چندراه حل برای مقابله با باج‎افزارها

به گزارش واحد امنیت سایبربان؛ شما می‌دانید این موضوع بسیار بد است که‌موج یک حمله‎ی سایبری گریبان سازمان پلیس آمریکا را بگیرد. تا به امروز مهاجمان سایبری توانسته‎اند با استفاده از باج افزارها، از سازمان‌های اجرای قانونی در حداقل ۷ ایالت باج‎گیری کنند. اطلاعات رایانه‌های این اداره‌ها به‌وسیله‌ی بدافزارهایی رمزنگاری‌شده‌اند و تا زمانی که باج خواسته‌شده به‌صورت بیت کوین پرداخت نشود به همان حالت باقی می‌مانند. بسیاری از این سازمان‌ها برای آن‌که توجه مجرمان را به سمت خودشان جلب نکنند، باج را نپرداختند و بدین ترتیب برای همیشه اطلاعاتشان را از دست دادند.

مجرمان سایبری حتی بیمارستان‌ها ایالات‌متحده را هدف قرار داده‌اند. در یک مورد وخیم، یک بیمارستان در کالیفرنیا به مدت یک هفته نمی‌توانست به اطلاعات حیاتی بیماران دست یابد تا اینکه مبلغ ۱۷ هزار دلار به مجرمان پرداخت تا اطلاعاتش را پس بگیرد. محققان تخمین زدند که این بیمارستان در یک روز به‌اندازه‌ی ۱۰۰ هزار دلار خسارت دید چراکه نمی‌توانست بدون دسترسی به اطلاعات، سی‌تی‌اسکن بیماران را انجام دهد.

باج افزارها با سرعت زیادی در سرتاسر دنیا در حال اجرا هستند و تابه‌حال هزینه‌های وحشتناکی روی دست افراد و شرکت‌ها به‌جای گذاشته‌اند. مبلغ باج‌افزار اگر پرداخت شود تنها قسمت کوچکی از هزینه‌ای است که برای شرکت یا فرد به‌جای می‌ماند. هزینه واقعی زمانی است که شرکت‌ها برای جبران محصولات و فرصت‌های شغلی ازدست‌رفته و همچنین برای تعمیر یا تعویض سامانه‌های آلوده می‌پردازند.

بیشتر حملات را اتحادیه‌ی گروهی از مجرمان در سطح جهانی انجام می‌دهند. بسیاری از عملیات پشت حملات باج افزاری در اصل صنعتی هستند. برای مثال محققان آزمایشگاه‌های MCAfee تنها ۴ میلیون مورد باج‎افزار را در سه‌ماهه‌ی دوم سال ۲۰۱۵ شناسایی کرده است.  Symantec گزارش داده است که فقط در ۱۸ روز توانسته است یک نوع باج‌افزار را شناسایی کند که ۵۰۰۰۰۰ بار خودش را تغییر داده است. این حملات برای مهاجم کاملاً سودآور است. MCAfee تخمین زد که این مجرمان سایبری در یک ماه می‌توانند بین ۱۰ تا ۵۰ میلیون دلار از قربانیانشان در سرتاسر دنیا بگیرند. 

در اینجا راه‌هایی برای محافظت از رایانه‌تان ارائه‌شده است که با به‌کارگیری آن‌ها می‌توانید قربانی بعدی نباشید، یا حداقل می‌توانید تأثیر این حملات را کاهش دهید، البته باید قبل از حمله‌ی مهاجمان آن‌ها را به‌کارگیرید. محققان می‌گویند از زمانی که بدافزاری وارد رایانه‌ای شود، تنها ۵ دقیقه طول می‌کشد تا اولین پرونده‌ها را رمزگذاری کند، پرونده‌های پشتیبانی را پاک کند و مهاجم درخواست باج خود را مطرح کند.

در اینجا چندگام برای محافظت در برابر حملات باج افزارها آورده شده است:

برای مدت‌زمانی که طول می‌کشد به مهاجم پاسخ دهید، از الان برنامه‌ریزی کنید: برای اکثر حملات باج افزاری دقیقه‌ها و ثانیه‌ها بسیار با ارزش است؛ بنابراین داشتن برنامه زمان پاسخ قبل از اینکه حمله‌ای رخ دهد می‌تواند بسیار مفید باشد. متخصصان توصیه می‌کنند که از طرح پاسخی استفاده کنید که مخصوص این‌گونه حملات باشد. این طرح باید حاوی وظایف، مسئولیت‌ها و فعالیت‌هایی باشد که به‌محض اینکه سازمان از حمله مطلع شد، شروع به کار کند.

از اطلاعات خود نسخه پشتیبان تهیه کنید: حملات باج‎افزاری به رمزنگاری اطلاعات موجود روی رایانه و پاک کردن اطلاعات نسخه پشتیبان معروف هستند. باج‎افزار CryptoLocker فایل‌ها را روی تمامی درایوها رمزنگاری می‌کند، ازجمله دستگاه‌های خارجی مثل درایوهای USB و سرویس‌های پشتیبان گیری مثل Carbonite و فایل‌های ذخیره‌شده‌ی ابری که بانام درایو مشخص‌شده باشند. مطمئن شوید که نسخه‌های پشتیبان‌تان از طریق ورودی‌های دیسک غیرقابل دسترسی باشند چراکه باج‎افزار آن‌ها را هم رمزنگاری می‌کند.

