Jump to Navigation

توصیه های مفید

گسترش باج‌افزارها

http://nsec.ir/sites/contents/ransomware_0.jpg

باج‌افزارها یکی از دسته‌های نوظهور و بسیار خطرناک از بدافزارهای شبکه‌های رایانه‌ای هستند. در سال‌های اخیر، فعالیت این دسته از بدافزارها به‌طور چشمگیری افزایش یافته و مقابله با آن‌ها سخت‌تر شده است. این دسته از بدافزارها در دنیای فضای تبادل اطلاعات اقدام به باج‌گیری می‌نمایند. بدین منظور پس از رخنه به رایانه فرد قربانی، به‌طور پنهان اقدام به رمز نمودن فایل‌های مختلف موجود بر روی رایانه نموده و پس از اطمینان از رمز شدن تمامی فایل‌های مهم، پیغامی به کاربر نمایش داده و مهلت محدودی (2 الی 3 روز) برای کاربر تعیین می‌نمایند تا وجه قابل توجهی را به یک شماره حساب غیرقابل ردگیری واریز نماید.

معمولاً باج‌افزارها از طریق اجرا نمودن فایل‌های آلوده ضمیمه شده به نامه‌های الکترونیکی یا بازدید از صفحات وب‌‌سایت‌های آلوده منتقل می‌شوند. گاهی نیز ممکن است فرد قربانی با شناخت قبلی انتخاب شده و با استفاده از روش‌های مهندسی اجتماعی آلوده گردد. CryptoLocker، CryptoDefence، CryptoWall، ACCDFISA وGPCode از جمله باج‌افزارهای شناخته شده هستند.

 

نحوه عملکرد باج‌افزارها

پس از آن‌که این دسته از بدافزارها راهی برای نفوذ به سیستم فرد قربانی پیدا نمودند، خود را به پروسه‌های در حال اجرای سیستم‌عامل اضافه نموده و شروع به کپی‌برداری و اجرای بدنه اصلی خود می‌کنند. در مرحله بعد، تمامی درایوها و دایرکتوری‌های رایانه را به دنبال فایل‌های منتخب جستجو می‌نمایند. به طور مثال در بدافزار CTB-Locker، بدافزار تمامی فایل‌هایی که پسوند اجرایی آن‌ها یکی از الگوهای زیر باشد را فهرست می‌نماید:

pdf  .xls  .ppt  .txt  .py  .wb2  .jpg  .odb  .dbf  .md  .js  .pl

پس از آن باج‌افزار به‌صورت پنهان اقدام به رمز نمودن فایل‌های فهرست شده نموده و تا پایان رمز شدن تمامی فایل‌ها، با استفاده از کلید رمز اختصاصی خود همچنان دسترسی به فایل‌ها را میسر می‌سازد. در این حین کاربر سیستم به‌هیچ عنوان متوجه عملیات رمزگشایی فایل‌ها در هنگام اجرای فایل نمی‌گردد. این بدافزار پس از اطمینان از رمز شدن تمامی فایل‌های فهرست شده و از بین بردن تمامی ردپاها، کلید رمز خود را منهدم نموده و پیغامی مبتنی بر درخواست باج به کاربر نمایش می‌دهد. معمولاً در این پیغام، لیستی از تمامی فایل‌های رمز شده به‌همراه روش پرداخت باج نیز وجود دارد.

باج‌افزارهای جدید از شبکه Tor برای مخفی نمودن خود و از Bitcoin برای غیرقابل ردگیری نمودن شیوه پرداخت وجه استفاده می‌کنند.

 

روش‌های مقابله

این بدافزارها دارای مکانیزم‌های پیچیده‌ای هستند و بهترین راه‌کار برای مقابله با آن‌ها، پیشگیری و مسدود نمودن راه‌های نفوذ‌ آن‌ها به سیستم است. به همین منظور توصیه می‌گردد که:

  • به‌طور منظم یک نسخه پشتیبان از تمامی داده‌های حساس خود تهیه کنید.

  • حتماً از یک آنتی‌ویروس که به‌طور مرتب به‌روزرسانی می‌شود استفاده کنید.

  • دقت کنید که فایروال سیستم‌عامل شما حتماً فعال بوده و به درستی پیکربندی شده باشد.

