نصائح لمنع فيروس الفدية من الوصول الى ملفاتك الهامة
يشبه التعامل مع تداعيات هجمات برامج الفدية لعبة الروليت الروسية. قد يبدو أن تقديم الفدية هو الخيار الوحيد لاستعادة البيانات المقفلة. لكن دفع الفدية لا يعني أن مؤسستك ستستعيد بياناتها المتأثرة.
دعونا لا ننسى أن برامج الفدية تستمر أيضًا في التطور كفئة تهديد. بدءًا من أواخر تشرين الثاني (نوفمبر) 2019 ، بدأت عصابات البرامج الضارة مثل Maze و DoppelPaymer في سرقة بيانات الضحايا غير الممتثلين قبل تنشيط إجراءات التشفير الخاصة بهم ونشر هذه المعلومات لاحقًا على مواقع مخصصة لتسرب البيانات. لجأت هذه الجهات الخبيثة إلى هذه التقنية كطريقة لتجاوز النسخ الاحتياطية للبيانات وإجبار المؤسسات على الدفع – أحيانًا مرتين – حتى تتجنب التكاليف المرتبطة بمعاناة خرق البيانات.
وهذا بالتحديد هو سبب عدم كفاية اكتشاف هجوم برامج الفدية قيد التقدم. تحتاج إلى التركيز على منع الإصابة بفيروس الفدية في المقام الأول. يمكنك القيام بذلك باتباع الإجراءات الأمنية المذكورة أدناه.
هل يجب عليك دفع الفدية؟
يختلف باحثو الأمن السيبراني حول ما إذا كان يجب عليك الدفع أم لا. الكثير يعارض دفع الفدية. لكن يدفع بعض الضحايا أموالهم ويتمكنون من الوصول إلى ملفاتهم ؛ يدفع الآخرون ولا يتلقون مفتاحًا أبدًا. في حالة Petya ، أنشأ المطورون البرنامج بدون طريقة لفك تشفير البيانات.
بشكل عام ، يقترح الخبراء تقليص الخسائر وعدم دفع الفدية. ومع ذلك ، يمكن أن يكون لفقدان البيانات تأثير كبير على مؤسستك ، ويزداد مقدار طلب المتسللين للحصول على فدية. طلب مطورو Petya في الأصل 300 دولار من عملات البيتكوين. تطلب الإصدارات الأحدث من برامج الفدية مئات الآلاف من الدولارات من العملات المشفرة. يوجد نموذج أعمال برامج الفدية فقط لأن الجهات الخبيثة التي تقف وراءه تستمر في الدفع. إذا تم سحب الدفعة من الجدول ، سينهار نموذج أعمال برامج الفدية.
دفع الفدية لا يضمن حصولك على المفتاح الخاص لاستعادة بياناتك. بدلاً من ذلك ، قم بحماية ملفاتك باستخدام تدابير الحماية في عملياتك اليومية. في حالة وقوع هجوم ، يمكنك إعادة الملفات إلى حالتها الأصلية. هذا هو السبب في أهمية النسخ الاحتياطية للتعافي من أي هجوم.
تدريب المستخدمين على اكتشاف برامج الفدية
تدريب المستخدم يقلل بشكل كبير من مخاطر الإصابة. يبدأ هجوم برامج الفدية عادةً برسالة بريد إلكتروني ضارة. يمكن تدريب المستخدمين على تحديد التهديدات السيبرانية بما في ذلك برامج الفدية والتصيد الاحتيالي. المستخدمون المدربون على التعرف على الرسائل الضارة هم أقل عرضة لفتح مرفق مصاب.
يستخدم المتسللون أحيانًا الهندسة الاجتماعية في هجماتهم. تحدث الهندسة الاجتماعية عندما يستهدف المهاجم مستخدمين محددين على الشبكة يتمتعون بامتيازات أعلى. يراهن المهاجمون على أن هؤلاء المستخدمين لديهم بيانات أكثر أهمية على التخزين المحلي أو لديهم إمكانية الوصول إلى أنظمة الأعمال والبنية التحتية الحيوية. هذا يزيد من فرصة قيام الشركة بدفع الفدية.
حافظ على ان يكون مكافح الفيروسات الخاص بك محدثًا
تأكد من تثبيت أحدث إصدار من البرامج الثابتة وتطبيقات مكافحة البرامج الضارة وأنظمة التشغيل وبرامج الجهات الخارجية. يتم إصدار إصدارات جديدة من برامج الفدية بانتظام ، وتضمن تحديثات البرامج أن برنامج مكافحة البرامج الضارة يتعرف على التهديدات الأحدث.
