نحوه‌ی مقابله با تروجان های باج افزار

16 بهمن 1393 4281 بازدید
کسپرسکی

با توجه به نشر یکی از خطرناکترین باج افزارها یعنی CTB-Locker، در این مطلب راهکارهای کلی کسپرسکی را برای مقابله با انواع این تروجانها بررسی مینماییم.

1-     توصیه های عمومی

- هرگز فایلهای پیوست ایمیل‌هایی که از آدرسهای ناشناخته ارسال شده اند را باز ننمایید

در اغلب موارد باج افزاری که داده های شما را کدگذاری و غیرقابل دسترس میکند از طریق فایل پیوست ایمیل به سیستم قربانی منتقل شده و اجرا میگردد. لذا مجرمین سایبری همواره سعی دارند با ارسال ایمیلهای جعلی و جالب توجه که حاوی یک بدافزار در پیوست میباشد وی را ترغیب به دریافت و اجرای آن فایل نمایند. موضوع این ایمیلها میتواند در مورد همکاری شرکتهای خارجی، اطلاعاتی مبنی بر درخواست یا گزارش بانکها، دادخواستی از یک دادگاه بین المللی و بسیاری موارد دیگر باشد که شاید با کمی ابهام کاربر را ترغیب به باز کردن فایل پیوست مینماید.

نه تنها فایلهای اجرایی با پسوند EXE بلکه بنا به گزارشهای گوناگون کسپرسکی بدافزارها و کدهای مخرب میتوانند در قالب فایلهایی با پسوند DOC و همچنین PDF نیز منتقل شوند.

- همواره تلاش نمایید تا سیستم عامل، آنتی ویروس و سایر نرم افزارهای مورد استفاده (نظیر Flash Player) را بروز نگه دارید.

- از داده های خود روی یک سرور یا فضای ذخیره سازی تحت وب (نظیر سرویس های ابری cloud based) بک-آپ یا پشتیبان بگیرید.

سعی کنید در صورت گرفتن پشتیبان از فایلهای مهم خود آنها را در فضایی غیر از هارد دیسک داخلی خود ذخیره نمایید (نظیر یک هارد دیسک اکسترنال) یا در فضاهای ابری یا cloud-based. بدین ترتیب نه تنها اطلاعات شما از آلودگی سیستم به بدافزارهایی نظیر باج افزارها در امان است، بلکه در صورت وجود بروز مشکل دیگری در سیستم همانند خرابی سخت افزاری سیستم نیز به اطلاعات شما آسیبی نخواهد رسید. همچنین پیشنهاد میشود اطلاعات خود را بصورت کدگذاری شده (encrypted) پشتیبان بگیرید و به فضایی دیگر منتقل نمایید.

- دستیابی به فولدرهای اشتراک گذاری شده در شبکه را پیکربندی نمایید.

سعی نمایید برای هر کاربر یک فولدر جداگانه روی شبکه تعریف نمایید بصورتی که این بنابر تنظیماتی که برای آن فولدر تعریف مینمایید فقط همان کاربر بدان دسترسی داشته باشد. بدین ترتیب در صورت آلودگی یکی از سیستم های شبکه تنها همان فولدر خاص کاربر روی شبکه آلوده آسیب می‌بیند و این آلودگی براحتی به سیستم های دیگر شبکه منتقل نمی شود.

2-      توصیه هایی مبنی بر پیکربندی تنظیمات سیستم

در سیستم عاملهای ویندوز، از زمان انتشار نسخه ویستا، مایکروسافت یک ابزار حفاظتی (System Protection tool) برای این سیستم عامل‌ها ارائه نمود که به کاربر اجازه می دهد نسخه قدیمی تر داده های خود را (در صورت بروز تغییراتی در آنها) بازگردانی نمایند. این ابزار یا قابلیت بصورت پیش فرض تنها برای پارتیشن یا درایو سیستم (درایو ویندوز) فعال میباشد. ما توصیه می‌نماییم این قابلیت را برای تمامی درایوهای هارد دیسک فعال نمایید.

3-      توصیه هایی برای پیکربندی تنظیمات محصولات امنیتی Kaspersky

برای جلوگیری از آلودگی سیستم به اینگونه باج افزارها، شرکت کسپرسکی تنظیمات پیشنهادی خود را برای محصولات خود به ترتیب زیر ارائه می‌نماید:

Kaspersky Internet Security 2014

Kaspersky Internet Security 2013

Kaspersky Endpoint Security 10 for Windows

4-      اگر داده ها، در اثر آلودگی سیستم به باج افزارها کدگذاری و غیر قابل دسترسی شدند چه باید کرد؟

-          قابلیت حذف خودکار فایلهای آلوده (automatic deletion of detected malicious files) را غیرفعال نمایید.

-          اقدام ترجیهی آنتی ویروس را روی قرنطینه کردن فایلها (Move to Quarantine) تنظیم نمایید.

-          برای اطلاعات بیشتر در مورد نحوه انجام این تنظیمات به راهنمای هر کدام از محصولات که برخی از آنها در لیست زیر آمده اند مراجعه کنید:

     Kaspersky Internet Security 2014 / 2013

      Kaspersky Anti-Virus 2014 / 2013

   Kaspersky CRYSTAL 3.0

      Kaspersky Endpoint Security 10 for Windows

سایر راهنماها نیز روی پورتال support.kaspersky.com قابل مشاهده است.

همچنین توصیه میشود فایلهای قرنطینه شده را هرگز حذف ننمایید چراکه ممکن است فایلها حاوی یک کلید مورد نیاز برای کدبرداری یا بازیابی داده های آلوده شما باشد.

-          فایلهای آلوده را برای تحلیل و بررسی به شرکت کسپرسکی ارسال کنید

-          برای اینکار نیاز است به پورتال my.kaspersky.com بروید و درخواست خود ضمن پیوست فایلهای آلوده ارسال کنید؛

-          و یا فایلهای آلوده را در قالب فایلی فشرده با پسورد infected به ایمیل newvirus@kaspersky.com ارسال نمایید. بهنگام تنظیم پسورد Encrypt file names را نیز انتخاب نمایید.

 

 

- از فایلهای آلوده (کدگذاری شده) یک کپی تهیه نمایید.

- همانند تنظیمات ارائه شده برای هر سیستم عامل با ابزار بازگردانی فایلها (در ویندوز) اقدام به بازیابی یا بازگردانی داده های خود نمایید:

In Windows Vista

In Windows 7

In Windows 8

-          از ابزارهای بازگردانی خودکار زیر استفاده نمایید:

توجه! حتماً پیش از اجرای این ابزارها از فایلهای خود پشتیبان بگیرید.

 RectorDecryptor

XoristDecryptor

RakhniDecryptor

5-      مسیر احتمالی بدافزارها و فایلهای کدگذاری بشرح زیر است: