ابزار رمزگشایی باج افزار Cerber که بتازگی توسط شرکت امنیتی Check Point در اختیار کاربران قرار گرفته بود، در مدتی کوتاه، کارایی خود را از دست داد.
به گزارش شرکت مهندسی شبکه گستر، این ابزار با بهره گیری از یک ضعف امنیتی در باج افزار Cerber کلید خصوصی رمزنگاری را شناسایی و از طریق آن اقدام به رمزگشایی فایل های رمز شده با این باج افزار می کرد.
در زمان عرضه این ابزار، شرکت Check Point اعلام کرد که با استفاده از ابزار این شرکت می توان فایل های رمز شده با نسخه های 1 و 2 باج افزار Cerber را بحالت اولیه بازگرداند.
برای این منظور قربانیان این باج افزار با مراجعه به سایت CerberDecrypt.com و آپلود یک فایل با پسوند CERBER. یا CERBER2. با حجم 1 مگابایت یا کمتر، کلید خصوصی رمزگشایی و ابزاری برای بازگرداندن فایل ها را دریافت می کردند.
در پی انتشار گزارشی از شرکت Check Point که در آن بطور مفصل به بررسی این باج افزار پرداخته شده بود، نویسندگان باج افزار Cerber نیز اقدام به ترمیم ضعفی که ابزار این شرکت با بهره گیری از آن موفق به رمزگشایی فایل ها می شد نمودند.
ضمن قدردانی از تلاش این کارشناسان امنیتی برای تهیه چنین ابزارهایی، کاملاً واضح است که نویسندگان این باج افزارها همواره در حال رفع نواقص و افزودن امکانات جدید در برنامه های خود هستند. لذا پیشگیری همیشه بهتر از درمان می باشد.
بنابراین برای ایمن ماندن از گزند این باج افزارها، رعایت موارد زیر توصیه می شود:
- از ضدویروس قدرتمند و به روز استفاده کنید.
- از اطلاعات سازمانی بصورت دوره ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده های حیاتی توصیه می شود. بر طبق این قاعده، از هر فایل سه نسخه می بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایلها باید بر روی دو رسانه دخیره سازی مختلف نگهداری شوند. یک نسخه از فایلها می بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
- با توجه به انتشار بخش قابل توجهی از باج افزارها از طریق فایل های نرم افزار Office حاوی Macro آلوده، بخش Macro را برای کاربرانی که به این قابلیت نیاز کاری ندارند با فعال کردن گزینه “Disable all macros without notification” غیر فعال کنید. برای غیرفعال کردن این قابلیت، از طریق Group Policy، از این راهنما استفاده کنید.
- در صورت فعال بودن گزینه “Disable all macros with notification” در نرم افزار Office، در زمان باز کردن فایل های Macro پیامی ظاهر شده و از کاربر می خواهد برای استفاده از کدهای بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهند. آموزش و راهنمایی کاربران سازمان به صرف نظر کردن از فایل های مشکوک و باز نکردن آنها می تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل ها داشته باشد.
- ایمیل های دارای پیوست Macro را در درگاه شبکه مسدود کنید. بدین منظور می توانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید.
- سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج افزار آلوده نمی شود.
- در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، نظیر “گروگان گرفته نشوید” شرکت کنید. شرکت در این دوره ها برای مشتریان فعلی و پیشین شرکت مهندسی شبکه گستر رایگان است.