WannaCry هو مثال على تهديد نظام التشغيل. أدرجت EternalBlue ، وهي ثغرة طورتها وكالة الأمن القومي الأمريكية (NSA). لقد استفاد من ضعف في بروتوكول Server Message Block (SMB) لنظام التشغيل ويندوز. حيث نشرت مايكروسوفت تصحيحات لإيقاف WannaCry قبل 30 يومًا من العدوى. بدون التصحيحات ، تكون أنظمة تشغيل ويندوز ضعيفة.
احتفظ دائمًا بنسخ احتياطية من ملفاتك الهامة
أفضل طريقة للتعافي من برامج فيروسات الفدية هي استعادة البيانات من نسخة احتياطية. تتجاوز النسخ الاحتياطية طلب الفدية عن طريق استعادة البيانات من مصدر غير الملفات المشفرة. يعرف المتسللون ذلك ، لذا يطورون برامج الفدية التي تفحص الشبكة بحثًا عن ملفات النسخ الاحتياطي. بعد الاستعادة من نسخة احتياطية ، لا يزال يتعين عليك إزالة برامج الفدية الضارة من الشبكة.
تتمثل إحدى الطرق الفعالة لمنع البرامج الضارة من تشفير ملفات النسخ الاحتياطي في الاحتفاظ بنسخة من النسخ الاحتياطية خارج الموقع. النسخ الاحتياطية السحابية هي الخيار المعتاد للشركات التي تحتاج إلى حل النسخ الاحتياطي خارج الموقع. باستخدام النسخ الاحتياطية السحابية ، يمكنك الاحتفاظ بنسخة من ملفاتك في مأمن من برامج الفدية وتهديدات الأمن السيبراني الأخرى.
طرق كشف برامج الفدية
يأتي هجوم برامج الفدية عادةً من ملف قابل للتنفيذ أو برنامج نصي يقوم بتنزيل الملف القابل للتنفيذ وتشغيله. ليست كل هجمات برامج الفدية فورية. تظل بعض برامج الفدية خامدة حتى تاريخ محدد. على سبيل المثال ، كان نوع من برامج الفدية المسمى Locker ، وهو نسخة CryptoLocker المقلدة ، صامتًا حتى منتصف ليل 25 مايو 2015 عندما نفذ مهمته.
يكتشف مسؤولو الشبكة برامج الفدية باستخدام التطبيقات التي تراقب حركة مرور الشبكة المشبوهة. ترسل التطبيقات إشعارات عندما تعيد البرامج الضارة تسمية عدد كبير من الملفات. توفر برامج مكافحة البرامج الضارة الحماية من آلاف أنواع برامج الفدية الضارة. يحتوي على تواقيع رقمية تحدد برامج الفدية قبل تنفيذها. لا تصاب دائمًا بهجمات Zero-Day – تلك التي تستهدف الثغرات الأمنية لا يعرف عنها حتى الآن.
تشمل حلول مكافحة البرامج الضارة الحالية الذكاء الاصطناعي (AI) والتعلم الآلي ومراقبة السلوك. تعمل هذه الحلول على قياس حالة الملف الحالية مقابل التغييرات وطلبات الوصول إلى الملفات. فهي تنبه المسؤولين عن أي نشاط مشبوه حتى يمكن حل الهجوم مبكرًا ومنع تشفير الملفات وتدمير البيانات.
الاكتشاف المبكر لفيروسات الفدية يساعد على الوقاية
تتطلب الوقاية الفعالة من برامج الفدية مجموعة من تطبيقات المراقبة الجيدة والنسخ الاحتياطي المتكرر للملفات وبرامج مكافحة البرامج الضارة وتدريب المستخدم. على الرغم من عدم وجود دفاعات إلكترونية تقلل المخاطر تمامًا ، إلا أنه يمكنك الحد بشكل كبير من فرصة نجاح المهاجمين.
جرد الأصول والأجهزة الخاصة بك
من أجل حماية نفسك من الإصابة بفيروس الفدية ، تحتاج أولاً إلى معرفة أصول الأجهزة والبرامج المتصلة بالشبكة. يمكن أن يساعد الاكتشاف النشط ، لكنه لن يكشف عن الأصول التي ينشرها أفراد من الإدارات الأخرى. إدراكًا لهذا القصور ، يجب أن تتبنى الاكتشاف السلبي كوسيلة لبناء مخزون شامل للأصول بالإضافة إلى تحديث قائمة الأجهزة والبرامج المتصلة.
