شناسایی بدافزار + 5 روش برای تشخیص + بدافزار ها چه کسانی را هدف می گیرند؟🟢

شناسایی بدافزار به شما کمک می کند که اطلاعات خودتان را امن نگهدارید. در صورتی که هکر ها یا افراد دیگری بخواهند به اطلاعات شما دسترسی پیدا کنند بهترین راه نرم افزار ها هستند. این نرم افزار ها که روی گوشی شما نصب می شوند با عنوان بدافزار شناخته می شوند. بسیاری از این بدافزار ها قابل تشخیص نیستند. یعنی ممکن است 80 درصد گوشیهای هوشمند بدافزار داشته باشند اما متوجه آن نباشند. به هر صورت در این مقاله به شما روش های شناسایی بدافزار به شما گفته می شود تا از خود محافظت کنید.

5 روش شناسایی بدافزار

در مبارزه با باج افزار و بدافزار، بسیاری از بحث ها حول محور پیشگیری و واکنش می چرخد. با این حال، در واقع شناسایی باج افزار به همان اندازه برای ایمن سازی کسب و کار شما مهم است. برای درک دلیل، فقط به مثال زیر توجه کنید. فرض کنید شما یک کشاورز هستید که از یک گله گوسفند مراقبت می کنید و نگران گرگ هستید. شما یک حصار نصب کرده اید: این یک پیشگیری است. شما یک بوق هوا دارید تا گرگ را در صورت حمله بترسانید: این کار جواب است. عالیست! اما اگر شما یک سیستم هشدار داشته باشید و بتوانید به محض عبور گرگ از حصار شما، قبل از شروع حمله، اقدام کنید، چه؟ تشخیص یعنی همین.

تشخیص درست بین پیشگیری و پاسخ قرار می گیرد و اولین دفاع حیاتی در برابر باج افزار است. می بینید، باج افزار به هر طریقی از سیستم شما عبور می کند. و هنگامی که انجام شد، می‌خواهیم فوراً آن را شناسایی کنیم تا بتوانیم از حرکت آن در شبکه شما و رمزگذاری هر فایل ارزشمند یا حساس جلوگیری کنیم. اما شناسایی باج افزار می تواند مشکل باشد. مهاجمان برای جلوگیری از شناسایی از تکنیک های مبهم سازی و فرار استفاده می کنند و انواع باج افزارهای جدید هر روز تولید می شوند. در نتیجه، کسب‌وکارها باید از چندین تکنیک مختلف شناسایی باج‌افزار استفاده کنند و از مزایا و معایب هر کدام کاملاً آگاه باشند.

در این پست، ما به 5 تکنیک تشخیص باج افزار و مزایا و معایب آنها خواهیم پرداخت.

1. تجزیه و تحلیل فایل استاتیک

فرض کنید در یک تیم فناوری اطلاعات یا امنیتی هستید و یک هشدار در یک سرور کلیدی در سازمان فعال شده است. هشدار نسبتا مبهم است اما گزارش می دهد که فایل به طور بالقوه بدافزار است.

بدتر از آن، هش فایل در VirusTotal نیست و شما نمی توانید هیچ اطلاعاتی را در اینترنت پیدا کنید تا تشخیص دهید که آیا فایل مخرب است یا خیر.

برای اینکه ببینید آیا این فایل به طور بالقوه باج افزار است (یا هر بدافزاری برای آن موضوع)، یک گزینه انجام تجزیه و تحلیل فایل استاتیک است. تجزیه و تحلیل فایل استاتیک نوعی تجزیه و تحلیل بدافزار است که به مشکوک بودن یک فایل اجرایی بدون اجرای واقعی کد می پردازد.

در زمینه باج‌افزار، تجزیه و تحلیل فایل استاتیک به دنبال دنباله‌های کد مخرب شناخته‌شده یا رشته‌های مشکوک، مانند پسوندهای فایل هدف‌گذاری شده معمول و کلمات رایج مورد استفاده در یادداشت‌های باج می‌گردد.

