چه کنیم تا ایمن بمانیم؟

در هفته‌های اخیر، تعداد قابل توجهی از سیستم‌های سازمان‌ها و شرکت‌های ایرانی هدف انواع مختلف باج‌افزارها قرار گرفته‌اند. اکثر سیستم‌های بررسی شده توسط کارشناسان این شرکت از طریق اجرا شدن پیوست مخرب هرزنامه‌ها (spam) به باج افزار آلوده شده اند. این پیوست‌های مخرب، فایل‌های Word یا Excel حاوی ماکروهای آلوده هستند که یکی از نمونه‌های آن در اینجا بررسی شده است. گردانندگان این حملات، مرتبا، در حال تغییر ساختار این فایل‌های مخرب هستند تا از شناسایی توسط ابزارهای ضدبدافزار در امان باقی بمانند. با اجرا شدن هر یک از این فایل‌ها، کدهای ماکرو اقدام به دریافت و نصب باج افزار روی دستگاه قربانی می‌کنند. باج افزارهای استفاده شده در این حملات از نوع رمزنگار بوده و به‌محض اجرا شدن، اقدام به شناسایی تمامی درایوها از جمله درایوهای شبکه‌ای کرده و فایل‌های با پسوندهای خاص را رمزنگاری می‌کنند. در بسیاری موارد رمزگشایی فایل‌ها بدون کلیدی که در اختیار نفوذگران است، غیرممکن می‌باشد.
گردانندگان این حملات برای بازگرداندن فایل‌ها به حالت اولیه، حداقل سه بیت کوین از کاربر اخاذی می‌کنند. در زمان انتشار این خبر، ارزش هر بیت کوین حدود ۴۱۸ دلار است.
برای ایمن ماندن از گزند این تهدیدات، رعایت موارد زیر توصیه می‌شود:
از ضدویروس قدرتمند و به روز استفاده کنید
از اطلاعات سازمانی به‌صورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده‌های حیاتی توصیه می‌شود. بر طبق این قاعده، از هر فایل سه نسخه باید نگهداری شود (یکی اصلی و دو نسخه به‌عنوان پشتیبان). فایل‌ها باید روی دو رسانه ذخیره‌سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها باید در یک موقعیت جغرافیایی متفاوت نگهداری شود.
بخش Macro را در نرم‌افزار Office برای کاربرانی که به این قابلیت نیاز کاری ندارند غیر فعال کنید. برای غیرفعال کردن این قابلیت، از طریق Group Policy، از این راهنما استفاده کنید.
آموزش کاربران سازمان به صرفنظر کردن از باز کردن فایل‌های مشکوک
در صورت غیرفعال بودن بخش Macro در نرم‌افزار Office، در زمان باز کردن فایل‌های Macro پیامی ظاهر شده و از کاربر می‌خواهد برای استفاده از کدهای به‌کار رفته در فایل، تنظیمات امنیتی خود را تغییر دهند. آموزش و راهنمایی کاربران سازمان به صرف نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی موثر در پیشگیری از اجرا شدن این فایل‌ها داشته باشد. ایمیل‌های دارای پیوست Macro را در درگاه شبکه مسدود کنید. به این منظور می‌توانید از تجهیزات دیواره آتش، همچون Sophos UTM بهره بگیرید.
سطح دسترسی کاربران را محدود کنید. به این ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج‌افزار آلوده نمی‌شود.
در دوره‌های آگاهی‌رسانی شرکت مهندسی شبکه‌گستر، نظیر «گروگان گرفته نشوید» شرکت کنید.
شرکت در این دوره‌ها برای مشتریان فعلی و پیشین شرکت مهندسی شبکه‌گستر رایگان است. همچنین به مشترکین راهکارهای شرکت McAfee استفاده از پالیسی خاصی که برای پیشگیری از آلودگی به باج‌افزارها طراحی شده، توصیه می‌شود. با توجه به قواعد محدودکننده این پالیسی، اعمال آن تنها روی ایستگاه‌های کاری پرخطر توصیه می‌شود. برای استفاده از پالیسی مذکور، مراحل زیر را دنبال کنید:
این فایل را دانلود کرده و آن را از حالت فشرده خارج کنید.
در کنسول ePolicy Orchestrator روی Menu کلیک و در قسمت Policy گزینه Policy Catalog را انتخاب کنید.
در قسمت Product روی گزینه VirusScan Enterprise 0. 8.8 کلیک کنید.
روی دگمه Import کلیک کرده و فایل XML مرحله اول را به نرم‌افزار معرفی کنید.
در کنسول ePolicy Orchestrator روی Menu کلیک کرده و در قسمت Systems گزینه System Tree را انتخاب نمایید.
در ستون سمت چپ، در حالی که گزینه My Organization انتخاب شده است، روی دگمه System Tree Actions کلیک کرده و گزینه New Subgroup را انتخاب کنید.
در پنجره ظاهر شده در قسمت Name کلمه High Risk Clients را وارد نموده و روی دگمه OK کلیک کنید.
اکنون گروه High Risk Clients در قسمت سمت چپ قابل مشاهده است. گروه جدید را انتخاب کرده و در بخش سمت راست روی زبانه Assigned Policies کلیک کنید.
در قسمتProduct، گزینه ۰٫ ۸٫۸/VirusScan Enterprise را انتخاب کنید.
روی پیوند Edit Assignment در سطر مربوط به Access Protection Policies کلیک کنید.
گزینه Break inheritance and assign the policy and settings below را فعال نموده و در قسمت Assigned policy، پالیسی VSE SGv5 را انتخاب نمایید.
برای ذخیره تغییرات روی دکمه Save کلیک کنید. ایستگاه‌های کاری پرخطر را به گروه جدید منتقل کنید.