مقابله با باج افزارهای مخرب جدید به کمک قواعد McAfee AP

در سال های اخیر تعداد باج افزارهای رمزنگار روندی بسیار صعودی داشته است. به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت امنیتی McAfee تنها در سه ماهه دوم سال 2016، بیش از 1/3 میلیون باج افزار جدید به جمع این نوع بدافزارها افزوده شده است.

در باج افزارهای پیشرفته، فایل مخربی را که این بدافزارها بر روی کامپیوتر قربانیان خود قرار می دهند تا سیستم را آلوده سازند، دائماً در حال تغییر است. به این نوع بدافزارها، بدافزارهای روز صفری یا Zero-Day گفته می شود. به همین دلیل در بسیاری موارد نیز نرم افزارهای ضدویروس قادر به شناسایی آنی این بدافزار با استفاده از بانک اطلاعاتی بدافزارهای شناخته شده، نیستند.

برای مقابله با چنین نوع بدافزارهایی رعایت موارد زیر توصیه می شود:

• از ضدویروس قدرتمند و به روز استفاده کنید. 
• از اطلاعات سازمانی بصورت دوره ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده های حیاتی توصیه می شود. بر طبق این قاعده، از هر فایل سه نسخه می بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایلها باید بر روی دو رسانه دخیره سازی مختلف نگهداری شوند. یک نسخه از فایلها می بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
• با توجه به انتشار بخش قابل توجهی از باج افزارها از طریق فایل های نرم افزار Office حاوی Macro آلوده، بخش Macro را برای کاربرانی که به این قابلیت نیاز کاری ندارند با فعال کردن گزینه “Disable all macros without notification” غیر فعال کنید. برای غیرفعال کردن این قابلیت، از طریق Group Policy، از این راهنما استفاده کنید.
• در صورت فعال بودن گزینه “Disable all macros with notification” در نرم افزار Office، در زمان باز کردن فایل های Macro پیامی ظاهر شده و از کاربر می خواهد برای استفاده از کدهای بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهند. آموزش و راهنمایی کاربران سازمان به صرف نظر کردن از فایل های مشکوک و باز نکردن آنها می تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل ها داشته باشد.
• ایمیل های دارای پیوست Macro را در درگاه شبکه مسدود کنید. بدین منظور می توانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید. 
• سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج افزار آلوده نمی شود.
• در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، نظیر “گروگان گرفته نشوید” شرکت کنید. شرکت در این دوره ها برای مشتریانشرکت مهندسی شبکه گستر رایگان است.

همچنین بخش Access Protection در نرم افزار McAfee VirusScan Enterprise دارای قسمتی با عنوان User-defined Rules است که کاربر را قادر می سازد اجرا شدن فایل هایی خاص در مسیرهای مورد نظر را رهگیری و مسدود کند.

به مشترکین راهکارهای شرکت McAfee استفاده از پالیسی ویژه ای که برای پیشگیری از آلودگی به گونه های باج افزارهای پیشرفته جدید طراحی شده توصیه می شود.

توجه! این پالیسی ممکن است اجرا شدن برخی برنامه های کاربردی دیگر را نیز محدود کند. لذا توصیه می شود این قواعد در ابتدا بصورت آزمایشی بر روی چند دستگاه اعمال شود.

برای استفاده از پالیسی مذکور، مراحل زیر را دنبال کنید:

1. این فایل را دانلود کرده و آن را از حالت فشرده خارج کنید.
2. در کنسول ePolicy Orchestrator بر روی Menu کلیک و در قسمت Policy گزینه Policy Catalog را انتخاب نمایید.
3. در قسمت Product بر روی گزینه VirusScan Enterprise 8.8.0 کلیک کنید.
4. بر روی دگمه Import کلیک کرده و فایل XML مرحله اول را به نرم افزار معرفی کنید.
5. در کنسول ePolicy Orchestrator بر روی Menu کلیک کرده و در قسمت Systems گزینه System Tree را انتخاب نمایید.
6. در ستون سمت چپ، در حالی که گزینه My Organization انتخاب شده است بر روی دگمه System Tree Actions کلیک کرده و گزینه New Subgroup را انتخاب کنید.
7. در پنجره ظاهر شده در قسمت Name کلمه Policy Testing را وارد نموده و بر روی دگمه OK کلیک کنید.
8. اکنون گروه Policy Testing در قسمت سمت چپ قابل مشاهده است. گروه جدید را انتخاب کرده و در بخش سمت راست بر روی زبانه Assigned Policies کلیک کنید.
9. در قسمت Product، گزینه 8.8.0 VirusScan Enterprise را انتخاب کنید.
10. بر روی پیوند Edit Assignment در سطر مربوط به Access Protection Policies کلیک کنید.
11. گزینه Break inheritance and assign the policy and settings below را فعال نموده و در قسمت Assigned policy، پالیسی VSE SGv9 را انتخاب نمایید.
12. برای ذخیره تغییرات بر روی دگمه Save کلیک کنید.
13. کامپیوترهای مورد نظر را به گروه جدید منتقل کنید.