گری وارنر متخصص ارشد PhishMe توصیه می‌کند که چند نسخه‌ی پشتیبان با کلمه عبور از اطلاعات‌تان تهیه کنید. اگر بتوانید اطلاعات‌تان را از جدیدترین نسخه‌های پشتیبان بازگردانید، آنگاه حملات باج‎افزارها مشکل‎ساز نخواهند بود. تهیه نسخه پشتیبان تنها راه  در امان بودن از حملات است اگر نمی‌خواهید باج را بپردازید و به این امید بشینید که مهاجم کلمه عبور اطلاعات رمزنگاری‌شده را به شما بدهد یا خیر. (به یاد داشته باشید که پرداخت باج تضمین نمی‌دهد که مهاجمان کلمه عبور را به شما بدهند و ضمانت نمی‌کند که اصلاً کلمه عبور کار کند).

برنامه‌های ضدویروس خود را به‎روز نگه‌دارید: تمامی شرکت‌های بزرگ ارائه‎دهنده برنامه‌های ضدویروس تحقیقاتی بر روی باج‎افزارها انجام داده‌اند و سعی می‌کنند که همراه با این‌گونه تهدیدها که دائماً در حال تغییر هستند، گام بردارند. طبیعتاً امضاهای AV همیشه قدمی پشت آخرین تغییرات برمی‌دارند، اما ضدویرو‌س‌ها هم آن‌قدر خوب هستند که می‌توانند درصد بالایی از حملات را متوقف کنند.

رایانامه‌ها را برای مشاهده فیشینگ/ بدافزار بررسی کنید: گزارش Verizon از رخدادهای نفوذ به اطلاعات در سال ۲۰۱۶ حاکی از آن است که پیام‌های رایانامه‌ای که لینک یا پیوست مخرب دارند، راه اصلی نصب باج‎افزارها هستند. Fire Eye نیز تأیید می‌کند که بیشتر باج‎افزارها از طریق رایانامه‌ها منتقل می‌شوند؛ بنابراین بررسی رایانامه‌های دریافتی و بیرون کشیدن رایانامه‌هایی که به نظر پیام‌های فیشینگ یا پیوست مخرب می‌رسند، بسیار مهم است. همچنین فیلتر کردن فایل‌های اجرایی از اهمیت ویژه‌ای برخوردار است؛ زیرا برخی از پیام‌های فیشینگ با ایجاد فایل‌های اجرایی به‌صورت فایل‌های PDF معمولی، از این فیلتر عبور می‌کنند.

به افراد برای اینکه در دام فریب‌های فیشینگ نیافتند، آموزش دهید: انسان‌ها موجود ضعیف‌النفسی هستند که خیلی سریع اعتماد می‌کنند و فریب می‌خورند و در دام ترفندهای مهندسی اجتماعی می‌افتند تا بر روی لینک‌های مخربی کلیک کنند که باعث می‌شود به رایانه‌شان نفوذ کنند. به کارکنان‌تان آموزش دهید که نسبت به آنچه انجام می‌دهند آگاهی کامل داشته باشند و پیام‌های فیشینگ مشکوک را از همان ابتدا شناسایی کنند تا باج‌افزار راه‌اندازی نشود.

منبع رایانامه را احراز اصالت کنید: فراتر از بررسی رایانامه‌ها برای تهدید‌ها، برای اینکه مطمئن‌تر شوید بهتر است هویت فرستندگان پیام را با استفاده از فناوری‌هایی مثل (DMARC، DKIM) و (SPF) تأیید کنید.

سامانه‌های دفاعی خود را تجهیز و آماده کنید: محققان امنیتی شناساگرهای بسیاری را یافته‌اند که می‌توانید در سامانه‌های دفاعی خود از آن‌ها استفاده کنید تا بدین ترتیب فعالیت‌های مربوط به باج‎افزارها را متوقف کنند. منابع بسیاری برای پشتیبانی اطلاعات وجود دارد ازجمله شرکت‌های امنیتی، ISAC های صنعتی (مراکز تحلیل و اشتراک اطلاعات) و سازمان‌های امنیتی و دولتی. 

از راهکارهای حفاظتی در میزبان‌های نهایی استفاده  کنید: باج‎افزارها معمولاً به دستگاه‌های کاربر نهایی حمله می‌کنند بنابراین با راهکارهای حفاظتی در میزبان نهایی از آن‌ها محافظت کنید. راهکارهای بسیاری در این حوزه وجود دارند از جعبه شنی  برای برنامه‌های مشکوک گرفته تا اجرای تمام برنامه‌ها در یک ماشین مجازی تا باج‎افزار نتواند فعالیت‌هایش را پشت یک دستگاه گسترش دهد. از دیدگاه شبکه‎ای، اگر میزبان نهایی آلوده شود باید هرچه سریع‌تر قرنطینه شود. این کار از آلوده شدن فایل‌های به اشتراک گذاشته‌شده جلوگیری می‌کند.

طرحی برای بازیابی خرابی‌های باج‎افزار داشته باشید: اگر حادثه‌ای رخ دهد که باعث شود باج‎افزار با موفقیت فایل‌ها را رمزنگاری کرده یا آن‌ها را حذف یا تخریب کند، باید برنامه‌ای داشته باشید که بتوانید خودتان را از حمله بیرون بکشید. اگر نمی‌دانید این حمله چه نرم‌افزاری را روی رایانه‌تان نصب‌کرده است بهتر است به‌جای تعمیر آن، رایانه را در صورت امکان تعویض کنید.

همچنین این موضوع را در نظر داشته باشید اگر اطلاعات‌تان را از یک نسخه‌ی پشتیبان قدیمی بازیابی کنید یا اینکه اگر نتوانید اطلاعاتتان را بازیابی کنید بر روی شغل و شرکت شما چه تأثیری خواهد گذاشت.

در مورد باج‎افزارها، ضرب‎المثل قدیمی «پیشگیری بهتر از درمان» کاملاً مناسب و به‌جاست. بهترین راه برای اینکه از این نوع حمله‌ جان سالم به درببرید این است که در مرحله اول برای مقابله با آن آماده شوید.