  • تنها در صورتی که به فرستنده اعتماد دارید، بر روی لینک‌ها و یا پیوست نامه‌های الکترونیکی کلیک کنید.

  • از درستی تنظیمات مرورگر وب خود اطمینان حاصل نمایید.

  • از بازدید وب‌سایت‌های پرخطر خودداری نموده و پیش از بازدید از وب‌سایت‌های ناشناس، از آلوده نبودن آن‌ها اطمینان حاصل نمایید.

  • به‌طور مرتب، نرم‌افزارهای مورد استفاده خود را به‌روزرسانی کنید.

لینک منبع

در روزهای اخیر انتشار گونه جدیدی از باج افزار CTB-Locker در کشورهای مختلف از جمله ایران گزارش شده است. گونه جدید نیز مانند بقیه بدافزارهای باجگیر (Ransomware) اقدام به رمزگذاری فایلهای کامپیوتر قربانی کرده و از کاربر برای رمزگشایی و برگرداندن فایلها به حالت عادی اخاذی می کند.

در گونه جدید CTB-Locker، مبلغ اخاذی از ۰٫۲ بیت کوین در نمونه قبلی به ۳ بیت کوین (حدود ۷۵۰ دلار) افزایش پیدا کرده است. ضمن اینکه مهلت پرداخت باج از ۷۲ ساعت به ۹۶ تغییر یافته است.

این گونه جدید بصورت پیوست ایمیل، در قالب یک فایل ZIP و با یکی از نامهای زیر به کاربر ارسال می گردد:

malformed.zip
plenitude.zip
inquires.zip
simoniac.zip
faltboat.zip
incurably.zip
payloads.zip
dessiatine.zip


 

استفاده از موضوعات (Subject) زیر نیز در هرزنامه های ارسالی توسط باجگیر گزارش شده است:

[Fax server] +07909 546940
copy from +07540040842
Message H4H2LC68B7167E4F4
New incoming fax message, S8F8E423F9285C5
Incoming fax from +07843-982843
[Fax server]:+07725-855368
Fax ZC9257943991110
New fax message from +07862-678057

عنوان CTB برگرفته از عبارت Curve Tor Bitcoin است که در آن Curve معرف رمزگذاری پیچیده  Elliptical Curve Encryption می باشد.

این بدافزار اقدام به رمز کردن فایلها با پسوندهای مختلف از جمله PDF و XLS می کند.

پس از رمز شدن فایلهای مورد نظر بدافزار، یک پنجره مشابه تصویر زیر ظاهر می گردد.

CTB-Locker-Msg

با کلیک بر روی دگمه View فهرست فایلهای رمزگذاری شده نمایش می یابد.

شناسایی CTB-Locker

گونه های جدیداین بدافزار با نامهای BackDoor-FCKQ، Downloader-FAMV و Injector-FMZ توسط ضدویروس McAfee شناسایی می شوند.

همچنین استفاده از فایل به روز رسانی موقت (EXTRA DAT) که حاوی فرمول شناسایی آخرین گونه های بدافزار CTB-Locker می باشد نیز توصیه می شود.

نحوه نصب فایل به روز رسانی موقت از طریق ابزار مدیریتی (ePolicy Orchestrator) ePO

۱) فایل دریافتی را باز کنید.
۲) در کنسول ePolicy Orchestrator بر روی Menu کلیک و در قسمت Software گزینه Master Repository را انتخاب نمایید.
۳) بر روی دگمه Actions کلیک کرده و گزینه Check In Package را انتخاب کنید.
۴) پس از فعال کردن گزینه Extra DAT بر روی گمه Browse کلیک نموده و فایل دریافت شده از پیوند فوق را انتخاب کنید. در ادامه بر روی دگمه Next کلیک نمایید.
۵) پس از ظاهر شدن مشخصات فایل، بر روی دگمه Save کلیک کنید تا فایل در انباره قرار گیرد.

برای ضدویروس Bit defender، به روز رسانی مستمر و خودکار از طریق اینترنت، قابلیت شناسایی گونه های مختلف بدافزار CTB-Locker را به این ضدویروس اضافه می نماید.

هشدار!
  
