مدیر امور اداری بیمارستان فارابی:آنچه کارکنان سازمان ها و ادارات باید بدانند
روش های آشنایی، پیشگیری و مقابله با باج افزارها
با گسترش شبکه های اینترنتی و اطلاعات در سراسر دنیا و تاکید بر الکترونیکی شدن فرایندها در کشور به ویژه در سالیان گذشته مزایای زیادی را به همراه دارد. اما در این بین ممکن است برخی افراد از جمله هکرها به منظور سودجویی و یا کلاهبرداری اقدام به ساخت بدافزارها یا باج افزارها کرده و با آلوده کردن سیستم های رایانه ای سازمان ها، ادارات یا اشخاص و رمزگذاری اطلاعات مهم سعی در اخاذی از آنان کنند. به همین دلیل لزوم آشنایی کارکنان ادارات، نهادها، بیمارستان ها و در کل سازمان های دولتی و خصوصی با شبکه های اینترنتی و مسائل امنیتی مربوط به حفاظت از داده ها و اطلاعات، تاثیر زیادی در پیشگیری از آلوده شدن سیستم ها به باج افزار یا ویروس ها دارد. موارد زیر می تواند در این زمینه مفید باشد.
باج افزار یا همان Ransomware گونه هاى از بدافزارها هستند که دسترسى به سیستم را محدود مى کنند و ایجادکننده آن براى برداشتن محدودیت درخواست باج مى کند. برخى از انواع آن هاروى فایل هاى هارددیسک رمزگذارى انجام مى دهند و برخى دیگر ممکن است به سادگی سیستم را قفل کنند وپیام هایی روی نمایشگر نشان دهند که کاربر جهت بازیابی فایل ها وحذف پیام های باج افزار می بایست مبلغی را پر داخت کند. این مبلغ به روش های مختلفی از کاربر گرفته مى شود که قابل بازپس گیرى نیست. مثلاًاز طریق پیام کوتاه شارژى یا سیستم یوکش و یا پول هاى الکترونیکى همانند بیت کوین که قابلیت ردگیرى ندارند. البته در اغلب موارد پس ازپرداخت باج نیز این فرایند خاتمه پیدا نمى کند وباج گیرى وایجاد ترس و واهمه براى دریافت مبالغ بیشتراز قربانى ادامه دارد. تاکنون براى باج افزارها به دلیل اینکه هر کدام داراى یک کلیداختصاصى برای رمزگشایى هستندراه حل قطعى پیدا نشده است به همین منظور آموزش و بالابردن سطح آگاهى کارکنان سازمان ها وشرکت ها بهترین راه برای پیشگیرى از آلوده شدن به این بدافزارها است. پیشگیری و مقابله با بدافزارهای باج گیر از طریق فرایندهای زیر انجام می شود:
1- پیشگیری و آموزش برای جلوگیری از آلوده شدن
مهمترین مساله در رویارویى با بدافزارهاى باجگیر آموزش وآگاهى افراد از این تهدید و پیشگیری از آن می باشد. آلوده شدن به بدافزارهای باجگیراز روش هاى مختلفى رخ می دهد. برخى از رایج ترین این روش ها شامل موارد ذیل است:
- باز کردن پیوست ایمیل هاى اسپم یا لینک هاى درون آن ها
- باز کردن فایل هاى دانلود شده آلوده از سایت هاى نامعتبر یا کلیک روى لینک هاى مخرب
- استفاده از روش هاى مهندسى اجتماعى براى هدایت کاربران به صفحات فیشینک
- آلودگى از طریق سایت هاى هک شده ویا شبکه های توزیع تبلیغات آلوده
- آلودگى از طریق هک و نفوذ به سیستم ها، به خصوص سیستم هایى که آسیب پذیرى آنها وصله نشده است.
