پیشنهادات متخصصین امنیت kaspersky جهت ایمن ماندن در مقابل باج افزار Petya

14 تیر 1396
نویسنده :  

 باج افزار جدیدی در دنیای شبکه جهانی کار خود را آغاز کرده است که به نظر می رسد داستان WannaCry همچنان ادامه دارد ولی این بار بزرگتر و قدرتمند تر از گذشته می باشد. گزارش های متعددی وجود دارد که چندین شرکت بزرگ از کشورهای مختلف تحت تاثیر این حمله جدید قرار گرفته اند و خیلی از سازمان ها و ارگان های دولتی در معرض خطر ابتلا به این اپیدمی می باشند. برخی از محققان پس از بررسی باج افزار جدید گزارش کرده اند که Petya Ransomware همان WannaCry می باشد اما قدرتمندتر و دامنه گسترش وسیع تری دارد که نام های دیگر این باج افزار  Petya.A،Petya.D  یا  PetrWrapمی باشند.

کارشناسان آزمایشگاه کسپرسکی نتیجه گرفتند که نرم افزار مخرب جدید Petya به طور قابل توجهی از تمامی نسخه های باج افزار پیشین شناخته شده، عملکردی متفاوت دارد و به همین دلیل ما به عنوان یک خانواده مخرب جداگانه  به این باج افزار رسیدگی می کنیم. نامی که این کارشناسان به  آن اختصاص داده اند ExPetr یا NotPetya می باشد. Petya همانند باج افزار قبلی از EternalBlue برای انتشار خود در شبکه استفاده می کند. محصولات Kaspersky Security پس از جلوگیری کردن از این حملات توانسته اند نام های زیر را از این باج افزار ثبت کنند :

 

 (شناسایی شده توسط ویژگی Watcher سیستم) PDM:Trojan.Win32.Generic
(شناسایی شده توسط ویژگی Watcher System) PDM: Exploit.Win32.Generic
     Trojan-Ransom.Win32.ExPetr.a
     HEUR:Trojan-Ransom.Win32.ExPetr.gen
     (توسط شبکه امنیتی کسپرسکی شناسایی شده است) UDS: DangerousObject.Multi.Generic


 

توصیه هایی امنیتی برای  شرکت های بزرگی که از محصولات تحت کنسول Kaspersky استفاده می کنند :

  • اطمینان حاصل کنید که ویژگی های امنیتی Kaspersky Security Network و System Watcher روشن باشد.
  • بلافاصله پایگاه داده های آنتی ویروس را به صورت دستی به روز کنید.
  • تمام به روز رسانی های امنیتی را برای ویندوز نصب کنید.
  • به عنوان یک ابزار حفاظت اضافی، شما می توانید از Application Privilege Control، که جزء کسپرسکی Endpoint Security است، استفاده کنید تا هر دسترسی  به فایل با نام perfc.dat و در نتیجه امکان تعامل یا اجرای آن را برای همه گروه ها رد کند.
  • جلوگیری از استفاده از ابزار PSExec که بخشی از Sysinternals Suite است.
  • از اجزای کنترل Startup Control از Kaspersky Endpoint Security برای جلوگیری از اجرای برنامه PSExec استفاده کنید.
  •   برای استفاده از Perfc.dat، از Application Privilege Control استفاده کنید.
  • پیکربندی و فعال کردن حالت پیش فرض Deny در جزء کنترل برنامه کاربردی Kaspersky Endpoint Security برای اطمینان و اجرای پیشگیرانه دفاع از این حملات و دیگر حملات.
  • استفاده از ویژگی AppLocker برای غیرفعال کردن فایل اجرایی فایل perfc.dat و PSExec استفاده کنید.

توصیه های امنیتی برای کاربران خانگی

به نظر می رسد کاربران خانگی کمتر تحت تاثیر این تهدید قرار دارند . مجرمان سایبری در پشت این حمله بیشتر شرکت های بزرگ را هدف قرار داده اند. با این حال، حفاظت موثر هرگز آسیب نمی زند. در اینجا اقداماتی وجود دارد که میتوانید انجام دهید:

  • از داده های خود نسخه پشتیبان گرفته شود، در این دوره آشفته که روزانه با بد افزار های مختلفی مواجه هستیم امری منطقی و پسندیده ای می باشد.
  • اگر شما یکی از محصولات امنیتی Kaspersky Endpoint Security استفاده می کنید، مطمئن شوید که اجزای امنیتی Kaspersky Security Network و System Watcher فعال باشند.
  • به صورت دستی پایگاه داده های آنتی ویروس را به روزرسانی کنید. به طور جدی، این کار را در حال حاضر انجام دهید زمان زیادی را صرف نمی کند
  • تمام به روز رسانی های امنیتی را برای ویندوز نصب کنید.

هزینه درخواستی باج افزار را پرداخت نکنید


Posteo  ارائه دهنده پست الکترونیکی در آلمان، آدرس پست الکترونیکی را که هکر از آن برای  اخاذی از قربانیان استفاده می کرده است را غیر فعال و مسدود کرد . بر اساس تجزیه و تحلیل کارشناسان تیم امنیتی Kaspersky Security Lab  نشان می دهد امید زیادی برای قربانیان برای بازیابی اطلاعات خود وجود ندارد. این محققان نیز شیوه رمزگذاری را تجزیه و تحلیل کرده اند و دریافتند،  پس از رمزگذاری دیسک، شخص مهاجم نمی تواند دیسک های قربانیان را رمزگشایی کند.  برای رمزگشایی، مهاجمان نیاز به شناسه نصب دارند که در نسخه های قبلی باج افزار ها مانند Mischa و GoldenEye این شناسه نصب را پس از کد کردن اطلاعات ایجاد می کردند، این شناسه نصب حاوی اطلاعات لازم برای بازیابی کلید است. این در حالی است که باج افزار جدید پس از رمزنگاری کردن اطلاعات قربانی شناسه نصبی را ایجاد نمی کند تا با مراجعه به این شناسه قادر باشد اطلاعات را بازگردانی کند. با توجه به این شرایط پرداخت هزینه برای این باج افزار امری غیر معقول و غیر منطقی می باشد. در نهایت این کارشناسان کار خود را با این جمله به پایان رساندند :

پرداخت نکنید زیرا که پرداخت شما کمکی به اطلاعات شما نخواهد کرد.


8623 تعداد بازدید
علی سالم پناه

متخصص شبکه و امنیت شبکه

مهندسین شبکه افزار سایان

  • اهواز - خیابان وهابی خ 19 شرقی پلاک 20
  • 061-33386011-13
  • 061-33374556
  • spambots

پیشنهادات خود را با ما در میان بگذارید

  ایمیل ارسال نشد   ایمیل با موفقیت ارسال شد