نحوه مقابله با نرم‌افزار های باج افزار Ransomeware

13 اردیبهشت 1394 14906 بازدید

توصیه‌های عمومی

۱- فایل‌های ضمیمه ای که ارسال کننده آن را نمی‌شناسید هرگز باز نکنید

در اکثر موارد، Ransomeware‌ها یا باج افزار ها که فایل‌های شما را کدگذاری می‌کنند از طریق ایمیل و فایل‌های ضمیمه شده انتشار پیدا می کنند. هدف مجرمان طراح این باج افزار ها این است که شما را متقاعد کنند که فایل ضمیمه را باز کنید. به همین جهت است که عنوان این ایمیل‌های آلوده معمولاً شامل موارد مهمی است، مانند: جزییات سفارش کالا، آخرین قیمت های محصول و موارد مشابه می باشد.

نه تنها فایل‌های EXE‌ می‌توانند به شما آسیب برسانند بلکه فایل‌های دیگری نظیر فایل‌های DOC و PDF نیز می‌توانند شامل اطلاعات مخرب نیز باشند.

۲- سیستم عامل، نرم‌افزار های ضد ویروس و سایر نرم‌افزار های نصب شده بر روی سیستم تان را همیشه به روز نگه دارید.
بسیاری از این بدافزار ها از حفره های امنیتی داخل سیستم عامل و نرم‌افزار های دیگر نیز استفاده می‌کنند تا راه نفوذی به سیستم شما پیدا کنند. به همین جهت همیشه باید موارد ذکر شده را به روز نگاه داشت.

۳- تهیه نسخه پشتیبان و قرار دادن آن در یک جای دیگر یا در سرویس های ابری مطمئن
حتماً باید از تمام فایل‌های مهم خود یک نسخه پشتیبان بر روی یک دستگاه جانبی که همیشه به سیستم شما متصل نیست استفاده شود. این کار از آلوده و یا رمزگذاری شدن فایل‌ها در صورت آلوده شده سیستم شما به یک بدافزار نیز جلوگیری می کند. همچنین در صورتی که سیستم شما crash کند نیز شما یک نسخه پشتیبان از آن را دارید.

۴- دسترسی به shared folder ها را تنظیم کنید.
اگر شما در یک شبکه از shared folder ها استفاده می‌کنید، برای هر کاربر یک فولدر جدا و با دسترسی خود آن کاربر ایجاد شود. در این حالت در صورتی که یکی از کاربران آلوده شود فقط به فولدری که دسترسی دارد آسیب خواهد رسید و تمام کاربران از این آسیب دیدگی مصون خواهند ماند.

 


توصیه‌هایی در تنطیمات مربوط به system settings
ماکروسافت از ویندوز ویستا به بعد شمال System Protection می‌باشد که به شما امکان restore کردن ورژن قبلی فایل را می دهد. به صورت پیش‌فرض این امکان فقط بر روی پارتیشن مربوط به سیستم می‌باشد. به جهت فعال کردن آن بر روی سایر پارتیشن ها مراحل زیر را دنبال کنید.
- بر روی آیکون Computer کلیک راست کرده و گزینه Properties انتخاب شود.
- در قسمت سمت چپ، بر روی System Protection کلیک کنید. (در صورت نیاز کاربر Administrator آن را وارد کنید)
- نام پارتیشن یا درایو خود را انتخاب و بر روی Configure کلیک کنید.
- سپس شما دو گزینه برای انتخاب دارید. Restore system settings and previous versions of files که این امکان را می‌دهد که علاوه بر بازگردانی نسخه های قبلی تنطیمات را نیز برای شما بازگردانی می‌کند و گزینه دیگر Only restore previous versions of files که فقط برای بازگردانی فایل‌ها می باشد.
- سپس بر روی دکمه Ok کلیک کنید.



توصیه‌هایی در تنطیمات مربوط به محصولات کسپرسکی
برای جلوگیری از حمله این بد افزارها که فایل‌های شما را رمزگذاری می‌کنند کسپرسکی چند توصیه امنیتی دارد که در لینک های زیر قابل مشاهده می باشند.
تنظیمات برای کسپرسکی اینترنت سکیوریتی:
http://support.kaspersky.com/10953
http://support.kaspersky.com/10954

تنظیمات برای نسخه های شرکتی، Kaspersky Endpoint Security
http://support.kaspersky.com/10905



در صورت رمگذاری شدن فایل‌ها چه کاری باید انجام شود
اگر شما یک نسخه آنتی ویروس بر روی سیستم خود دارید، حتماً حذف اتوماتیک فایل‌های آلوده را برداشته و فایل‌های آلوده را به قرنطینه منتقل کنید. در چنین شرایطی هرگز پیشنهاد نمی‌شود که فایل‌های قرنطینه پاک شوند. به این دلیل که ممکن است شامل کلید باشند که کمک به بازیابی فایل‌ها می کند.

شما می‌توانید فایل‌های مشکوک، آلوده یا رمزگذاری شده خود را zip کرده و با کلمه عبور infected  به ایمیل newvirus@kaspersky.com ارسال کنید تا در آزمایشگاه کسپرسکی مورد بررسی قرار بگیرد.


مسیر های احتمالی برای فایل‌های این بدافزار ها

APPDATA
Windows XP/2000/NT
\Documents and Settings\%UserName%\Application Data\ %USERPROFILE%\Local Settings\Application Data

Windows Vista/7/8
\Users\%UserName%\AppData\Roaming\ %USERPROFILE%\AppData\Local

TEMP
%TEMP%\???????.tmp\         (مانند: temp\vum35a5.tmp)
%TEMP%\???????.tmp\??\    (مانند: temp\7ze5418.tmp\mp)
%TEMP%\???????\        (مانند: temp\pcrdd27)
%WINDIR%\Temp

Internet Explorer temporary files
Windows NT/2000/XP: %USERPROFILE%\Local Settings\Temporary Internet Files\

Windows Vista/7/8:
%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\
..\temporary internet files\content.ie5\
..\temporary internet files\content.ie5\????????\

Desktop
%UserProfile%\Desktop\

Recycle bin
\Recycler\
\$Recycle.Bin\
\$Recycle.Bin\s-1-5-21-??????????-??????????-??????????-1000

? به عنوان یک عدد در نظر گرفته می شود.

System Directory
%WinDir%
%SystemRoot%\system32\

User's document
%USERPROFILE%\My Documents\
%USERPROFILE%\My Documents\Downloads

Download folder
%USERPROFILE%\Downloads

Startup folder
%USERPROFILE%\Start menu\Programs\Startup