بخشی از فناوری Self Defense یکی دیگر از لایه های محافظت از آن است که به عنوان بخشی از ویژگی HIPS عمل می کند.

 

برای اطلاعات بیشتر ، به Ransomware Shield در ESET Glossary و نحوه پیکربندی آن در محصولات ESET مراجعه کنید .

 

بهترین شیوه های ضد باج افزار عمومی risk خطر خود را از بدافزار مبتنی بر رمزگذاری (باج افزار) به حداقل برسانید از سیستم خود نسخه پشتیبان تهیه کنید

 

برای تهیه نسخه پشتیبان از سیستم خود در فواصل منظم برنامه ریزی کنید ، و حداقل یکی از این نسخه های پشتیبان را در فضای آفلاین نگه دارید تا از جدیدترین کارهای خود در برابر حمله محافظت کنید .

 

 

 

مجوزهای کاربر و محدود کردن دسترسی ها :

 

محدودیت های بسیاری وجود دارد ، مانند محدودیت دسترسی به داده های برنامه ، و حتی برخی از آنها که به عنوان یک هدف خط مشی گروهی (GPO) ساخته شده اند .

 

غیرفعال کردن پرونده های در حال اجرا از پوشه های AppData و LocalAppData .

 

بلوک اجرای از زیر شاخه Temp (بخشی از درخت AppData بطور پیش فرض) .

 

فایلهای اجرایی در حال اجرا را از فهرستهای کارآمد ابزارهای مختلف رفع فشار (به عنوان مثال ، WinZip یا 7-Zip) مسدود کنید.

 

علاوه بر این ، در ESET Endpoint Security / آنتی ویروس ، ESET Mail Security و ESET File Security می توانید قوانینی HIPS ایجاد کنید تا فقط برنامه های خاصی بتوانند روی رایانه اجرا شوند و سایر موارد را بصورت پیش فرض مسدود کنند

 

 

 

 

کنترل حساب کاربری (UAC) را غیرفعال نکنید

 

اگر نام آنها مشکوک است یا شما انتظار دریافت آنها را ندارید ، پیوست های فکس ، فاکتور یا رسید را باز نکنید .

 

ESMC / ERA / ECA برای اعمال تنظیمات پیکربندی از طریق خط مشی برای محافظت در برابر باج افزار
قوانین HIPS را برای محصولات تجاری ESET پیکربندی کنید

 

قوانین Firewall را برای امنیت Endpoint Security ESET پیکربندی کنید

 

امنیت نامه ESET را پیکربندی کنید

 

استفاده از احراز هویت دو عاملی (2FA) ما تأیید هویت امن ESET را توصیه می کنیم . دفاع از تهدید ما ESET Dynamic Threat Defence را توصیه می کنیم

 

 

 

غیرفعال کردن ماکروها در Microsoft Office از طریق Group Policy

 

Office 2013/2016 (پیوند زیر مربوط به سال 2013 است اما تنظیمات یکسانی برای 2016): تنظیمات امنیتی ماکروهای VBA را برای Office برنامه ریزی کنید

 

 

 

سیستم خود را به روز نگه دارید

 

برای اطمینان از بهترین محافظت در دسترس ، سیستم عامل و برنامه های خود را به روز کنید. آخرین به روزرسانی های دارای اولویت بالا را که در ابزار Windows Update ارائه شده است ، نصب کنید و مرتباً بررسی کنید یا ویژگی Automatic Updates را فعال کنید. به روزرسانی های امنیتی جدید ، آسیب پذیری های سیستم را تکه تکه می کند و خطر حمله بدافزار را کاهش می دهد .

 

مایکروسافت تکه هایی برای سیستم عامل های فعلی ویندوز و همچنین ویندوز XP برای کاهش آسیب پذیری مهم منتشر کرده است. به بولتن امنیت مایکروسافت MS17-010 مراجعه کنید - برای دستورالعمل های اعمال این به روزرسانی های مهم .

 

اگر از Windows XP استفاده می کنید ، SMBv1 را غیرفعال کنید .

 

پورت ها / خدمات بالقوه ای که می توانند در صورت باز بودن مورد سوء استفاده قرار بگیرند
برای جلوگیری از انجام یک آدرس IP ناشناخته از حملات موفق Brute Force ، توصیه می کنیم SMB ، SQL و RDP را قفل کنید .

 

SMB درگاههای به اشتراک گذاری پرونده 135-139 و 445 را ببندید. پورتهای SMB نباید در معرض اینترنت قرار گیرند .

 


SQL آدرس های IP معتبر لیست سفید مجاز به اتصال به SQL هستند RDP با بستن RDP به اتصالات خارجی ، حملات RDP Brute Force را متوقف کنید. برای اتصال به شبکه داخلی از یک VPN با تأیید هویت Two Factor استفاده کنید.

 


پس از تعداد مشخصی از تلاشهای ناموفق ، قفل خودکار حساب را تنظیم کنید. بعد از اینکه حساب کاربری قفل شد ، یک دوره انتظار برای باز کردن خودکار را در نظر بگیرید. گذرواژه‌های قوی را اجرا کنید غیرفعال کردن حسابهای بلااستفاده و پیش فرض مشترک ، به عنوان مثال سرپرست ، مدیر یا ریشه کاربران و گروه های خاص لیست سفید برای ورود به سیستم با استفاده از RDP آدرس IP خاص در لیست سفید برای اجازه اتصال RDP

 

 

 

>پروتکل دسک تاپ از راه دور بهترین روش ها در برابر حملات است


بدافزارهای مبتنی بر رمزگذاری اغلب با استفاده از ابزار Remote Desktop Protector (RDP) که در ویندوز یکپارچه شده است به دستگاههای هدف دسترسی پیدا می کنند. RDP به دیگران اجازه می دهد تا از راه دور به سیستم شما متصل شوند ، بنابراین مهاجم می تواند از RDP سوء استفاده کند تا محافظت را از بین ببرد و سپس بدافزار را مستقر کند .

 

 

 

غیرفعال یا تغییر پروتکل دسک تاپ از راه دور

 

اگر نیازی به استفاده از RDP ندارید ، می توانید درگاه پیش فرض (3389) را تغییر داده یا RDP را غیرفعال کنید تا دستگاه خود را از Filecoder و سایر بهره برداری های RDP محافظت کنید. برای راهنمایی در مورد غیرفعال کردن RDP ، به مقاله مناسب Microsoft Knowledge Base در زیر مراجعه کنید :

 

 

 

windows 10

 

 

تنظیمات محصول ESET خود را با رمز محافظت کنید

 

اگر شما نیاز به نگه داشتن RDP را دارید و نمی توانید تنظیمات RDP را غیرفعال یا تغییر دهید ، می توانید از یک رمز عبور برای محافظت از تغییر محصول ESET توسط یک مهاجم استفاده کنید. این امر از اصلاح تنظیمات غیر مجاز ، غیرفعال کردن محافظت یا حتی حذف محصول ESET جلوگیری می کند. توصیه می کنیم از رمزعبور دیگری از رمزعبور استفاده شده برای اعتبار ورود به سیستم RDP استفاده کنید .

 

 

 

آیا پرونده های رمزگذاری شده قابل بازیابی هستند؟

 

رمزگذاری داده های مدرن Filecoders / Ransomware با استفاده از روش های نامتقارن و انواع مختلف رمزنگاری. به طور خلاصه ، پرونده ها با یک کلید عمومی رمزگذاری می شوند و بدون کلید خصوصی همراه قادر به رمزگشایی نیستند. با وجود باج افزارهای فعلی ، کلید خصوصی هرگز در محل کار یا محیط آسیب دیده قرار ندارد. این بدان معنی است که داده ها باید از یک نسخه پشتیبان تهیه شده قبل از عفونت بازیابی شوند .

 

اگر نسخه پشتیبان تهیه نشده است ، می توانید سعی کنید فایل ها را از نسخه های Shadow Copies بازیابی کنید. می توانید از Shadow Explorer استفاده کنید ، که می توانید از صفحه وب زیر بارگیری کنید : http://www.shadowexplorer.com/downloads.html

 

 

 

 

در صورت آلوده شدن به باج افزار چه اقداماتی باید انجام دهید؟

 

کامپیوتر را از شبکه جدا کنید . پرونده TXT یا HTML را با دستورالعمل های پرداخت ، به عنوان مثال "چگونه رمزگشایی کنید" پوشه ها و درایوهای رمزگذاری شده مشترک پیدا کنید. این ممکن است توسط محققان بدافزار ما برای تجزیه و تحلیل بیشتر استفاده شود .



ESET SysRescue را روی رایانه آلوده اجرا کنید. فقط پس از شناسایی و حذف تهدید ، از پشتیبان گیری بازگردید (بخش فوق را از سیستم خود نسخه پشتیبان تهیه کنید) .

 

 

سایت نادمارکت فعالیت خود را از سال 94 با ارائه آنتی ویروس و نرم افزار آغاز نموده و توانست با ارائه خدمات موثر به یکی از برترین و بزرگترین ارائه دهنده محصولات اورجینال آنتی ویروس تبدیل شود تا محصولات متنوع و اورجینال را به کاربران ارائه دهد، کارشناسان نادمارکت با پشتیبانی فنی و قدرتمند پاسخگوی همیشگی نیاز های کاربران عزیز جهت بهترین راهنمایی ها و راهکارها در قالب محصولات اورجینال هستند

لطفا قبل از هر گونه سوالی قسمت سوالات متداول مطالعه شود به صورت کلی ما مشتاقانه آماده هستیم تمام سوالات و نیازهای شما را پاسخگو باشیم

تلگرام: ID = @nodmarket (فقط ارسال پیام)
وآتس آپ: 09338809387 (فقط ارسال پیام)
تماس 1: 09338809387
تماس 2: 01334556373

enamad