تجزیه و تحلیل استاتیک بدافزار نمونه بدافزار را بدون اجرای آن بررسی می کند. منبع

یکی از ابزارهای رایگانی که ممکن است برای شما مفید باشد PeStudio است. این ابزار رایگان، مصنوعات مشکوک را در فایل‌های اجرایی پرچم‌گذاری می‌کند و می‌تواند برای بررسی رشته‌های تعبیه‌شده، کتابخانه‌ها، واردات و سایر شاخص‌های سازش (IOC) در یک فایل استفاده شود.

جزئیات

نکات مثبت شناسایی بدافزار:

نرخ مثبت کاذب پایین

موثر در برابر باج افزارهای شناخته شده

می تواند حملات را قبل از اجرا متوقف کند تا هیچ فایلی رمزگذاری نشود

معایب:

اگر به صورت دستی انجام شود زمان بر است

می توان به راحتی با استفاده از Packers / Crypter یا با جایگزین کردن کاراکترها با ارقام یا کاراکترهای خاص به راحتی دور زد

شناسایی بدافزار یکی از موارد تخصصی است که بسیاری از شرکت های بزرگ برای آن تیم تشکیل می دهند

2. لیست سیاه پسوندهای رایج فایل

با ابزارهای نظارت بر دسترسی به فایل، می‌توانید عملیات تغییر نام فایل را برای پسوندهای معروف باج‌افزار در لیست سیاه قرار دهید، یا به محض ایجاد فایل جدیدی با چنین پسوندی، هشدار داده شود.

به عنوان مثال، یک ابزار نظارت بر دسترسی به فایل توسط Netapp به شما امکان می‌دهد انواع خاصی از برنامه‌های افزودنی را از ذخیره شدن در سیستم ذخیره‌سازی و اشتراک‌گذاری‌ها، مانند باج‌افزار WannaCry (.wncry.) مسدود کنید. سایر راه حل های لیست سیاه باج افزار شامل ownCloud یا Netwrix است.

لیست های متنوعی در اینترنت با لیست هایی از پسوندهای رایج باج افزار وجود دارد. یک مثال https://fsrm.experiant.ca/ است

نکات مثبت شناسایی بدافزار:

نرخ مثبت کاذب پایین

موثر در برابر باج افزار رایج

هیچ آسیبی وارد نشده است

معایب:

بی اهمیت برای دور زدن. باج افزار با پسوند جدید رمزگذاری را انجام می دهد

پیدا کردن یک راه حل نظارت بر فایل که دارای ویژگی لیست سیاه پسوند باشد، می تواند دشوار باشد

بیشتر  بخوانید🚀🚀🚀🚀🚀» هک اینستاگرام

3. فایل های Honeypot / تکنیک های فریب

فایل honey یک فایل جعلی است که عمداً در یک پوشه/محل اشتراک‌گذاری شده قرار می‌گیرد تا وجود یک مهاجم را شناسایی کند و وقتی فایل باز می‌شود، زنگ هشدار به صدا در می‌آید. برای مثال، فایلی به نام passwords.txt می تواند به عنوان فایل honey در یک ایستگاه کاری استفاده شود.

یکی از راه های محبوب برای ایجاد فایل های هانی سریع و آسان استفاده از Canarytokens است. Canarytokens یک ابزار رایگان توسط Canary است که یک توکن (شناسه منحصر به فرد) را در یک سند، مانند Microsoft Word، Microsoft Excel، Adobe Acrobat، تصاویر، پوشه‌های دایرکتوری و غیره جاسازی می‌کند.

هر زمان که به Canarytoken دسترسی پیدا کرد، Canary برای شما یک ایمیل اعلان به آدرس مرتبط با توکن ارسال می کند. می‌توانید نام فایل‌های Canary را به نام‌هایی تغییر دهید که بازیگران باج‌افزار هنگام جستجوی فایل‌هایی در شبکه قربانی جستجو می‌کنند.

نکات مثبت شناسایی بدافزار:

می‌تواند باج‌افزاری را که موتورهای ساکن آن را نمی‌گیرند شناسایی کند.

معایب:

برخی از موارد مثبت کاذب، زیرا برنامه ها و کاربران ممکن است فایل های طعمه را لمس کنند

فایل‌ها تا زمانی که باج‌افزار فایل‌های فریبنده را لمس نکنند، رمزگذاری می‌شوند

با پرش از فایل‌ها/پوشه‌های مخفی یا با هدف قرار دادن پوشه‌های خاص دور زدن

4. نظارت پویا بر عملیات فایل انبوه

با نظارت بر سیستم فایل برای عملیات انبوه فایل مانند تغییر نام، نوشتن یا حذف در یک بازه زمانی معین، می‌توانید حمله باج‌افزاری را که در زمان واقعی اتفاق می‌افتد، شناسایی کنید و به طور بالقوه حتی به طور خودکار آن را مسدود کنید (بسته به راه‌حل شما).

ابزار نظارت بر یکپارچگی فایل (FIM) می تواند به شما در شناسایی باج افزار از این طریق کمک کند. یک FIM فایل‌ها را با مقایسه آخرین نسخه‌های آن‌ها با یک «خط پایه» شناخته‌شده و قابل اعتماد تأیید و اعتبارسنجی می‌کند و زمانی که فایل‌ها تغییر، به‌روزرسانی یا در معرض خطر قرار گرفته‌اند به شما هشدار می‌دهد.

ابزارهای رایگان منبع باز FIM مانند OSSEC و Samhain File Integrity وجود دارد، و راه حل های دیگر دارای قابلیت های اصلاح بلادرنگ هستند تا بتوانید فوراً با یک پاسخ تهدید خودکار، باج افزار شناسایی شده را مسدود کنید.

نکات مثبت شناسایی بدافزار:

می‌تواند باج‌افزاری را که موتورهای ساکن آن را نمی‌گیرند شناسایی کند

معایب:

فایل ها تا زمانی که از حد تعریف شده فراتر رود، رمزگذاری می شوند

با اضافه کردن تاخیر بین رمزگذاری‌ها یا با ایجاد چندین فرآیند برای رمزگذاری دسته‌ها/گروه‌های فایل‌ها، به راحتی دور بزنید.

مهمترین نشانه برای شناسایی بدافزار زیاد استفاده شدن از منابع گوشی یا سیستم شماست

5. اندازه گیری تغییرات داده های فایل ها (آنتروپی)

در امنیت سایبری، آنتروپی یک فایل به معیار خاصی از تصادفی بودن به نام «آنتروپی شانون» اشاره دارد، که در آن فایل‌های متنی معمولی آنتروپی کمتری دارند و فایل‌های رمزگذاری شده یا فشرده آنتروپی بالاتری دارند. به عبارت دیگر، با ردیابی نرخ تغییر داده‌های فایل‌ها، می‌توانیم تشخیص دهیم که آیا فایل رمزگذاری شده است یا خیر.

نکات مثبت این شناسایی بدافزار:

می‌تواند باج‌افزاری را که موتورهای ساکن آن را نمی‌گیرند شناسایی کند

نکات مثبت کاذب کمتری نسبت به تکنیک‌های دینامیکی که قبلا ذکر شد

معایب:

استفاده از CPU بالا در نقطه پایانی

فایل‌ها تا رسیدن به سطح اطمینان رمزگذاری می‌شوند، بنابراین همه آسیب‌ها مسدود نمی‌شوند

با رمزگذاری تنها بخشی از فایل، یا با رمزگذاری در تکه ها، دور زدن را انجام دهید. استفاده از چندین فرآیند برای رمزگذاری

بیشتر  بخوانید🚀🚀🚀🚀🚀» بات نت

خلاقیت با تکنیک های تشخیص باج افزار

داشتن چندین روش برای شناسایی بدافزار برای گنجاندن در استراتژی ضد باج افزار سازمان شما ضروری است. گرفتن زودهنگام باج‌افزار بیمه‌ای عالی در برابر حرکت جانبی و آسیب بیشتر ارائه می‌دهد. اما به یاد داشته باشید: همیشه فرض کنید یک حمله موفق خواهد بود.

مهم نیست چه اتفاقی می افتد، مطمئن شوید که یک استراتژی بازیابی و پیشگیری از باج افزار دارید. برای اطلاعات بیشتر در مورد پاسخ باج‌افزار، می‌توانید راهنمای Defenders ما برای مقاومت باج‌افزار را بخوانید. از نظر پیشگیری، چک لیست پیشگیری از باج افزار ما مکانی عالی برای شروع است.

لایه ضد باج‌افزار Malwarebytes EDR دائماً سیستم‌های نقطه پایانی را رصد می‌کند و به طور خودکار فرآیندهای مرتبط با فعالیت باج‌افزار را از بین می‌برد. دارای یک موتور تشخیص بی‌درنگ اختصاصی است که از امضا استفاده نمی‌کند و نیازی به به‌روزرسانی ندارد. EDR ما همچنین دارای چندین حالت ترکیبی جداسازی نقطه پایانی است و تا 72 ساعت به شما امکان بازگشت باج افزار را می دهد.

علائم زیر را بررسی کنید

بدافزارها می توانند خود را با بسیاری از رفتارهای نابجا نشان دهند. در اینجا چند علامت آشکار وجود بدافزار در سیستم خود آورده شده است:

کامپیوتر شما کند می شود

یکی از عوارض جانبی بدافزار کاهش سرعت سیستم عامل شما است. چه در حال پیمایش در اینترنت باشید و چه فقط از برنامه های محلی خود استفاده کنید، استفاده از منابع سیستم شما به طور غیرعادی بالا به نظر می رسد. حتی ممکن است متوجه شوید که فن رایانه‌تان با سرعت تمام می‌چرخد – این نشانگر خوبی است که چیزی منابع سیستم را در پس‌زمینه اشغال می‌کند. این معمولا زمانی اتفاق می افتد که رایانه شما به یک بات نت متصل شده باشد. به عنوان مثال شبکه ای از رایانه های برده شده که برای انجام حملات DDoS، منفجر کردن هرزنامه ها یا استخراج ارزهای دیجیتال استفاده می شود.

صفحه نمایش شما غرق در تبلیغات مزاحم است

تبلیغات پاپ آپ غیرمنتظره یک نشانه معمولی از عفونت بدافزار است. آنها به ویژه با نوعی بدافزار به نام adware مرتبط هستند. علاوه بر این، پاپ‌آپ‌ها معمولاً همراه با سایر تهدیدات بدافزار پنهان هستند. بنابراین، اگر چیزی شبیه به “تبریک می‌گویم، شما برنده یک مطالعه روانی رایگان شده‌اید!” در یک پاپ آپ، روی آن کلیک نکنید. هر جایزه رایگانی که آگهی وعده دهد، هزینه زیادی برای شما خواهد داشت.

سیستم شما مدام از کار می افتد

این می تواند به صورت انجماد یا BSOD (صفحه آبی مرگ) باشد، مورد دوم در سیستم های ویندوز پس از مواجهه با یک خطای مرگبار رخ می دهد.

کم شدن حافظه

این می‌تواند به دلیل وجود یک بدافزار متورم باشد که در هارد دیسک شما مخفی شده است.

افزایش در استفاده از ترافیک اینترنت

برای مثال تروجان ها را در نظر بگیرید. هنگامی که یک تروجان روی رایانه مورد نظر فرود می‌آید، کاری که انجام می‌دهد این است که برای دانلود یک عفونت ثانویه، اغلب باج‌افزار، به سرور فرمان و کنترل مهاجم (C&C) دسترسی پیدا می‌کند. این می تواند جهش فعالیت اینترنت را توضیح دهد. همین امر در مورد بات‌نت‌ها، نرم‌افزارهای جاسوسی و هر تهدید دیگری که نیاز به ارتباط رفت‌وآمد با سرورهای C&C دارد، صدق می‌کند.

تنظیمات مرورگر شما تغییر می کند

اگر متوجه شدید صفحه اصلی خود تغییر کرده است یا نوار ابزار، افزونه ها یا افزونه های جدیدی نصب کرده اید، ممکن است به نوعی آلوده به بدافزار مبتلا شده باشید. دلایل متفاوت است، اما این معمولاً به این معنی است که شما روی آن پاپ آپ «تبریک» کلیک کرده‌اید، که نرم‌افزار ناخواسته‌ای را دانلود کرده است.

محصول آنتی ویروس شما از کار می افتد و نمی توانید دوباره آن را روشن کنید و در مقابل بدافزارهای مخربی که آن را غیرفعال کرده اند محافظت نمی کنید.

