مک آفی

مقابله با باج افزارها به کمک قواعد McAfee AP

مک آفیاخیراً موج جدیدی از حملات باجگیری توسط بدافزاری موسوم به CTB-Locker در بسیاری از کشورها از جمله ایران به راه افتاده است. CTB-Locker یکی از پیشرفته ترین باج افزارهاست که اقدام به رمزگذاری فایلهای قربانی کرده و مبلغ نسبتا کلانی را برای بازگرداندن آنها به حالت اولیه، از کاربر اخاذی می کند.

باید توجه داشت فایل مخربی را که بدافزار CTB-Locker بر روی کامپیوتر قربانیان خود قرار می دهد تا سیستم را آلوده سازد، دائماً در حال تغییر است. به این نوع بدافزارها، بدافزارهای روز صفری یا Zero-Day گفته می شود. به همین دلیل نیز نرم افزارهای ضدویروس قادر به شناسایی آنی این بدافزار با استفاده از بانک اطلاعاتی بدافزارهای شناخته شده، نیستند.

برای مقابله با چنین نوع بدافزارهایی رعایت موارد زیر توصیه می شود:

  • تهیه نسخه های پشتیبان و بایگانی بصورت دوره ای. پیروی از قاعده ۱-۲-۳ برای داده های حیاتی توصیه می شود. بر طبق این قاعده، از هر فایل سه نسخه می بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان)، فایلها باید بر روی دو رسانه دخیره سازی مختلف حفظ شوند. یک نسخه از فایلها می بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
  • پرهیز از باز کردن پیوست ایمیل های مشکوک. گونه های اخیر این بدافزار در قالب SCR و بصورت فایل ZIP یا CAB از طریق هرزنامه ها منتشر شده اند.
  • بهره گیری از نرم افزارها و سخت افزارهای ضد هرزنامه (Anti-Spam).
  • محدود کردن سطح دسترسی کاربران به سیستم به منظور جلوگیری از آلوده شدن دستگاه حتی در صورت اجرا شدن فایل مخرب توسط کاربر.

همچنین بخش Access Protection در نرم افزار McAfee VirusScan Enterprise دارای قسمتی با عنوان User-defined Rules است که کاربر را قادر می سازد اجرا شدن فایلهایی خاص در مسیرهای مورد نظر را رهگیری و مسدود کند.

توجه داشته باشید قاعده زیر ممکن است اجرا شدن برخی برنامه های کاربردی دیگر را نیز محدود کند. لذا توصیه می شود این قواعد در ابتدا بصورت آزمایشی بر روی چند دستگاه اعمال شود.

1- در کنسول ePolicy Orchestrator بر روی Menu کلیک و در قسمت Policy گزینه Policy Catalog را انتخاب نمایید.
2- در قسمت Product بر روی گزینه VirusScan Enterprise 8.8.0 کلیک کنید.
3- در قسمت Category نیز گزینه  Access Protection Policies را انتخاب کنید.
4- پالیسی سازمان را یافته و در ستون Actions بر روی پیوند Duplicate کلیک کنید. در صورتی که اطمینان ندارید که پالیسی صحیحی را Duplicate کرده باشید می توانید از پیوندهای ستون Assignments کمک بگیرید. بعنوان یک قاعده کلی اگر با کلیک بر روی پیوند مذکور عبارت My Organization ظاهر شود بمعنای آن است پالیسی انتخاب شده در صدر پالیسی های دیگر به گروه ها اعمال می شود.

AP Policies
5- پنجره نمایش داده شده، در قسمت Name نام BlockRansomware را وارد کرده و بر روی دگمه OK کلیک کنید. با این کار یک پالیسی با نام BlockRansomware به فهرست اضافه خواهد شد.
6- بر روی پیوند BlockRansomware کلیک کرده و در پنجره نمایش داده شده، همانطور که در شکل زیر نشان داده شده است، بر روی گزینه User-defined Rules کلیک کنید.

