هشدارمهم! آمادگی لازم در برابر ويروس احتمالي Wipe را داشته باشيد!
منبع : شرکت آینده نگاران(آیکو)
هشدارمهم! آمادگی لازم در برابر ويروس احتمالي Wipe را داشته باشيد!
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)،براساس گزارشات دريافتي، تعدادی از شرکتهای ایرانی اخیرا آلوده به ویروس خطرناکی شده اند كه اطلاعات دستگاهها رابصورت دائمي وغيرقابل برگشت، حذف ميكند. اگر چه خوشبختانه تاکنون موردی از آلوده شدن مشتریان این شرکت که از محصول Symantec Endpoint Protection استفاده می کنند گزارش نشده است اما بدلیل اهمیت موضوع لازم است مدیران محترم شبکه توصیه های زیر را به منظور اطمینان بیشتر و کاهش ریسک این تهدید و سایر تهدیدات مشابه در شبکه خود انجام دهند:
۱ – ازبه روزبودن آنتی ویروس خود برروي تمامی دستگاههای شبكه اطمينان حاصل كنيد
۲ – ازاطلاعات خوديك نسخه پشتيبان بطوركامل تهيه كرده ودرمحل ديگری بصورت Offline مثلاًبر روی HDDهای External ويا DVD كپی كنيد .
۳- آخرين بسته هاي بروزرسانی های واصلاحيه (Patch) سيستم عامل ونرم افزارهای كاربردی مورداستفاده رابرروي تمام دستگاههاوبه ويژه Serverهانصب كنيد ، براي اينكارمي توان ازنرم افزار WSUS و يا سایر نرم افزار های Patch Management مانند GFI Languard استفاده كرد .
۴ – دسترسي كاربران به درگاههاي فيزيكي ماننددرگاه USB برای استفاده ازديسكهای قابل حمل رامحدودكنيد . برای اينكارميتوان از Application And Device Control در Symantec استفاده كرد .
۵ –درصورتي كه ازسخت افزارهاي امنيتی يا نرم افزارهای Firewall برروي ورودي شبكه (Gateway) استفاده می كنيد ، دسترسي كاربران به اينترنت رامحدودبه سرويسها و پورتهای مورد نیازنماييد.
۶ – درصورت ديدن فايلهای مشكوك و به ويژه مرتبط با ويروس احتمالی Wipe لطفا نسخهای از آنها را از طريق ايميل برای گروه پشتيبانی شركت آيكو به آدرس support@ayco.ir ارسال نمایید.
متاسفانه در حال حاضر خبر و اطلاعاتي در مورد بدافزار مورد نظر در اينترنت و سايتهاي خارجي معتبر وجود نداشته و در هيچ كشوري مشابه آن گزارش نشده است. از آنجا كه بدافزار مورد اشاره تاكنون توسط هيچ آنتي ويروس داخلي و خارجي شناسايي نشده و همچنين sample فايل آلوده جهت گزارش و ارسال نيز در دسترس نيست، در حال حاضر روشي براي پاك سازي و يا شناسايي قبل از وقوع وجود ندارد.
با اين وجود برخي منابع كارشناسي وتحقيقاتي درباره روش مقابله باويروس احتمالي Wipe راهكاري را بصورت زير پيشنهاد داده اند. با بررسیهای دقیق مشخص شد در تمام این موارد از دستور diskpart استفاده شده است. این دستور از دستورات command prompt می باشد و در ویندوز هم قابل اجرا است.
براين اساس، توصیه اکید می شوددسترسي وفعاليت فايل diskpart.exe که از فایلهای سیستمی Windows بوده و در حالت عادی کاربردی ندارد محدود گردد.
براي دريافت اطلاعات تكميلي و دستورالعمل راهنما براي چگونگي انجام اين كار، به سايت شركت آيكو مراجعه نماييد.
جهت جلوگيري از اجراي فايل diskpart.exe لازم است از هر دو روش زير به صورت همزمان استفاده گردد تا از هرگونه احتمال خطر اجتناب شود.
روش اول(تغيير نام فايل diskpart.exe بر روي تمامي سرورها و كلاينتهاي مهم):
فايل diskpart.exe که از فایلهای سیستمی Windows بوده و در حالت عادی کاربردی ندارد در محل های زير قرار دارد:
تغییرنام این فایل ها بايد در حالت Safe mode انجام شود.زيرا ويندوز در حالت عادي اجازه انجام اين كار را نمي دهد.
نكته: در ويندوز ۷ ابتدا دستورات زير را اجرا كنيد بعد بر روی فایلها کلیک راست کرده و permision آنها را fullcontrol کنید و سپس اقدام به تغییر نام نمایید .
جهت سهولت کار یک Batch File بانام Runme_in_Safe_mode.bat به پیوست آمده است. با اجرای این فایل در Safe Mode عملیات تغییرنام فایلها بطور اتوماتیک انجام میشود.
روش دوم(بااستفادهازامكانات ضد ويروس Symantec Endpoint Protection):
بدين منظورمي توانيد به روش زير، بااستفاده ازامكانات ضد ويروس Symantec Endpoint Protection جلوی فعاليت اين فايل رابگيريد :
۱. كنسول مديريتی سيمانتك (Symantec Endpoint Protection Manager) را باز كرده و به قسمت Policies برويد.
۲. حال مطابق شكل زيرقسمت Application and Device Control را انتخاب كرده سپس بر روی Policy اعمال شده بر روی كلاينت ها Right-click كرده و edit را بزنيد:
۳. حال قسمت Application Control انتخاب كرده و در پايين صفحه Add را بزنيد.
۴. در قسمت Rule set name اسم Rule را Wipe بگذاريد . سپس در قسمت Apply this rule to the following processes ، Add را زده و در فيلد Process name to match يك * بگذاريد و OK را بزنيد:
۵. حال روی Rule ۱ در پنل سمت چپ Right-click كرده و Add Condition ---< Lunch Process Attempts رابزنيد:
۶. در قسمت Lunch Process Atempts در پنل Apply to the following Processes ، Add را بزنيد و اين دو آدرس را به آن اضافه كنيد :