بدافزار ها با حمله های مختلف سایبری می توانند به شما صدمه بزنند

تغییر دسترسی به فایل ها

این نشانه عفونت باج افزار است. هکرها خود را با گذاشتن یک یادداشت باج بر روی دسکتاپ شما یا تغییر تصویر زمینه دسکتاپ خود به یادداشت باج اعلام می کنند. در یادداشت، مرتکبین معمولاً به شما اطلاع می دهند که داده های شما رمزگذاری شده است و در ازای رمزگشایی فایل های شما، باج می خواهند.

حتی اگر به نظر می رسد همه چیز روی سیستم شما خوب کار می کند، از خود راضی نباشید، زیرا هیچ خبری لزوماً خبر خوبی نیست. بدافزار قدرتمند می تواند در اعماق رایانه شما پنهان شود، از شناسایی فرار کند، و بدون برافراشتن پرچم قرمز، به تجارت کثیف خود ادامه دهد. در حالی که ما یک راهنمای سریع شناسایی بدافزار ارائه کرده‌ایم، برای شناسایی بدافزارها در سیستم شما، واقعاً یک برنامه امنیت سایبری خوب مورد توجه قرار می‌گیرد (در ادامه در مورد آن بیشتر توضیح خواهیم داد).

بیشتر  بخوانید🚀🚀🚀🚀🚀» جلوگیری از نصب بدافزار

چطور بدافزار ها به گوشی یا رایانه شما راه پیدا می کنند؟

دو روش رایج برای دسترسی بدافزار به سیستم شما اینترنت و ایمیل هستند. بنابراین اساساً، هر زمان که به صورت آنلاین متصل هستید، آسیب پذیر هستید.

بدافزار زمانی می‌تواند به رایانه شما نفوذ کند که (اکنون نفس عمیق) در وب‌سایت‌های هک شده گشت و گذار کنید، یک سایت قانونی را مشاهده کنید که تبلیغات مخرب ارائه می‌کند، فایل‌های آلوده را دانلود کنید، برنامه‌ها یا برنامه‌هایی را از ارائه‌های ناآشنا نصب کنید، یک پیوست ایمیل مخرب (malspam) را باز کنید یا تقریباً همه چیز را باز کنید. در غیر این صورت از وب روی دستگاهی دانلود می کنید که فاقد برنامه امنیتی ضد بدافزار با کیفیت است.

برنامه‌های مخرب می‌توانند در برنامه‌های به ظاهر قانونی پنهان شوند، به‌ویژه زمانی که از وب‌سایت‌ها یا پیوندهای مستقیم (در ایمیل، متن یا پیام چت) به جای فروشگاه برنامه رسمی دانلود می‌شوند. در اینجا مهم است که هنگام نصب برنامه‌ها به پیام‌های هشدار توجه کنید، به خصوص اگر به دنبال مجوز دسترسی به ایمیل یا سایر اطلاعات شخصی شما هستند.

بدافزار چه کسانی را هدف قرار می دهد؟

پاسخ در اینجا این است: انتخاب خود را انتخاب کنید. میلیاردها دستگاه متعلق به مصرف کننده در آنجا وجود دارد. آن‌ها به بانک‌ها، حساب‌های فروشگاه‌های خرده‌فروشی و هر چیز دیگری که ارزش سرقت دارد وصل هستند. این یک سطح حمله گسترده برای ابزارهای تبلیغاتی مزاحم و جاسوس‌افزارها، کیلاگرها و تبلیغات بد است – و همچنین روشی جذاب برای مجرمان تنبل برای ایجاد و توزیع بدافزار به بیشترین تعداد ممکن، با تلاش نسبتا کمی.

“اگر از تلفن هوشمند یا تبلت خود در محل کار استفاده می کنید، هکرها می توانند حمله خود را به سمت کارفرمای شما سوق دهند.”

اگرچه در حال حاضر در بین مجرمان سایبری محبوبیتی ندارد، اما به نظر می‌رسد که استخراج‌کنندگان رمزنگاری از فرصت‌های برابر در مورد اهداف خود برخوردار هستند و افراد و مشاغل را دنبال می‌کنند. از سوی دیگر، باج‌افزارها، مشاغل، بیمارستان‌ها، شهرداری‌ها و سیستم‌های فروشگاه‌های خرده‌فروشی را در تعداد نامتناسبی بیشتر از مصرف‌کنندگان هدف قرار می‌دهند.

