كيفية حماية واستعادة عملك من رانسومواري

تستعد الولايات المتحدة للتأثير الكامل لوباء فدية عالمي يستند إلى سلالة البرامج الضارة Wanna Decryptor. من المهم حماية عملك وبياناتك من هذا التهديد سريع الانتشار ، ولكن بمجرد تجاوزه ، يجب أن تتذكر أن Wanna Decryptor هو فقط المثال الأكثر ضوضاء لمشكلة برامج الفدية.

هناك ثلاثة أشياء يجب معرفتها عن برامج الفدية: إنها مخيفة ، إنها تنمو بسرعة ، وهي شركة كبيرة. وفقًا لمركز شكاوى الإنترنت التابع لمكتب التحقيقات الفيدرالي (IC3) ، تم استلام أكثر من 992 شكوى متعلقة بـ CryptoWall بين أبريل 2014 ويونيو 2015 ، مما أدى إلى خسائر تزيد على 18 مليون دولار. ينعكس هذا النجاح الخبيث في معدل نمو رانسومواري من خلال مؤشر Infoblox DNS Threat Index ، حيث سجلت زيادة بمقدار 35 ضعفا في المجالات الجديدة التي تم إنشاؤها لبرنامج الفدية في الربع الأول من عام 2016 (مقارنة بالربع الرابع من عام 2015).

بشكل عام ، تسقط برامج الفدية جدارًا مشفرًا بين العمل والبيانات والتطبيقات الداخلية التي يحتاجها العمل. لكن يمكن أن تكون هذه الهجمات أكثر خطورة من مجرد عدم إمكانية الوصول إلى البيانات. إذا لم تكن مستعدًا ، فقد يتوقف عملك.

فقط أسأل مركز هوليود المشيخي الطبي. قبل وقت طويل من Wanna Decryptor ، تعلمت المستشفى درسًا مؤلمًا عندما فقد الموظفون الوصول إلى أجهزة الكمبيوتر الخاصة بهم أثناء اندلاع فدية في أوائل عام 2016. ودفع المستشفى فدية قدرها 17000 دولار بعد أن قضى الموظفون 10 أيام في الاعتماد على أجهزة الفاكس والمخططات الورقية. أو اسأل قسم شرطة توكسبوري. في أبريل من عام 2015 ، دفعوا الفدية لاستعادة الوصول إلى سجلات التوقيف والحوادث المشفرة.

كيف تتأثر الشركات؟

إذا كان هناك بطانة فضية لـ Wanna Decryptor على أي مستوى ، فمن المفيد إثبات بلا شك أن التهديد الذي تمثله رانسومواري حقيقي. لا يوجد عمل أو موظف محصن ضد أي هجوم محتمل بالفدية. من المهم أن نفهم كيف تصيب الفدية أجهزة الكمبيوتر قبل مناقشة كيفية حماية عملك منه أو كيفية الاستجابة إذا تعرضت للخطر. إن فهم أصل وطريقة الإصابة يوفر نظرة ثاقبة للبقاء آمنين.

عادةً ما يأتي Ransomware من أحد مصدرين: المواقع الإلكترونية الشبهة ومرفقات البريد الإلكتروني. يمكن أن يستضيف موقع الويب الشرعي الذي تم اختراقه مجموعة أدوات استغلال يصيب جهازك ، وذلك عادةً من خلال استغلال المستعرض. يمكن استخدام نفس المنهجية بواسطة موقع ويب للتصيد الاحتيالي. يقوم التنزيل من محرك الأقراص بتثبيت برامج الفدية ويبدأ في تشفير ملفاتك.

في حالة وجود مرفق بريد إلكتروني ضار ، يتم خداع المستخدمين لفتح المرفق ، الذي يقوم بعد ذلك بتثبيت برامج الفدية. قد يكون هذا الأمر بسيطًا مثل رسالة بريد إلكتروني مزيفة تحتوي على مرفق قابل للتنفيذ ، أو ملف Microsoft Word مصاب يخدعك إلى تمكين وحدات الماكرو ، أو ملف بملحق تمت إعادة تسميته ، مثل ملف ينتهي بـ "PDF" ولكنه في الحقيقة ملف EXE (قابل للتنفيذ).