گرچه اغلب ضدویروس ها قادر به شناسایی گونه های مختلف CTB-Locker هستند ولی در صورتیکه بدافزار فرصت داشته و موفق به رمزگذاری فایلهای کامپیوتر آلوده شود، هیچ راهکاری برای رمزگشایی فایلها و برگرداندن آنها به حالت اولیه وجود نخواهد داشت. هیچیک از نرم افزارهای ضدویروس در دنیا قادر به بازگرداندن فایلهای رمز شده نیستند و تنها اقدام به شناسایی و حذف فایلهای مخرب و مرتبط با بدافزار می کنند. تنها راه حل واقعی و عملی برای بازگرداندن فایلها، پرداخت باج است که برای برخی گونه های CTB-Locker مبلغی حدود ۳ میلیون تومان برای هر کامپیوتر هزینه خواهد داشت.

اقدامات پیشگیرانه

- پرهیز از بازگشایی ایمیل‌ها و پیوست های ناشناس و مشکوک

- اطمینان از به روز رسانی مستمر و به روز بودن نرم افزار ضد ویروس

- به روز رسانی سیستم های عامل و نرم افزارهای کاربردی و نصب اصلاحیه های امنیتی آنها

 

لینک منبع خبر

کاربران محترم شبکه دانشگاه، به طوري که مي دانيد يکي از راه هاي انتشار ويروس هاي کامپيوتري استفاده از حافظه هاي بيروني Removeable Media، مانند Flash Memory و CD Rom  و غيره،  مي باشد. بعد از اين که حافظه بيروني توسط کامپيوتر شناسايي و فعال شد اين ويروس ها از طريق قابليت AutoRun اجرا مي شوند و از اين طريق خود را به کامپيوتر منتقل و اثرات تخريبي را بر جا مي گذارند. AutoRun  براي اجراي خودکار برنامه هاي اجرايي موجود در CD و ساير حافظه هاي بيروني، استفاده مي شود.

يکي از راهکارهاي موءثر براي جلوگيري از انتشار ويروس به کامپيوتر هاي شخصي از اين طريق، غير فعال کردن AutoRun است. در اين صورت تنها راه اجراي برنامه هاي موجود در حافظه بيروني انتخاب و اجراي آن توسط کاربر خواهد بود.

 با توجه به اين که طبق اطلاعات موجود،  Flash Memory بيشترين عامل انتشار ويروس در سطح دانشگاه مي باشد، غير فعال کردن AutoRun مي تواند در جلوگيري از آلوده شدن کامپيوترها در سطح دانشگاه موثر باشد.

براي غيرفعال کردن AutoRun در کامپيوترهاي خود مي توانيد از روش زير استفاده کنيد.

1-     راهنماي غير فعال کردن AutoRun درWindows 7    و  Windows Vista

2-     راهنماي غير فعال کردن AutoRun در Windows 2000 و Windows XP

 

در ضمن در صورت نياز مسئولين پشتيباني دانشکده ها و مراکز در اين امر شما را ياري خواهند داد.

به دليل ارسال حجم بالايي از Spam  به آدرس پست الکترونيکي افراد، سيستم هاي Email از نرم افزار هاي کنترل کننده Spam   استفاده مي کنند  و نامه هايي  که Spam   تشخيص مي دهند را در شاخه Junk   قرار مي دهند. احتمال تشخيص اشتباه توسط اين نرم افزارها وجود دارد و در نتيجه بعضا نامه هاي عادي نيز به عنوان Spam    به جاي  Inbox   در شاخه Junk   قرار داده مي شوند.

 

از کليه کاربران محترم درخواست مي شود  هنگام بررسي نامه هاي الکترونيکي خود،  علاوه بر Inbox،   شاخه Junk  را هم ملاحظه نمايند و در صورتي که نامه معتبري در آن بود با انتخاب آن و کليک بر روي دکمه Not Junk آنرا به شاخه Inbox  منتقل نمايند.  با اين کار نامه هاي مشابه بعدي نيز  به Inbox   خواهند رفت.  بعد از اطمينان از اين که هيچ نامه معتبر ديگري در شاخه  Junk باقي نمانده است حتما با کليک راست روي شاخه Junk   و انتخاب Empty Junk   اين شاخه را خالي کنند.