حداقل اقدامات موثر در پیشکیری از آلودگی به بدافزارهای باجگیر یا کاهش اثر ریسک آنها را می توان به بخش هایی که در ادامه می آید تقسیم نمود:
- اطلاع رسانى و آموزش کاربران برای پرهیز از رفتار خطرناک همانند عدم بازگشایی ایمیل های مشکوک، عدم دریافت
فایل ونرم افزارها از منابع نامعتبر وغیر رسمی و عدم کار با حافظه های جانبى قبل از بررسی واسکن آن وغیره
- پشتیبان گیرى منظم از داده ها و اطلاعات
- نصب وفعال بودن و به روزرسانى دائم یک ضدویروس اصل و یک ابزار ضد باجگیر روى سیستم
- پیکربندى امن وفعال سازى قابلیت هاى امنیتى سیستم عامل ونرم افزارها
- غیر فعال کردن ومحدود کردن اجرای اسکریپت هاى غیر ضرورى در سیستم عامل ومرورگرها
- کنترل و پیشگیرى از اجراى برنامه ها از مسیرهاى خاص کار با استفاده از نرم افزارهاى کنترلى سیستم عامل همانند
نرم افزار AppLocker Microsoft
- رصد اخبار امنیتى و به روزبودن کاربر وبستن راه های آلوده شدن سیستم وکانال های کنترل وفرماندهی باج افزارها
2- اقدامات ضروری در زمان آلوده شدن
معمولاً آلودگى به باجگیر بسیارپر سروصدا است و بلافاصله با نمایش یک پیغام بزرگ، تغییر تصویر پس زمینه ویندوز، فایل هاى راهنماى پرداخت باج، یا نهایتاً باز نشدن فایل هاى اطلاعاتى مشخص می شود. در صورت آلودگى به بدافزارهاى باجگیر انجام اقدامات زیر ضروری است:
- قطع کردن سیستم آلوده از تمامى شبکه ها وخاموش کردن تمامى امکانات wireless از جمله Wi-Fi یا بلوتوث
- جداسازى تمامى دستگاه هاى ذخیره سازى همانند USB یا هارد درایو از سیستم
- رایانه آلوده را در صورت امکان خاموش کرده واز روشن کردن مجدد آن خودداری شود. چراکه احتمال رمزگذارى چندباره روى فایل ها یا تکمیل عملیات رمزگذاری روی فایل هایی که به هر دلیلى مصون مانده اند، وجود دارد.
- اطلاع رسانى به سلسله مراتب درون سازمانى ومراجع ذی صالح جهت جلوگیرى از انتشار بدافزار در سازمان و سایر سازمان ها
- از دستکارى سیستم آلوده تاحد امکان خوددارى شود. اگراز داده ها پشتیبان وجود دارد بهتراست تا زمانی که بدافزار پاکسازى نشده وروش آلودگی وروش جلوگیری از تکرار اتفاق پیدا نشده است، از بازیابى خودداری شود. چرا که وجود بدافزار ممکن است منجر به آلودگی مجدد (بلافاصله، یا بافاصله زمانی) شده ودر بدترین حالت پشتیبان ها نیز از دست
بروند. در مورد سرویس هاى حیاتى که وقفه در ارائه آن ها خسارات زیادى به بار مى آورد، بهتراست سرویس روى سیستم دیگری مجدداً راه اندازى شود وسیستم اصلى برای بررسی نگهداری شود.
3- اقدامات پس از حادثه (آلوده شدن)
عملیات پس از حادثه اقداماتى را شامل می شود که باعث می شود که سیستم به حالت نرمال بازگردد وبتواند سرویس دهى کند. مراحل کارى متخصصان در برخورد با سیستم آلوده شامل موارد ذیل است:
- شناسایى بدافزار عامل حادثه و حذف آن از سیستم جارى و سایر سیستم هاى مرتبط و پشتیبان توسط افراد متخصص
- بررسى شبکه براى یافتن تأثیر بدافزار در سایر نقاط شبکه
- مشخص شدن راه آلودگى به باج افزار وانجام اقدامات امن سازى بخش پیشگیری برای جلوگیری از تکرار آن
- رفتار سیستم وعامل حادثه راتا زمان پایدارى سیستم ورفع بحران به صورت مناسب و شبانه روزى رصد کنید
- به منظور بازیابى اطلاعات روش هاى زیر توصیه می شوند که توسط افراد متخصص قابل استفاده است:
1- بازیابى اطلاعات پشتیبان گرفته شده در صورت وجود و تست سیستم
2- در صورت عدم وجود پشتیبان، بررسى ابزارها و راهکارهاى موجود براى بازگردانى اطلاعات بدون پرداخت باج
- بخشى از اطلاعات شما مى تواند توسط ابزارهاى بازیابى (Recovery Data) بازیابى شود. لذا از دستکارى یا تغییر محتوای سیستم اجتناب گردد.
- جهت پرداخت باج به تنهایى تصمیم نگرفته و با سلسله مراتب خود مشورت نمایید. لازم به ذکر استکه پرداخت باج لزوماً منجر به رمزگشایی نخواهد شد.
- در صورتی که دستیابى به اطلاعات فوریت ندارد، می توان فایل هاى رمزشده را استخراج و
نگهدارى نمود، چراکه در آینده ممکن است روش رمزگشایى پیدا شده یا کلیدهاى آن آزاد شود (اتفاقى که براى بسیارى از باجگیرها با گذر زمان افتاده است)
سازمان حراست کل کشور
اداره کل فنی و حفاظت از اماکن