ضبط إعدادات مكافحة البريد العشوائي بالطريقة الصحيحة
من المعروف أن معظم متغيرات برامج الفدية تنتشر عبر رسائل البريد الإلكتروني اللافتة للنظر التي تحتوي على مرفقات ضارة. قد تتضمن بعض هذه المرفقات مستندات Word أو تنسيقات ملفات أخرى شائعة الاستخدام في مؤسستك. ولكن قد يصل البعض بتنسيق نادرًا ما يتم استخدامه على الإطلاق. بعد ذلك ، يمكنك تكوين خادم بريد الويب الخاص بك لحظر تلك المرفقات. (امتدادات الملفات مثل .EXE أو .VBS أو .SCR هي بعض الأمثلة الشائعة.)
الامتناع عن فتح المرفقات التي تبدو مشبوهة
هذا لا ينطبق فقط على الرسائل المرسلة من قبل أشخاص غير مألوفين. كما أنه يتعلق بالمرسلين الذين تعتقد أنهم معارفك. قد تتنكر رسائل البريد الإلكتروني المخادعة كإخطارات من خدمة توصيل أو مصدر تجارة إلكترونية أو وكالة إنفاذ قانون أو مؤسسة مصرفية.
تجنب إعطاء معلومات شخصية لأى شخص
يحتاج المهاجمون الضارون إلى الحصول على معلوماتك من مكان ما إذا كانوا يأملون في إرسال بريد إلكتروني للتصيد الاحتيالي يحتوي سراً على برامج الفدية باعتبارها حمولته. بالتأكيد ، قد يحصلون على هذه المعلومات من خرق البيانات الذي تم نشره على الويب المظلم. لكن يمكنهم فقط الحصول عليها باستخدام تقنيات OSINT عن طريق البحث في منشوراتك على وسائل التواصل الاجتماعي أو ملفات التعريف العامة للحصول على أجزاء أساسية من المعلومات. مع ذلك ، من المهم عدم الإفراط في المشاركة عبر الإنترنت وتجنب تقديم أجزاء محددة من المعلومات الشخصية بشكل عام ما لم يكن ذلك ضروريًا للغاية.
فكر مرتين قبل النقر على أى رابط خارجي
من الممكن تلقي ارتباطات تشعبية خطيرة عبر الشبكات الاجتماعية أو برامج المراسلة الفورية. في أغلب الأحيان ، يخرق المجرمون الرقميون حساب شخص ما ثم يرسلون روابط سيئة لقوائم جهات الاتصال بأكملها. وهذا يفسر سبب كون مرسل الارتباط السيئ شخصًا تثق به مثل صديق أو زميل أو أحد أفراد العائلة. لا تنقر على رابط مريب بغض النظر عن مصدره. إذا لم تكن متأكدًا مما إذا كانت جهة الاتصال تنوي إرسال رابط انتباهك إليك ، فاستخدم وسيلة اتصال بديلة للتواصل معهم والتحقق.
استخدم ميزة إظهار ملحقات الملفات
Show File Extensions هي إحدى وظائف ويندوز الأصلية التي تتيح لك بسهولة معرفة أنواع الملفات التي يتم فتحها بحيث يمكنك التخلص من الملفات التي قد تكون ضارة. يكون هذا مفيدًا عندما يحاول المحتالون استخدام تقنية مربكة حيث يبدو أن أحد الملفات يحتوي على امتدادين أو أكثر ، على سبيل المثال ، cute-dog.avi.exe أو table.xlsx.scr. انتبه إلى الحيل من هذا النوع.
قم بتعطيل الانترنت على الفور إذا اكتشفت عملية مشبوهة
هذه التقنية فعالة بشكل خاص في مرحلة مبكرة من الهجوم. تحتاج معظم عينات برامج الفدية إلى إنشاء اتصال مع خوادم القيادة والتحكم (C&C) من أجل إكمال روتين التشفير الخاص بهم. بدون الوصول إلى الإنترنت ، سيبقى برنامج الفدية في وضع الخمول على جهاز مصاب. يمنحك هذا السيناريو القدرة على إزالة البرنامج الضار من جهاز كمبيوتر مصاب دون الحاجة إلى فك تشفير أي بيانات.