همچنین، این فقط مصرف کنندگان نیستند که مجرمان جاسوس افزار موبایل را هدف قرار می دهند. اگر از تلفن هوشمند یا تبلت خود در محل کار استفاده می کنید، هکرها می توانند حمله خود را از طریق آسیب پذیری در دستگاه های تلفن همراه به سمت کارفرمای شما سوق دهند. علاوه بر این، تیم پاسخگویی به حوادث شرکت شما ممکن است نقض‌هایی را که از طریق استفاده دستگاه تلفن همراه از ایمیل شرکتی منشأ می‌گیرد، تشخیص ندهد.

نکته

برای تکرار، همه برنامه های موجود از طریق اپ استور اپل و گوگل پلی مطلوب نیستند و مشکل در فروشگاه های برنامه شخص ثالث حادتر است. در حالی که اپراتورهای فروشگاه برنامه سعی می کنند از نفوذ برنامه های مخرب به سایت خود جلوگیری کنند، برخی از آنها به ناچار از بین می روند. این برنامه‌ها می‌توانند اطلاعات کاربر را بدزدند، تلاش کنند از کاربران پول بگیرند، سعی کنند به شبکه‌های شرکتی که دستگاه به آن متصل است دسترسی پیدا کنند، و کاربران را مجبور به مشاهده تبلیغات ناخواسته یا انجام انواع دیگر فعالیت‌های غیربهداشتی کنند.

نحوه حذف بدافزار بعد از شناسایی بدافزار

این سه مرحله آسان را برای حذف بدافزار از دستگاه خود دنبال کنید.

1. یک برنامه امنیت سایبری خوب را دانلود و نصب کنید

همانطور که اتفاق می افتد، Malwarebytes برنامه هایی برای هر پلتفرمی که در این مقاله مورد بحث قرار دادیم دارد: Windows، Mac، Android و Chromebook.

2. با استفاده از برنامه جدید خود اسکن را اجرا کنید

حتی اگر Malwarebytes Premium را انتخاب نکنید، نسخه رایگان Malwarebytes همچنان در حذف بدافزار عالی است. با این حال، نسخه رایگان در وهله اول از ورود تهدیدات به سیستم شما جلوگیری نمی کند.

3. تمام رمزهای عبور خود را تغییر دهید

اکنون که می دانید توسط نوعی بدافزار تحت تعقیب قرار نمی گیرید، باید رمزهای عبور خود را بازنشانی کنید – نه تنها برای رایانه شخصی یا دستگاه تلفن همراه خود، بلکه ایمیل، حساب های رسانه های اجتماعی، سایت های خرید مورد علاقه خود و بانکداری آنلاین و مراکز صورتحساب. این ممکن است پارانوئیک به نظر برسد، اما با جاسوس‌افزارها، تروجان‌های بانکی و مواردی از این دست، شما فقط نمی‌دانید قبل از اینکه عفونت را متوقف کنید، چه داده‌هایی گرفته شده است. مثل همیشه، از نوعی احراز هویت چند مرحله‌ای (حداقل دو مرحله‌ای) استفاده کنید و فکر نکنید که لازم نیست همه رمزهای عبور خود را حفظ کنید. به جای آن از مدیر رمز عبور استفاده کنید.

اگر آیفون یا آیپد شما به بدافزار آلوده شده است (هرچند که ممکن است غیرممکن باشد). همه چیز کمی پیچیده تر است. اپل اجازه اسکن سیستم دستگاه یا سایر فایل‌ها را نمی‌دهد، اگرچه Malwarebytes برای iOS، برای مثال، تماس‌ها و پیام‌های کلاهبرداری را نمایش و مسدود می‌کند. تنها گزینه شما این است که گوشی خود را با تنظیم مجدد کارخانه پاک کنید، سپس آن را از نسخه پشتیبان خود در iCloud یا iTunes بازیابی کنید. اگر از گوشی خود نسخه پشتیبان تهیه نکرده اید، پس از ابتدا از ابتدا شروع می کنید.