يقول لويس كورونز ، المدير التقني لـ PandaLabs في Panda Security: "في كلتا الحالتين ، يتم استخدام نوع من الهندسة الاجتماعية لجذب المستخدم إلى إصابة نفسه". "هذا يوفر للشركات فرصة عظيمة لتثقيف مستخدميها لتجنب هذه المخاطر ، لكن لسوء الحظ ، فإن معظم الشركات الصغيرة تهمل ذلك وتفوت فرصة إنقاذ أنفسهم من الصداع الكبير".

حاليًا ، لا توجد رصاصة فضية لضمان أمان مؤسستك من رانسومواري. ولكن هناك خمس خطوات يجب على كل نشاط تجاري اتخاذها والتي يمكن أن تقلل بشكل كبير من فرص الإصابة - وكذلك تخفيف الألم في حالة نجاح الهجوم.

إعداد

أحد المكونات الرئيسية للتحضير لهجوم الفدية هو تطوير استراتيجية احتياطية قوية وعمل نسخ احتياطية منتظمة. وقال فيليب كيسا ، استراتيجي تطوير المنتجات في ISC2 ، وهي منظمة عالمية لا تهدف للربح تعمل على التصديق على المتخصصين في مجال الأمن: "تعد النسخ الاحتياطية القوية مكونًا رئيسيًا لاستراتيجية مكافحة الفدية". "بمجرد تشفير ملفاتك ، يكون الخيار الوحيد القابل للتطبيق هو استعادة النسخة الاحتياطية. الخيارات الأخرى الخاصة بك هي دفع الفدية أو فقد البيانات."

"يجب أن يكون لديك نوع من النسخ الاحتياطي ، حل احتياطي حقيقي للأصول التي حددتها ضروري لعملك" ، تابع كيسا. "النسخ الاحتياطي في الوقت الفعلي أو تزامن الملفات سيعمل على نسخ الملفات المشفرة احتياطيًا. تحتاج إلى عملية نسخ احتياطي قوية حيث يمكنك التراجع لبضعة أيام ، واستعادة التطبيقات والبيانات المحلية وتطبيقات الخادم."

يقدم Panda Security's Corrons مزيدًا من الحذر: النسخ الاحتياطية "مهمة في حالة فشل دفاعاتك ولكن تأكد من إزالة رانسومواري تمامًا قبل استعادة النسخ الاحتياطية. في PandaLabs ، شاهدنا رانسومواري تشفير ملفات النسخ الاحتياطي."

تتمثل الإستراتيجية الجيدة التي يجب مراعاتها في حل النسخ الاحتياطي المتدرج أو الموزع الذي يحتفظ بعدة نسخ من ملفات النسخ الاحتياطي في مواقع مختلفة وعلى وسائط مختلفة (بحيث لا تتمكن العقدة المصابة على الفور من الوصول إلى مستودعات الملفات الحالية ومحفوظات النسخ الاحتياطي). تتوفر هذه الحلول من العديد من بائعي النسخ الاحتياطي للأعمال الصغيرة والمتوسطة الحجم (SMB) بالإضافة إلى معظم بائعي خدمة الاسترداد للكوارث (DRaaS).

يحول دون

كما ذكرنا سابقًا ، يعد تعليم المستخدم سلاحًا قويًا يتم تجاهله كثيرًا في ترسانتك ضد الفدية. تدريب المستخدمين على التعرف على تقنيات الهندسة الاجتماعية ، وتجنب clickbait ، وعدم فتح مرفق من شخص لا يعرفونه. يجب النظر إلى المرفقات من الأشخاص الذين يعرفونهم وفتحها بحذر.

"فهم كيفية انتشار رانسومواري يحدد سلوكيات المستخدم التي تحتاج إلى تعديل من أجل حماية عملك ،" قال كيسا. "تعد مرفقات البريد الإلكتروني هي الخطر الأول للعدوى ، أما التنزيلات من السيارات فهي المرتبة الثانية ، والروابط الخبيثة في البريد الإلكتروني هي المرتبة الثالثة. يلعب البشر عاملاً هامًا في الإصابة بفدية."

