راهکارهای مقابله با باج افزار GandCrab از خانواده Sodinokibi

GandCrab نوعی باج‌افزار است که پسوند تمام فایل‌های کاربر را تغییر می‌دهد. این باج افزار شامل خانواده گسترده‌ای می‌باشد و انواع گوناگونی مانند:
GandCrab 4 ،GandCrab 3 ،GandCrab 2 ،CRAB virus ،KRAB ،GDCB و GandCrab 5 دارد. شدت آلودگی‌ها به GandCrab به حدی بوده که برخی کارشناسان از آن با عنوان پادشاه جدید باج‌افزارها یاد کرده‌اند.

راهکارهای لازم به منظور جلوگیری از آلودگی سیستم‌ها توسط باج افزار GandCrab از خانواده Sodinokibi:

گام اول: بروزرسانی منظم سیستم عامل‌ها و نرم افزارهای مورد استفاده در سازمان

پیشنهاد می‌گردد با استفاده از راه‌اندازی یک سرور WSUS تمامی سیستم عامل‌های سازمان اعم از سرورها و سیستم عامل‌های کلاینت‌ها به صورت مرتب و دوره‌ای به وسیله آخرین وصله‌های امنیتی، بروزرسانی گردند. از مزایای این بروزرسانی‌ها می‌توان به متوقف‌سازی دسترسی مهاجمین سایبری به حفره‌های امنیتی Zero Day موجود در سیستم عامل‌ها اشاره کرد. همچنین لازم بذکر است وصله‌های امنیتی لازم به منظور مقابله با باج افزار GandCrab به تفکیک برای نصب برروی انواع سیستم عامل‌های سازمان مختلف در این لینک موجود می‌باشد.

گام دوم: کنترل و پایش ایمیل‌های سازمانی

امروزه اغلب باج افزارها و بدافزارها از طریق فایل‌های پیوست و لینک‌های موجود در ایمیل‌های سازمانی کارکنان در شبکه انتشار می‌یابند. لذا برای این منظور می‌توان از محصولات متنوع امنیتی موجود در بازار مانند Symantec Messaging Gateway برای کنترل و پایش ایمیل‌های سازمانی و فایل‌های پیوست و لینک‌های دریافتی بهره برد.

گام سوم: استفاده از فایروال‌های سخت‌افزاری و یا نرم‌افزاری در Edge شبکه

با استفاده از این فایروال می‌توان تمام ترافیک ورودی و خروجی مربوط به شبکه سازمان را براحتی کنترل و پایش نمود و در صورت مشاهده هرگونه فعالیت مشکوک علاوه بر اینکه از ورود ترافیک مشکوک به شبکه سازمان به صورت خودکار جلوگیری می‌شود می توان در صورت بروز هرگونه حمله سایبری اقدامات لازم را جهت مقابله هرچه بهتر صورت داد.

گام چهارم : اعمال محدودیت‌های دسترسی Remote Access

یکی از بهترین راهکارهای جلوگیری از حملات برروی پورت RDP (Remote Desktop Protocol)، اعمال محدودیت‌های دسترسی برروی این پورت می‌باشد. به این صورت که هر سیستم و یا کاربری که نیازی به دسترسی به پورت ریموت یا همان RDP ندارد این دسترسی برای او غیرفعال گردد و برای کاربرانی که نیاز به این پروتکل دارند نیز می‌بایست با رعایت حداکثری موارد امنیتی مانند محدودسازی سطح دسترسی کاربر، استفاده از رمزهای عبور پیچیده از این پورت استفاده نمایند و در بهترین حالت نیز می‌توانند با استفاده از VPN به سرورهای مورد نظر خود دسترسی ریموت داشته باشند.

گام پنجم: استفاده از رمزهای عبور پیچیده برای سطوح دسترسی کاربران مختلف

پیشنهاد می‌گردد تا حد امکان از رمزهای عبور پیچیده متشکل از حروف کوچک و بزرگ، اعداد و نشانه‌ها با تعداد کاراکتر بالا استفاده شود تا در صورت وجود حملاتی برای دستیابی به رمزهای عبور مدت زمان شکستن رمز بسیار زمان بر و عملا غیر ممکن گردد. برای نمونه رمز عبوری مانند P@ssw0rd توسط نرم افزارهای مربوطه در کمتر از 8 ساعت شکسته خواهد شد. همچنین لازم بذکر است هر سرویس می‌بایست نام کاربری و رمز عبور مختص به خود را داشته باشد.

گام ششم: تهیه نسخه پشتیبان از داده‌های حیاتی سرورهای سازمان

با استفاده از تهیه نسخه پشتیبان به صورت روزانه و یا هفتگی از داده‌های حیاتی سازمان می‌توان طبعات آلودگی به این باج‌افزار را تا حد بسیار زیادی کاهش داد. ترجیحا پیشنهاد می‌گردد جهت نگهداری از نسخ پشتیبان از دستگاه Tape Library استفاده گردد که با توجه به ماهیت نحوه ذخیره‌سازی داده‌ها برروی آن امکان آلودگی و یا Encrypt شدن داده‌های آن وجود ندارد.

پایان کار باج‌افزار GandCrab

ابزار رمزگشایی جدید این باج‌افزار با همکاری چند شرکت امنیتی تولید شده است بهتر آن است که جهت مقابله با انواع باج ‌افزارها توصیه‌های بالا و دیگر مطالب مندرج در وب سایت را جدی بگیرید.

با این حال در صورت مواجه با این باج‌افزار می‌توانید از این لینک‌ (لینک) اقدام به دریافت Removal Tool این باج‌افزار کنید.

مطالب مرتبط:

چگونه قربانی حملات فیشینگ نباشیم؟ بخش اول
چگونه قربانی حملات فیشینگ نباشیم؟ بخش دوم
چک لیست امنیتی Active Directory در سازمان‌ها
دانلود ابزارهای شناسایی و پاک سازی باج افزارها