قم بالتنزيل من المواقع التي تثق بها فقط
تلعب الثقة دورًا مهمًا في منع الإصابة بفيروس الفدية. تمامًا كما يجب أن تحاول إيقاف تشغيل أي عمليات غير موثوق بها على جهاز الكمبيوتر الخاص بك ، يجب أيضًا محاولة السماح بالتنزيلات من المواقع التي تثق بها فقط. يتضمن ذلك مواقع الويب التي تستخدم “HTTPS” في شريط العناوين بالإضافة إلى أسواق التطبيقات الرسمية لجهازك (أجهزتك) المحمولة.
أضف التطبيقات إلى القوائم المسموح بها
بالحديث عن الثقة ، من المهم عدم تثبيت التطبيقات التي يمكن أن تعرض بيئتك للخطر. يجب عليك إضافة تطبيقات إلى قائمة مسموح بها كوسيلة للموافقة على البرامج التي يمكن أن تنفذها أنظمتك ، وفقًا لسياسات الأمان الخاصة بمؤسستك.
احتفظ بجدار حماية الويندوز قيد التشغيل وتكوينه بشكل صحيح
يمكن أن يساعد جدار حماية ويندوز في حماية أجهزة الكمبيوتر الخاصة بك من حالات الوصول غير المصرح به مثل محاولة فاعلي برامج الفدية لإصابة أجهزتك. يمكنك معرفة المزيد حول جدار حماية الويندوز على موقع Microsoft على الويب.
اضبط برنامج الحماية الخاص بك لفحص الملفات المضغوطة أو المؤرشفة
يعتقد العديد من ممثلي برامج الفدية أنه يمكنهم الحصول على عوامل تصفية البريد الإلكتروني عن طريق إخفاء حمولاتهم داخل المرفقات التي تحتوي على ملفات مضغوطة أو مؤرشفة. لذلك أنت بحاجة إلى أدوات قادرة على فحص هذه الأنواع من الملفات بحثًا عن البرامج الضارة.
استخدم عوامل تصفية قوية للبريد العشوائي وقم بمصادقة المستخدمين
بصرف النظر عن القدرة على فحص الملفات المضغوطة أو المؤرشفة ، فأنت بحاجة إلى عوامل تصفية قوية للبريد العشوائي قادرة على منع رسائل البريد الإلكتروني المخادعة من الوصول إلى المستخدمين بشكل عام. يجب عليك أيضًا استخدام تقنيات مثل إطار عمل سياسة المرسل (SPF) ، وتقارير مصادقة رسائل المجال والمطابقة (DMARC) والبريد المحدد بمفاتيح المجال (DKIM) لمنع الجهات الضارة من استخدام تقنيات انتحال البريد الإلكتروني.
تعطيل Windows Script Host
تستخدم بعض الجهات الضارة ملفات .VBS (VBScript) لتشغيل برامج الفدية على جهاز كمبيوتر مصاب. يجب عليك تعطيل Windows Script Host لمنع البرامج الضارة من استخدام هذا النوع من الملفات.
تعطيل Windows PowerShell
PowerShell هو إطار عمل أتمة المهام وهو أصلي لأجهزة الكمبيوتر التي تعمل بنظام ويندوز. وهو يتألف من غلاف سطر أوامر ولغة برمجة نصية. يستخدم الأفراد الشريرون عادةً PowerShell لتنفيذ برامج الفدية من الذاكرة ، مما يساعد على تجنب الكشف عن طريق حلول مكافحة الفيروسات التقليدية. لذلك يجب عليك التفكير في تعطيل PowerShell على محطات العمل الخاصة بهم إذا لم يكن لديك استخدام شرعي لإطار العمل.
عزز أمان تطبيقات Microsoft Office الخاصة بك
يميل الأفراد الشائنون إلى استخدام ملفات Microsoft مُسلَّحة لتوزيع حمولاتهم الخبيثة. تستخدم هذه الملفات بشكل شائع وحدات الماكرو و ActiveX ، على وجه الخصوص. الاعتراف بهذه الحقيقة ، يجب عليك تعطيل وحدات الماكرو و ActiveX لمنع تنفيذ التعليمات البرمجية الضارة على جهاز كمبيوتر يعمل بنظام ويندوز.
قم بتثبيت وظيفة إضافية للمستعرض لحظر النوافذ المنبثقة
تعمل النوافذ المنبثقة كنقطة دخول مشتركة للجهات الفاعلة الخبيثة لشن هجمات برامج الفدية. لذلك يجب عليك النظر في تثبيت الوظائف الإضافية للمتصفح لإيقاف النوافذ المنبثقة في مساراتها.
