تهدید باج افزار مدارس را جدی بگیرید

تهدید باج افزار ما امروزه به‌طور مستمر شاهد. حملات باج افزار (ransomware) به کسب‌وکارها و بخصوص بیمارستان‌ها و مدارس هستیم. از دست دادن و رمزنگاری شدن داده‌ها برای بیمارستان‌ها مسئله مرگ وزندگی به‌حساب می‌آید. و این سازمان‌ها امید به بازیافت و برگشت داده‌های خود در اسرع وقت رادارند. در همین حال برخی مدارس نیز به همین مشکل دچار شده‌اند.
یک مدرسه نسبتاً بزرگ مانند یک شهر کوچک است. و دارای اتاق پرستار، بوفه، سالن غذاخوری و غیره می‌باشد. کارمندان این مجموعه شامل حسابدار، مدیران و غیره می‌باشند. آن‌ها انواع داده‌های مالی، اجرایی، دانشجویی، کارمندی واداری دارند. که همه حساس و برای مجرمین جذاب می‌باشند.

تهدید باج افزار

بدافزار

باج افزار مانند بقیه بدافزار، داده‌ها را الزاماً از سیستم قربانی استخراج نمی‌کنند. آن‌ها دسترسی کاربر و سیستم را به داده‌ها قطع می‌کنند. باوجود دانشجویان کم‌صبر و داشتن ضرب العجل های خاص، از دست دادن داده‌ها در یک مدرسه برای مدیران آن مجموعه بسیار رنج‌آور است. در مدارس شاگردان و معلمین دستگاه‌ها و وسایل خود را به .مدرسه میاورند.. و این تعداد بالا دستگاه خود باعث مشکلات می‌گردد. بسیاری از این دستگاه‌ها از امنیت کافی برخوردار نیستند. و بدافزار را به دیگر وسایل توزیع می‌کنند.
پرداخت باج به مجرمین سایبری منطقی نیست، حتی اگر در آن لحظه به نظر ضروری بیاید. تولیدکنندگان باج افزار هیچ‌گونه تعهدی به انجام کار حتی پس از پرداخت باج ندارند و موارد زیادی وجود دارد که کلید رمزگشایی کارنکرده. و پیام مجرمین دیده نشده است. درواقع مجرمین سایبری در تولید نرم‌افزار بسیار حرفه‌ای عمل می‌کنند. و در ارائه تهدیدها از مهارت‌های بالایی برخوردار هستند.

امکان انجام چندین کار برای جلوگیری از تهدیدهایی. مانند باج افزار وجود دارد و چندین پیشنهاد. برای بازگشت از چنین حملاتی ارائه‌شده است. برای جلوگیری از ورود بدافزار به سیستم خود و حداکثر جلوگیری از زیان موارد ذیل را در نظر داشته باشید.

1. از داده‌ها backup بگیرید
مهم‌ترین مسئله برای آماده‌سازی خود و پیشگیری از حملات احتمالی توسط باج افزارها به‌روزرسانی دوره‌ای و داشتن backup امن از داده‌ها است. بسیاری از گونه‌های باج افزار “فایل‌های drive های map شده” را رمزگذاری می‌کنند. این شامل حافظه‌های USB، فایل‌های ذخیره‌شده در کلاود و غیره می‌باشد. درنتیجه backup شما باید در حافظه‌ای بدون داشتن اسم driver باشد تا امنیت آن حفظ شود. این سیستم بهتر است به اینترنت و شبکه شما متصل نباشد.

تهدید باج افزار

2. به‌روزرسانی نرم‌افزار
انتشاردهندگان بدافزار همیشه امیدوار هستند. که کاربرانی هدف قرار بگیرند که نرم‌افزار آن‌ها به‌روزرسانی نشده و قدیمی باشد. تا بتوانند از طریق آسیب‌پذیری‌ها پچ نشده به سیستم نفوذ کنند و دیده نشوند. با به‌روزرسانی نرم‌افزار خود ریسک آلودگی احتمالی بدافزار کاهش میابد. در صورت امکان به‌روزرسانی خودکار دستگاه خود را فعال کنید. از طریق خود نرم‌افزار و پروسه مربوط به‌روزرسانی کنید. و یا مستقیماً به سایت ارائه‌دهنده نرم‌افزار بروید.

برخی از نویسندگان بدافزار آن را به‌عنوان هشدار برای به‌روزرسانی معتبر ارائه می‌دهند. و با مراجعه به یک منبع معتبر و مطمئن می‌توان اطمینان حاصل نمود. که به‌روزرسانی دریافتی بدون آلودگی است. در سیستم‌های ویندوز نیز می‌توانید نسخه‌های قدیمی و از دور خارج‌شده را چک کنید. و آن‌ها را یا به‌روزرسانی و یا uninstall کنید.

