شرکت‌ها و سازمان‌های ایرانی هدف باج افزارها

به گزارش شرکت مهندسی شبکه گستر، در هفته های اخیر، تعداد قابل توجهی از سیستم های سازمان ها و شرکت های ایرانی هدف انواع مختلف باج افزارها قرار گرفته اند. اکثر سیستم های بررسی شده توسط کارشناسان این شرکت از طریق اجرا شدن پیوست مخرب هرزنامه ها (spam) به باج افزار آلوده شده اند.

این پیوست‌های مخرب، فایل های Word یا Excel حاوی ماکروهای آلوده هستند که یکی از نمونه های آن در اینجا بررسی شده است. گردانندگان این حملات، مرتباً، در حال تغییر ساختار این فایل های مخرب هستند تا از شناسایی توسط ابزارهای ضدبدافزار در امان باقی بمانند.

با اجرا شدن هر یک از این فایل ها، کدهای ماکرو اقدام به دریافت و نصب باج افزار بر روی دستگاه قربانی می کنند. باج افزارهای استفاده شده در این حملات از نوع رمزنگار بوده و بمحض اجرا شدن، اقدام به شناسایی تمامی درایوها از جمله درایوهای شبکه ای کرده و فایل های با پسوندهای خاص را رمزنگاری می کنند. در بسیاری موارد رمزگشایی فایل ها بدون کلیدی که در اختیار نفوذگران است، غیرممکن می باشد.

گردانندگان این حملات برای بازگرداندن فایل ها به حالت اولیه، حداقل 3 بیت کوین از کاربر اخاذی می کنند. در زمان انتشار این خبر، ارزش هر بیت کوین حدود 418 دلار است.

برای ایمن ماندن از گزند این تهدیدات، رعایت موارد زیر توصیه می شود:

• از ضدویروس قدرتمند و به روز استفاده کنید.
• از اطلاعات سازمانی بصورت دوره ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده های حیاتی توصیه می شود. بر طبق این قاعده، از هر فایل سه نسخه می بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایلها باید بر روی دو رسانه دخیره سازی مختلف نگهداری شوند. یک نسخه از فایلها می بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
• بخش Macro را در نرم افزار Office برای کاربرانی که به این قابلیت نیاز کاری ندارند با فعال کردن گزینه “Disable all macros without notification” غیر فعال کنید. برای غیرفعال کردن این قابلیت، از طریق Group Policy، از این راهنما استفاده کنید.
• در صورت فعال بودن گزینه “Disable all macros with notification” در نرم افزار Office، در زمان باز کردن فایل های Macro پیامی ظاهر شده و از کاربر می خواهد برای استفاده از کدهای بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهند. آموزش و راهنمایی کاربران سازمان به صرف نظر کردن از فایل های مشکوک و باز نکردن آنها می تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل ها داشته باشد.
• ایمیل های دارای پیوست Macro را در درگاه شبکه مسدود کنید. بدین منظور می توانید از تجهیزات دیواره آتش، همچون Sophos UTM بهره بگیرید. 
• سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج افزار آلوده نمی شود.
• در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، نظیر “گروگان گرفته نشوید” شرکت کنید. شرکت در این دوره ها برای مشتریان فعلی و پیشین شرکت مهندسی شبکه گستر رایگان است.

همچنین به مشترکین راهکارهای شرکت McAfee استفاده از پالیسی خاصی که برای پیشگیری از آلودگی به باج افزارها طراحی شده توصیه می شود.

با توجه به قواعد محدودکننده این پالیسی، اعمال آن تنها بر روی ایستگاه های کاری پرخطر توصیه می شود.

برای استفاده از پالیسی مذکور، مراحل زیر را دنبال کنید:

1. این فایل را دانلود کرده و آن را از حالت فشرده خارج کنید.
2. در کنسول ePolicy Orchestrator بر روی Menu کلیک و در قسمت Policy گزینه Policy Catalog را انتخاب نمایید.
3. در قسمت Product بر روی گزینه VirusScan Enterprise 8.8.0 کلیک کنید.
4. بر روی دگمه Import کلیک کرده و فایل XML مرحله اول را به نرم افزار معرفی کنید.
5. در کنسول ePolicy Orchestrator بر روی Menu کلیک کرده و در قسمت Systems گزینه System Tree را انتخاب نمایید.
6. در ستون سمت چپ، در حالی که گزینه My Organization انتخاب شده است بر روی دگمه System Tree Actions کلیک کرده و گزینه New Subgroup را انتخاب کنید.
7. در پنجره ظاهر شده در قسمت Name کلمه High Risk Clients را وارد نموده و بر روی دگمه OK کلیک کنید.
8. اکنون گروه High Risk Clients در قسمت سمت چپ قابل مشاهده است. گروه جدید را انتخاب کرده و در بخش سمت راست بر روی زبانه Assigned Policies کلیک کنید.
9. در قسمت Product، گزینه 8.8.0 VirusScan Enterprise را انتخاب کنید.
10. بر روی پیوند Edit Assignment در سطر مربوط به Access Protection Policies کلیک کنید.
    گزینه Break inheritance and assign the policy and settings below را فعال نموده و در قسمت Assigned policy، پالیسی VSE SGv5 را انتخاب نمایید.
11. برای ذخیره تغییرات بر روی دگمه Save کلیک کنید.
12. ایستگاه های کاری پرخطر را به گروه جدید منتقل کنید.

توضیح اینکه امکان مستثنی کردن فایلهایی خاص در قاعده تعریف شده نیز میسر می باشد.

سامانه پشتیبانی شرکت مهندسی شبکه گستر به نشانی help.shabakeh.net در طول شبانه روز در اختیار مشترکین گرامی است تا مشکلات و مسائل خود را از این طریق مطرح کرده و پاسخ و راهنمایی های لازم را دریافت نمایند.