 

همچنين از کاربراني که از Outlook استفاده مي کنند خواهشمند است بطور متناوب به سرور اصلي مراجعه کرده و به شکلي که گفنه شد نامه هاي درون شاخه Junk را بررسي نمايند زيرا  نامه هايي که در شاخه Junk  قرار  دارند با Outlook   و اصولا با POP3   منتقل نمي شوند.

 

جهت دریافت فایل pdf برروی این لینک کلیک نمایید

 

با توجه به مشاهدات انجام شده براي جمعي از دانشگاهيان، رايانامه( ايميل/پست الکترونيکي) هايي با عناوين Attention Storage Limit Exceeded و موارد ارسال شده توسط آن سعي در فريب و دزديدن اطلاعات حساس کاربران شده است ، از اين رو گزارشي از اين ايميل هاي مجعول و راه حل مقابله را در لينک زير مي توانيد دريافت نماييد.
 
جهت در يافت فايل برروي اين لينک کليک نماييد.

 
 

فیشینگ چیست؟

جهت دریافت فایل pdf برروی این لینک کلیک نمایید

 

 

توصیه های امنیتی در خصوص رمز عبور

 

 

جهت دریافت فایل pdf برروی این لینک کلیک نمایید

 

 

 

web

امنیت: 

مرورگرهای قدیمی، بهترین فرصت برای دسترسی برنامه‌های مخرب به اطلاعات شما، یا نفوذ به دستگاه شما هستند. هربار که نسخه جدید یک مرورگر منتشر می گردد، تعدادی از اشکالات نرم افزاری که در نسخه های قبلی موجود بوده برطرف می شود. استفاده از آخرین نسخه مرورگر، باعث انسجام بیشتر مرورگر شما و آسودگی بیشتر در وبگردی خواهد بود. 

سرعت: 

سرعت بیشتر در مرور صفحه‌های وب چیزیست که هر کاربری خواستار آن است، رقابت اصلی مرورگرهای امروزی بر سر افزایش سرعت است، پس مطمئناً با ارتقای مرورگر، سرعت بارگذاری صفحه‌های وب بیشتر از مرورگر قدیمی شما خواهد بود.

تفسیر بهتر کد:

مرورگر های قدیمی در تفسیر برخی کدها درست عمل نمی کنند، با استفاده از آخرین نسخه، این پردازش های اشتباه به حداقل خواهند رسید.

پشتیبانی از فناوری های جدید وب: 

فناوری وب به سرعت در حال پیشرفت است و هیچ کاربری مایل نیست به خاطر داشتن یک مرورگر قدیمی، از دیدن صفحاتی که با استفاده از فناوری‌های جدید وب مثل HTML5 و CSS3 ساخته شدن، محروم شود. 

رابط کاربری بهتر: 

مرورگرهای جدیدتر با داشتن یک محیط کاربر پسندتر، استفاده از وب را برای کاربران آسان‌تر می نمایند. نگارش جدیدتر مرورگرها به استاندارد های W3C نزدیکتر هستند، امکانات جدید Tab Browsing، مدیریت پسورد، افزونه‌ها، هماهنگ سازی، قابلیت شخصی سازی محیط کاربری و استفاده از پوسته‌ها و… از جمله امکاناتی هستند که در مرورگرهای قدیمی وجود نداشتند.

ticket

جهت دريافت demo فرستادن تيکت برروي اين لينک کليک نماييد.
 
جهت فرستادن تيکت براي موارد مختلف به شکل زير تيک مي فرستيم
ابتدا برروي سايت http://support.iut.ac.ir  قرار مي گيرم سپس برروي لينک ارسال درخواست قرار مي گيريم

در قسمت انتخاب يک سازمان قسمت و دانشکده مورد نظر را انتخاب مي کنيم
 

در قسمت اطلاعات عمومي اطلاعات شخصيتان کامل وارد مي کنيد نام و نام خانوادگي و پست الکترونيکي در قسمت موضوع تيک را و در قسمت محتوا اطلاعات مربوط به مشکل را وارد مي نمايم
  

 
لازم به ذکر است در صورتي که بخواهيد متن يا تصويري ضميمه کنيد در قسمت upload file  قرار مي گيريم و سپس برروي گزينه افزودن فايل و فايل مورد نظر را نتخاب مي کنيم
 



by Dr. Radut