3. از یک برنامه امنیتی (Security Suite) معتبر استفاده کنید
درحالی‌که یک نرم‌افزار آنتی‌ویروس دارید، یک نرم‌افزار دیواره آتش. به شناسایی تهدیدها و رفتارهای غیرعادی در سیستم شما کمک خواهد کرد. نویسندگان بدافزار در اکثر موارد سعی به پنهان‌سازی نرم‌افزار خوددارند. و داشتن بیش از یک‌لایه محافظت امری مهم است. اگر گونه‌ای جدید از بدافزار، به دلیل جدید بودن، توسط آنتی‌ویروس شناسایی نگردد. دیواره آتش ممکن است. از ورود آن به سیستم جلوگیری کند و یا در زمان تلاش برای ارتباط با سرور C&C .خود، برای دریافت فایل‌های رمزنگاری، آن را شناسایی و بلوکه کند.

4. از اصول “دادن حداقل دسترسی به کاربران (Least Privilage)” استفاده کنید

اصول “دادن حداقل دسترسی به کاربران (Least Privilage)” یعنی اینکه هیچ کاربر یا سیستمی نباید بیش از نیاز خود دسترسی برای انجام کارها داشته باشد. (که در دامنه قانونی آن کاربر یا سیستم است). به‌طورکلی اکثر کاربران نباید دسترسی مدیریتی به سیستم داشته باشند. و بر اساس امکان دسترسی به منابع خارج از محدوده خود محدود شوند. برای مثال دانشجویان باید سطح دسترسی متفاوتی از معلمین داشته باشند. و سطح دسترسی مدیران از زیردستان متفاوت باشد. وسایل و اشیا موبایل شخصی نیز باید از سیستم‌های درون‌سازمانی، که دائماً به شبکه متصل هستند. متفاوت تلقی گردند. اگر محدودیت وجود داشته باشد. می‌توان روند توزیع بدافزار را کند کرد و یا بلوکه نمود.

5. به کاربران آموزش دهید
ما میدانیم که چالش و اتفاق همیشه درراه است و خبر نمی‌کند، اما مهم این است که همه کاربران درک کنند که استفاده از منابع مدرسه به چه معنا است و نتایج آنچه می‌باشد. این آموزش را نمی‌توان فقط در اوایل شروع سال تحصیلی ارائه داد، چون ممکن است تا رسیدن نیمه اول سال تحصیلی فراموش شود. این آموزش بهتر است به‌صورت دوره‌ای باشد و همچنین پوسترهای در این رابطه را در محوطه مدرسه نمایش داد و دیگر مطالب آموزشی را در کامپیوترها و اینترنت ارائه کرد.
بهتر است از کاربران درخواست کرد که در زمان وقوع حادثه در اسرع وقت به مدیر مربوط اطلاع دهند تا با اقدامات اصلاحی خرابی و ضرر را به حداقل برسد. برای داشتن محیطی امن، کارمندان به رفتار امنیتی و پاداش تشویق کنید و آن‌ها از مشکلات آگاه نماید.

6. در فایل‌های ماکروسافت Office گزینه Macros را غیرفعال کنید

برخی از باج افزارها از روش‌های دیگری مانند استفاده از Macro های Microsoft Office برای نقض سیستم‌ها استفاده می‌کنند. فایل‌های Microsoft Office یک سیستم فایل (File System) در سیستم فایل خود کامپیوتر می‌باشند و قادر به استفاده از زبان Scripting قدرتمند برای اتوماسیون سازی همه فعالیت‌های قابل‌اجرا می‌باشند. با غیرفعال کردن Macro ها در فایل‌های Office استفاده از زبان Scripting ممنوع می‌شود و امنیت افزایش می‌یابد.

7. نشان دادن پسوند فایل‌ها (File Extensions)
یکی از روش‌های کار بدافزار ارائه اسم پسوند دوبله (مانند PDF.EXE) است. این حالت از رفتار پیش‌فرض در ویندوز و OS X سوءاستفاده می‌کند و پسوندهای ناشناخته را پنهان می‌کند. در این حالت بدافزار از این رفتار استفاده کرده. و به نظر می‌رسد فایلی است. که به‌صورت معمولی قابل exchange شدن است. با دیدن کامل پسوند فایل‌ها می‌توان فایل‌های مشکوک را راحت‌تر شناسایی نمود.