تدريب المستخدمين على التفكير في تهديد الفدية أسهل مما تعتقدون ، خاصة بالنسبة للشركات الصغيرة والمتوسطة. بالتأكيد ، يمكن أن يتخذ الشكل التقليدي لندوة مطولة في المنزل ، ولكنه يمكن أن يكون مجرد سلسلة من وجبات الغداء الجماعية التي تحصل فيها تقنية المعلومات على فرصة لإعلام المستخدمين عبر نقاش تفاعلي - مقابل سعر منخفض لعدد قليل من البيتزا. قد تفكر في التعاقد مع مستشار أمني خارجي لتقديم التدريب ، مع بعض الفيديو التكميلي أو أمثلة في العالم الحقيقي.

يحمي

إن أفضل مكان للبدء في حماية SMB الخاص بك من رانسومواري هو من خلال استراتيجيات التخفيف الأربعة الرئيسية: القائمة البيضاء للتطبيقات ، وتطبيقات الترقيع ، وأنظمة تشغيل الترقيع (أنظمة التشغيل) ، وتقليل الامتيازات الإدارية. كان Casea سريعًا للإشارة إلى أن "أدوات التحكم الأربعة هذه تهتم بنسبة 85 بالمائة أو أكثر من تهديدات البرامج الضارة."

بالنسبة للشركات الصغيرة والمتوسطة التي لا تزال تعتمد على برامج مكافحة الفيروسات الفردية (AV) للأمان ، يتيح الانتقال إلى حل أمان نقطة النهاية المدارة لتكنولوجيا المعلومات مركزية الأمن للمؤسسة بأكملها والتحكم الكامل في هذه التدابير. يمكن أن يزيد بشكل كبير من فعالية AV ومكافحة البرامج الضارة.

أيا كان الحل الذي تختاره ، تأكد من أنه يتضمن الحماية المستندة إلى السلوك. وافق جميع خبرائنا الثلاثة على أن مكافحة البرامج الضارة القائمة على التوقيع ليست فعالة ضد تهديدات البرامج الحديثة.

لا تدفع

إذا لم تكن قد أعدت وحمت نفسك ضد فدية وأصابتك بالعدوى ، فقد يكون من المغري دفع الفدية. ومع ذلك ، عندما سئل عما إذا كانت هذه خطوة حكيمة ، اتحد خبراؤنا الثلاثة في ردهم. كان Corrons سريعًا للإشارة إلى أن "الدفع أمر محفوف بالمخاطر. الآن أنت بالتأكيد تخسر أموالك وربما تستعيد ملفاتك دون تشفير." بعد كل شيء ، لماذا يصبح مجرم مشرفًا بعد دفعك له؟

عن طريق الدفع للمجرمين ، فإنك تمنحهم حافزًا ووسائل لتطوير فدية أفضل. يقول كيسا: "إذا كنت تدفع ، فأنت تزيد الأمر سوءًا للجميع". "الأشرار يستخدمون أموالك لتطوير برامج ضارة أكثر سوءًا وإصابة الآخرين".

قد لا تكون حماية ضحايا المستقبل من بين الذهن عندما تحاول إدارة شركة ما مع الاحتفاظ ببياناتها كرهينة ، ولكن انظر إليها من هذا المنظور: يمكن أن تكون الضحية التالية قد انتهيت من جديد ، وهذه المرة تقاتل أكثر برامج ضارة فعالة ساعدت في دفعها لتطويرها.

تشير Casea إلى أنه "من خلال دفع الفدية ، أصبحت الآن هدفًا للمجرمين لأنهم يعرفون أنك ستدفع لهم". أصبحت ، في لغة المبيعات ، قيادة مؤهلة. مثلما لا يوجد أي شرف بين اللصوص ، لا يوجد أي ضمان بإزالة الفدية بالكامل. يستطيع المجرم الوصول إلى جهازك ، ويمكنه إلغاء تشفير ملفاتك وترك البرامج الضارة عليه لمراقبة أنشطتك وسرقة معلومات إضافية.