AP Policies 2
7- در سمت راست بر روی دگمه …New کلیک کنید تا پنجره ای مطابق شکل زیر ظاهر گردد.

AP Policies 3

8- گزینه File/Folder Blocking Rule را انتخاب نموده و OK را بزنید.
9- فرم ظاهر شده را مطابق شکل زیر تکمیل و بروی دگمه OK کلیک کنید.

AP-BR-10

10- مراحل 7 تا 9 را برای قاعده زیر نیز تکرار کنید.

AP-BR-11
11- در قسمت Setting for، مطابق شکل زیر، گزینه Server را انتخاب کنید.

AP-BR-1212- مراحل 7 تا 10 را مجدداً تکرار کنید.
13- اکنون باید دو قاعده با نامهای XP~2003R2 و Vista~2012R2 در فهرست قابل مشاهده باشد. مطابق شکل زیر بخش Block این دو قاعده را غیرفعال کنید.
AP-BR-13
14- بر روی دگمه Save کلیک کنید تا پالیسی ذخیره شود.
15- در کنسول ePolicy Orchestrator بر روی Menu کلیک و در قسمت Systems گزینه System Tree را انتخاب نمایید.
16- در ستون سمت چپ، در حالی که گزینه My Organization انتخاب شده است بر روی دگمه System Tree Actions کلیک کرده و گزینه New Subgroup را انتخاب کنید.

System-Tree

17- در پنجره ظاهر شده در قسمت Name کلمه Test Policy را وارد و بر روی دگمه OK کلیک کنید.
18- اکنون گروه Test Policy در قسمت سمت چپ قابل مشاهده است. گروه جدید را انتخاب کرده و در بخش سمت راست بر روی زبانه Assigned Policies کلیک کنید.
19- در قسمت Product، گزینه 8.8.0 VirusScan Enterprise را انتخاب کنید.
20- بر روی پیوند Edit Assignment در سطر مربوط به  Access Protection Policies کلیک کنید.
21- گزینه  Break inheritance and assign the policy and settings below را فعال نموده و در قسمت Assigned policy، پالیسی BlockRansomware را انتخاب نمایید.
22- برای ذخیره تغییرات بر روی دگمه Save کلیک کنید.

پس از آن با انتقال کامپیوترهای مورد نظر به گروه جدید می توان سازگار بودن پالیسی تعریف شده با نرم افزارهای کاربردی سازمان خود را مورد بررسی قرار داد. توضیح اینکه امکان استتثنا ساختن فایلهایی خاص در قاعده تعریف شده نیز میسر می باشد. پس از نهایی شدن پالیسی، قواعد تعریف شده را به پالیسی سازمان، همانطور که در مرحله 4 اشاره شد، اعمال کرده و دستگاه ها را از گروه Test Policy به محل اولیه خود برگردانید.

با توجه به نوع خاص رمزگذاری بدافزار CTB-Locker و طول کلید رمزگذاری، امکان رمزگشایی و بازگرداندن فایلهای رمز شده با سعی و خطا توسط روش جستجوی فراگیر عملاً غیر ممکن است. همانطور که در این خبر اشاره شده، نمونه های مشاهده شده در ایران مبلغ ۳ بیت کوین (Bitcoin واحد پول مجازی) معادل ۲٫۷ میلیون تومان را از کاربر اخاذی می کنند. برخی منابع هندی نیز از انتشار نمونه ای خبر داده اند که مبلغ ۸ بیت کوین را از قربانی طلب می کند. رعایت موارد فوق، آسان ترین و ارزانترین راه برای حفاظت از اطلاعات از گزند این خرابکاران و مجرمان باجگیر است.

سامانه پشتیبانی شرکت مهندسی شبکه گستر به نشانی help.shabakeh.net در طول شبانه روز در اختیار مشترکین گرامی است تا مشکلات و مسائل خود را از این طریق مطرح کرده و پاسخ و راهنمایی های لازم را دریافت نمایند.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *