کمیته رکن چهارم – طی روزهای اخیر باجافزار جدیدی با عنوان SynAck دستگاههای متعددی را در کشورهای مختلف آلوده کرده است.
تا این لحظه سه نمونه اطلاعیه باجگیری زیر از SynAck گزارش شده است.
SynAck فاقد پورتال برای پرداخت باج در Dark Web بوده و در اطلاعیه باجگیری از قربانی خواسته میشود تا از طریق ایمیل یا BitMessage با این تبهکاران سایبری تماس حاصل کند.
برخلاف باجافزارهای رایج SynAck تصویر پسزمینه میز کار Windows را تغییر نداده و تنها فایلی با عنوان RESTORE_INFO-[id].txt که در آن id شناسه دستگاه آلوده شده است بر روی میزکار ایجاد میشود.
همچنین به هر کدام از فایلهای رمزگذاری شده نیز پسوندی متشکل از ۱۰ نویسه تصادفی به ازای هر فایل الصاق میشود.
کارشناسان معتقدند منبع این آلودگیها، حملاتی است که در بستر پودمان Remote Desktop به صورت سعی و خطا (Brute Force) اجرا میشوند.
همچون همیشه، برای ایمن ماندن از گزند باجافزارها، رعایت موارد زیر توصیه میشود:
- از ضدویروس قدرتمند و بهروز استفاده کنید.
- از اطلاعات سازمانی بهصورت دورهای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای دادههای حیاتی توصیه میشود. بر طبق این قاعده، از هر فایل سه نسخه میبایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایلها باید بر روی دو رسانه ذخیرهسازی مختلف نگهداری شوند. یک نسخه از فایلها میبایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
- از نصب فوری آخرین اصلاحیههای امنیتی اطمینان حاصل کنید.
- با توجه به انتشار بخش قابل توجهی از باجافزارها از طریق فایلهای نرمافزار Office حاوی ماکروی مخرب، بخش ماکرو را برای کاربرانی که به این قابلیت نیاز کاری ندارند با انتخاب گزینه “Disable all macros without notification” غیرفعال کنید. برای غیرفعال کردن این قابلیت، از طریق Group Policy، از این راهنما و این راهنما استفاده کنید.
- در صورت فعال بودن گزینه “Disable all macros with notification” در نرمافزار Office، در زمان باز کردن فایلهای Macro پیامی ظاهر شده و از کاربر خواسته میشود برای استفاده از کدهای بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهد. آموزش و راهنمایی کاربران سازمان به صرفنظر کردن از فایلهای مشکوک و باز نکردن آنها میتواند نقشی مؤثر در پیشگیری از اجرا شدن این فایلها داشته باشد. برای این منظور میتوانید از این دادهنماییها استفاده کنید.
- ایمیلهای دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور میتوانید از تجهیزات دیواره آتش، همچون Sophos بهره بگیرید.
- سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باجافزار آلوده نمیشود.
- از غیرفعال بودن پودمان Remote Desktop بر روی دستگاههایی که به این پودمان نیاز ندارند اطمینان حاصل کنید. دسترسی به دستگاهها از طریق این پودمان را هم محدود به کاربرانی با گذرواژه پیچیده و قدرتمند کنید.
منبع : شبکه گستر