كن منتجا

إذا كان الضرر الناجم عن فدية كل شيء عن تعطيل عملك ، فلماذا لا تتخذ خطوات لزيادة استمرارية العمل من خلال الانتقال إلى السحابة؟ يقول براندون دونلاب ، Global CISO of Black & Veatch: "مستوى الحماية والأمن الشامل الذي تحصل عليه من السحابة أكبر بكثير مما يمكن أن تتحمله شركة صغيرة لنفسك". "لدى مزودي السحابة مسح ضوئي وبرامج مصادقة محسنة والعديد من أشكال الحماية الأخرى التي تجعل احتمالات تعرضهم لهجمات الفدية منخفضة للغاية."

على الأقل ، انقل خوادم البريد الإلكتروني إلى السحابة. يشير Dunlap إلى أن "البريد الإلكتروني عبارة عن ناقل هجوم كبير للفدية. قم بنقل ذلك إلى السحابة حيث يقوم المزودون بتجميع عناصر تحكم أمان متعددة مثل فحص البرامج الضارة و DLP في الخدمة." يمكن إضافة طبقات أمان إضافية ، مثل سمعة الموقع القائم على الخادم الوكيل ومسح حركة المرور ، من خلال العديد من الخدمات السحابية ويمكن أن تزيد من تعرضك للفدية.

Dunlap متحمس للحماية التي توفرها السحابة ضد الفدية. وقال دونلاب: "نحن في لحظة رائعة في تاريخ التكنولوجيا مع العديد من الحلول منخفضة الاحتكاك للعديد من المشكلات التي تواجهها الشركات الصغيرة". "هذا يجعل الشركات الصغيرة أكثر ذكاءً من منظور تكنولوجيا المعلومات."

إذا أصبح جهازك المحلي مصابًا بفدية ، قد لا يهم ما إذا كانت بياناتك في السحاب. امسح جهازك المحلي ، وأعد تصويره ، وأعد الاتصال بالخدمات السحابية ، ثم عدت إلى العمل.

لا تنتظر الحذاء لإسقاط

هذه ليست واحدة من الحالات التي يكون فيها أسلوب الانتظار والترقب هو أفضل تكتيك لديك. Wanna Decryptor يظهر بوضوح أن رانسومواري موجود ؛ إنه ينمو بسرعة فائقة ، سواء من حيث الرقي أو شعبية الأشرار - وبالتأكيد يبحث عنك. حتى بعد تفجر هذا التهديد الحالي ، من المهم للغاية أن تتخذ خطوات لحماية البيانات ونقاط النهاية من الإصابة.

قم بإنشاء نسخ احتياطية منتظمة ، وتدريب الموظفين على تجنب الإصابة ، وتطبيقات التصحيح وأنظمة التشغيل ، والحد من امتيازات المسؤول ، وتشغيل برامج مكافحة البرامج الضارة التي لا تستند إلى التوقيع. إذا اتبعت هذه النصيحة ، فيمكنك منع جميع الإصابات عدا النزيف (عدا تلك التي لا تستهدف على الأرجح الشركات الصغيرة والمتوسطة). في حالة حصول أي هجوم على دفاعاتك ، يكون لديك خطة واضحة ومختبرة لتكنولوجيا المعلومات لتنظيف العدوى واستعادة النسخ الاحتياطية واستئناف العمليات التجارية العادية.

إذا كنت لا تتبع هذه أفضل الممارسات وتصاب بالعدوى ، فاعلم أن دفع الفدية لا يأتي بأي ضمانات ، ويؤهلك كمصاص للمجرمين ، ويمنحهم الوسائل لتطوير المزيد من الفدية الخبيثة (والحافز لاستخدامها عليك كلما كان ذلك ممكنا). لا تكن ضحية. بدلاً من ذلك ، خذ الوقت الكافي لجني الفوائد لاحقًا: الاستعداد والوقاية والحماية والاستمرار في الإنتاج.