مقابله با باج افزارها در ESET‎

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

q377

 

v باج افزار یک نوعی از بد افزارها است که به مجرمان این امکان را می دهد تا بتوانند از طریق یک کنترل از راه دور، کامپیوتر قربانی را قفل کنند به طوری که کاربر نتواند از سیستم خود استفاده کند و سپس یک پنجره پاپ آپ روی کامپیوتر شخص نمایان کنند تا به او بگویند که این قفل باز نمی شود تا زمانی که هزینه ای را برای باز کردن آن بپردازید.

طبق گزارش های کاربران این نوع آلودگی اخیرا بسیاری از شرکت ها و سازمان های ایرانی را هدف قرار داده است.

طبق مکاتبات انجام شده با ESET در پی راه حلی برای جلوگیری از این دست آلودگی ها هستیم.

تعدادی از مشترکین در تماس با ما مشکل را در میان گذاشتند و ما مشکل را با پشتیبانی ESET مطرح کردیم. در تاریخ 13/1/95 ESET ایمیلی حاوی متن زیر را برای ما ارسال نمود.

ترجمه متن فوق :

“مشتری محترم

از تماس شما با پشتیبانی فنی ESET متشکریم.

در حال حاضر آلودگی TeslaCrypt یا Locky بعد از بازکردن پست الکترونیک از منبعی ناشناس یا فایل های فشرده (zip) از این دست پست های الکترونیک توسط محصولات ESET تشخیص داده شده اند.

ترافیک پست های الکترونیکی مشکوک حاوی JS/TrojanDownloader.Nemucod به صورت جهانی توسط محققین ESET در حال ردیابی میباشد.

کمپین جهانی پست های الکترونیکی مشکوک که متعهد به جعل صورت حساب ها ، مکاتبات حقوقی و دیگر اسناد رسمی میباشد ، توسط محققین ESET در حال ردیابی میباشند. بسیاری از این پست های الکترونیکی در مقایسه با برخی پست های الکترونیکی معمولی به خوبی طراحی شده اند.

زمانی که دریافت کنندگان این پست های الکترونیکی فایل ضمیمه شده را باز کنند. با استفاده از جاوا اسکریپت بد افزاری روی سیستم نصب میشود که داده ها را روی کامپیوتر قربانی رمزگذاری میکند و تقاضای باج میکنند.(برای مثال TeslaCrypt یا Locky). اینها معمول ترین آلودگی های دیده شده هستند ، با این حال کامپیوتر های حفاظت نشده نسبت به تهدیدات مختلف از طریق اینگونه پست های الکترونیکی آسیب پذیر هستند.

محصولات ESET توانایی شناسایی و مسدود سازی بدافزار های شامل Nemucode را دارا می باشند.

ما بازخوردی را از لابراتوار تشخیص و تیم رمزنگاری دریافت کردیم که در حال حاضر فایل های رمز گذاری شده با Locky قابل بازیابی نیست.

شدیدا توصیه میشود که پیشنهادات زیر را جهت اطمینان ازبالا بودن سطح امنیتی کامپیوتر خود دنبال کنید :

· از روشن بودن ESET Live Grid اطمینان حاصل کنید.و آن را با فایل تستی که از این آدرس دریافت میکنید امتحان کنید : http://www.amtso.org/feature-settings-check-cloud-lookups/

· از به روز بودن نرم افزار ESET به آخرین نسخه و همچنین دارا بودن آخرین نسخه دیتابیس ضد ویروس اطمینان حاصل کنید.

· فایل های ضمیمه شده در پست های الکترونیکی از طرف فرستنده های ناشناس را باز نکنید.

· به همکاران خود که به صورت مداوم پست های الکترونیکی از طرف منابع خارجی دریافت میکنند هشدار دهید - برای مثال دپارتمان مالی یا منابع انسانی.

· به صورت مرتب از داده های خود نسخه پشتیبان تهیه کنید. در زمان آلودگی این کار به شما کمک میکند تا تمامی داده های خود را بازیابی کنید. حافظه خارجی مورد استفاده جهت پشتیبان گیری را متصل به کامپیوتر رها نکنید تا احتمال آلودگی نسخه پشتیبان از بین برود.

· اطمینان حاصل کنید که از آخرین به روز رسانی سیستم عامل استفاده میکنید. کاربران سیستم عامل های قدیمی، برای مثال ویندوز XP ، را به ارتقا به نسخه های بالاتر جهت افزایش امنیت تشویق کنید.

· به منظور تعیین اینکه آیا ما میتوانیم فایل های رمزگذاری شده را باز گردانی کنیم یا خیر ، میبایست اطلاعات زیر را از ماشین آلوده شده در اختیار داشته باشیم. ضمنا شما میتوانید فایل ها را از هر نسخه پشتیبان قبلی بازگردانی کنید:

1. نمونه ی فایل های رمزگذاری شده در کنار نسخه ی رمزگذاری نشده ی اصلی همان فایل ها ( از نسخه های پشتیبان در صورت ممکن )یا نسخه رمزگذاری شده ی فایل های پیش فرض ویندوزی. ( برای مثال C:\Users\Public\Pictures\Sample Pictures\Desert.jpg )

2. فایل دستور العمل پرداخت (تمامی نمونه ها، .html ، .txt یا عکس ها)

3. گزارش های ESET Log collector tool . این فایل را به صورت run as administrator اجرا کنید :

http://www.eset.com/int/download/utilities/detail/family/236/

4. ایمیل های آلوده به محتویات مشکوک ( ذخیره شده به صورت .eml یا .msg )

· تمامی این فایل ها را درون یک پوشه قرار داده و آن را با رمز Infected فشرده سازی کنید.

اگر به هرگونه توضیح اضافی در این ضمینه نیاز داشتید با ما از طریق این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید در ارتباط باشید.

درود”