همچنین به آن دسته از مشترکینی که از پالیسی های سفارشی شده سازمان خود استفاده می کنند توصیه می شود با دنبال کردن مراحل زیر، قواعد مربوطه را بصورت دستی تعریف کنند.

1. در کنسول ePolicy Orchestrator بر روی Menu کلیک و در قسمت Policy گزینه Policy Catalog را انتخاب نمایید.
2. در قسمت Product بر روی گزینه VirusScan Enterprise 8.8.0 کلیک کنید.
3. در قسمت Category نیز گزینه  Access Protection Policies را انتخاب کنید.
4. پالیسی سازمان را یافته و در ستون Actions بر روی پیوند Duplicate کلیک کنید. در صورتی که اطمینان ندارید که پالیسی صحیحی را Duplicate کرده باشید می توانید از پیوندهای ستون Assignments کمک بگیرید. بعنوان یک قاعده کلی اگر با کلیک بر روی پیوند مذکور عبارت My Organization ظاهر شود بمعنای آن است پالیسی انتخاب شده در صدر پالیسی های دیگر به گروه ها اعمال می شود.
5. پنجره نمایش داده شده، در قسمت Name نام BlockRansomware را وارد کرده و بر روی دگمه OK کلیک کنید. با این کار یک پالیسی با نام BlockRansomware به فهرست اضافه خواهد شد.
6. بر روی پیوند BlockRansomware کلیک کرده و در پنجره نمایش داده شده، همانطور که در شکل زیر نشان داده شده است، بر روی گزینه User-defined Rules کلیک کنید.
7. در سمت راست بر روی دگمه …New کلیک کنید تا پنجره ای مطابق شکل زیر ظاهر گردد.
8. گزینه File/Folder Blocking Rule را انتخاب نموده و OK را بزنید.
9. فرم ظاهر شده را مطابق شکل زیر تکمیل کرده و بروی دگمه OK کلیک کنید.

   

10. مراحل ۷ تا ۹ را برای قواعد زیر نیز تکرار کنید.

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

    

11. بر روی دگمه Save کلیک کنید تا پالیسی ذخیره شود.
12. در کنسول ePolicy Orchestrator بر روی Menu کلیک و در قسمت Systems گزینه System Tree را انتخاب نمایید.
13. در ستون سمت چپ، در حالی که گزینه My Organization انتخاب شده است بر روی دگمه System Tree Actions کلیک کرده و گزینه New Subgroup را انتخاب کنید.
14. در پنجره ظاهر شده در قسمت Name کلمه Test Policy را وارد و بر روی دگمه OK کلیک کنید.
15. اکنون گروه Test Policy در قسمت سمت چپ قابل مشاهده است. گروه جدید را انتخاب کرده و در بخش سمت راست بر روی زبانه Assigned Policies کلیک کنید.
16. در قسمت Product، گزینه 8.8.0 VirusScan Enterprise را انتخاب کنید.
17. بر روی پیوند Edit Assignment در سطر مربوط به  Access Protection Policies کلیک کنید.
18. گزینه  Break inheritance and assign the policy and settings below را فعال نموده و در قسمت Assigned policy، پالیسی BlockRansomware را انتخاب نمایید.
19. برای ذخیره تغییرات بر روی دگمه Save کلیک کنید.

پس از آن با انتقال کامپیوترهای مورد نظر به گروه جدید می توان سازگار بودن پالیسی تعریف شده با نرم افزارهای کاربردی سازمان خود را مورد بررسی قرار داد. توضیح اینکه امکان استثنا ساختن فایلهایی خاص در قواعد تعریف شده نیز میسر می باشد. پس از نهایی شدن پالیسی، قواعد تعریف شده را به پالیسی سازمان، همانطور که در مرحله ۴ اشاره شد، اعمال کرده و دستگاه ها را از گروه Test Policy به محل اولیه خود برگردانید.

سامانه پشتیبانی شرکت مهندسی شبکه گستر به نشانی help.shabakeh.net در طول شبانه روز در اختیار مشترکین گرامی است تا مشکلات و مسائل خود را از این طریق مطرح کرده و پاسخ و راهنمایی های لازم را دریافت نمایند.