استخدم كلمات مرور قوية
في حالة وجود كلمة مرور ضعيفة ، يمكن للجهات الخبيثة أن تشق طريقها بوحشية إلى نظام أو حساب. يمكنهم بعد ذلك الاستفادة من هذا الوصول لإجراء هجمات ثانوية أو التحرك بشكل جانبي عبر الشبكة بغرض نشر برامج الفدية. لهذا السبب يجب عليك استخدام كلمات مرور قوية وفريدة من نوعها وفرضها لجميع الحسابات.
قم بإلغاء تنشيط التشغيل التلقائي
التشغيل التلقائي هو إحدى ميزات الويندوز التي تتيح للمستخدمين تشغيل الوسائط الرقمية على الفور مثل محركات أقراص USB ووحدات الذاكرة والأقراص المدمجة. يمكن للجهات الخبيثة استخدام هذه الأنواع من الأجهزة لاختراق برامج الفدية إلى جهاز الكمبيوتر الخاص بك. ردا على ذلك ، يجب عليك تعطيل هذه الميزة في جميع محطات العمل.
لا تستخدم وسائط غير مألوفة
يعد اختراق سلسلة التوريد الخاصة بالمؤسسة أمرًا واحدًا للجهات الفاعلة الضارة وإرسال أجهزة وسائط ذات طروادة. يعد توصيل جهاز غير مألوف بجهاز الكمبيوتر عن طيب خاطر أمرًا آخر. أنت لا تعرف أبدًا ما الذي يمكن أن يختبئ على محرك أقراص USB أو قرص مضغوط ليس ملكك. لذلك يجب تجنب استخدام هذه الأنواع من الوسائط ما لم تكن قد اشتريتها من مزود حسن السمعة.
تأكد من تعطيل مشاركة الملفات
أنت لا تريد منح المهاجمين أي طريقة لإصابة أجهزة متعددة في بيئتك. لهذا السبب يجب عليك تعطيل مشاركة الملفات. في حالة حدوث هجوم ببرنامج الفدية ، ستظل البرامج الضارة المشفرة معزولة على جهازك ولن تنتشر إلى الأصول الأخرى.
تعطيل الخدمات عن بعد
يمكن للقراصنة ذوي القبعة السوداء الاستفادة من بروتوكول سطح المكتب البعيد لتوسيع سطح الهجوم والحصول على موطئ قدم في شبكتك. للحد من هذا التهديد ، يجب عليك تعطيل الخدمات البعيدة. سيساعد القيام بذلك على إغلاق متجه واحد للهجمات عن بُعد.
قم بإيقاف تشغيل الاتصالات اللاسلكية غير المستخدمة مثل منافذ البلوتوث
هناك حالات تستغل فيها الجهات الخبيثة البلوتوث من أجل اختراق الجهاز. يجب عليك معالجة متجه التهديد هذا عن طريق إيقاف تشغيل Bluetooth ومنافذ الأشعة تحت الحمراء والتوصيلات اللاسلكية الأخرى التي قد لا يتم استخدامها في المؤسسة.
استخدام سياسات تقييد البرامج
وفقًا لوثائق مايكروسوفت ، فإن سياسات تقييد البرامج هي سياسات ثقة تمكّن المؤسسات من إدارة عملية تشغيل التطبيقات على أجهزة الكمبيوتر الخاصة بهم. على سبيل المثال ، يأتي مع القدرة على تحديد الأماكن التي توجد فيها التطبيقات ولا يُسمح لك بتنفيذها. هذا مفيد للمساعدة في منع الإصابة بفيروس الفدية ، حيث يستخدم المهاجمون عادةً ProgramData و AppData و Temp و Windows SysWow لاستضافة عملياتهم الضارة.
قم بحظر عناوين Tor الخبيثة
تعد بوابات Tor (The Onion Router) إحدى الوسائل الأساسية لتهديدات برامج الفدية للتواصل مع خوادم القيادة والتحكم الخاصة بهم. لذلك يمكنك حظر عناوين IP الضارة المعروفة لـ Tor ، حيث قد تساعد هذه العناوين في إعاقة العمليات الضارة الحرجة من الوصول.
راقب الشبكة بحثًا عن أي نشاط مشبوه
مهما كانت الطريقة التي تقرر بها تنظيم شبكتك ، فأنت بحاجة إلى مراقبة سلوك التهديد الذي قد يشير إلى هجوم فدية أو حادث أمني. لهذا السبب تحتاج إلى استخدام أدوات لمراقبة الشبكة بحثًا عن أي نشاط مريب.