8. فیلتر کردن EXE در ایمیل‌ها

اگر اسکنر Gateway ایمیل شما قادر به فیلتر کردن Extension فایل‌ها می‌باشد. می‌توانید که از ورود ایمیل‌های با extension های EXE یا دارای دو پسوند مانند PDF.EXE جلوگیری کنید. اگر نیاز موجه به تبادل فایل‌های EXE در محیط خوددارید. و یا از ورود فایل‌های EXE جلوگیری می‌کنید. می‌توانید که آن‌ها را از طریق خدمات کلاود و یا ZIP ردوبدل کنید. ارسال از طریق ZIP به شما اطمینان خاطر بیشتری می‌دهد. و با تعیین یک اسم رمز برای کل سازمان می‌توان فایل‌های غیررسمی، غیرموجه و تهدیدآمیز را شناسایی نمود.

9. غیرفعال سازی فایل‌ها که در فولدرهای AppData/LocalAppData اجرا می‌شوند
می‌توانید در ویندوز یا با استفاده از نرم‌افزار ضد نفوذ (Intrusion Prevention) قوانینی بسازید تا از رفتار خاص که توسط بدافزار استفاده می‌گردد جلوگیری نمایید. در این حالت فایل اجرایی از فولدرهای App Data یا Local App Data اجرا می‌شود. اگر نرم‌افزاری دارید که از App Data .استفاده می‌کند. باید برای این موارد استثنا در قوانین داشته باشید.

تهدید باج افزار

10. RDP را غیرفعال کنید

باج افزارها در مواردی از پروتکل Remote Desktop یا RDP برای دسترسی به سیستم‌ها استفاده می‌کنند. که در ویندوز یک ابزار برای دسترسی از راه دور است. اگر به RDP در محیط خود نیاز ندارید می‌توانید. آن‌ها در کامپیوتر غیرفعال سازید.

School Ransomware 1

اگر یک باج افزار به سیستم شما نفوذ کرده. و از قبل پیشگیری نکرده‌اید، گزینه‌های شما محدودتر خواهد بود. اما می‌توانید برای جلوگیری از خرابی بیشتر اقدامات ذیل را انجام دهید.

• تحقیق کنید که آیا رمزگشا (decryptor) موجود است
در مواردی تولیدکنندگان باج افزار اشتباه می‌کنند. و می‌توان رمزگشاهایی را ساخت. در مواردی دیگر تولیدکننده باج افزار احساس پشیمانی و گناه می‌کند. و ادامه نمی‌دهد یا باج افزار را دیگر انتشار نمی‌دهد. ممکن است با جستجو در اینترنت کلید رمزگشایی را از یک منبع معتبر پیدا کرد.

• فوراً شبکه یا ارتباط وای فای را قطع کنید

اگر فایلی را اجرا کرده و فکر می‌کنید یک باج افزار است ولی هنوز صفحه پیام آن را در screen خود ندیده‌اید، با قطع کردن فوری اتصال اینترنتی و شبکه از ارتباط بدافزار با سرور C&C جلوگیری می‌کنید و اجازه نمی‌دهید که رمزنگاری کامل شود. ممکن است از این طریق چند فایل را بازیافت کنید.

• از System Restore برای بازگشت به وضعیت غیر آلوده قبلی استفاده کنید
اگر در ویندوز گزینه System Restore فعال است شاید بتوانید به وضعیت پاک قبلی برگردید. بسیاری از گونه‌های باج افزار از این حالت جلوگیری می‌کنند. اما امتحان کردن آن ضرری ندارد.

• ساعت BIOS خود را به عقب برگردانید

.برخی از گونه‌های باج افزار یک‌زمان شمار (timer) پرداخت باج دارند که پس از گذشت زمان خاصی هزینه پرداختی برای دریافت کلید. رمزگشایی را افزایش می‌دهد. با به عقب برگرداندن ساعت BIOS ممکن است برای خود زمان بیشتری داشته باشید. قبل از اینکه مقدار باج افزایش یابد.

تهدید باج افزار.

School Ransomware 2

مجرمین سایبری می‌دانند که داده‌های تحت حفاظت در مدارس برای دانش آموزان و کارکنان مجموعه ارزشمند هستند. و آن‌ها اهدافی با سود بالا بشمار می‌آیند. اگر اهداف آسیب‌پذیر باشد. مجرمین مجدداً و دوباره به آن حمله می‌کنند. با آماده شدن قبل از حملات احتمالی و در زمان یک وضعیت اضطراری، خطر از دست رفتن داده‌ها و پرداخت هزینه به مجرمین سایبری کاهش می‌یابد.
با توجه به اينكه طبق دستورات وزارت اموزش و پرورش در ایران مدارس مجوز استفاده. از اينترنت را تا كنون نداشتند. و بزودي قرار است چنين اجازه اي به آنها داده شود. اگر مدارس قصد اتصال به اينترنت را دارند بايد اين مسئله امنیت را جدي گرفته، آنرا پیگیری نموده و اجرا کنند.