رفتن به مطلب

پست های پیشنهاد شده

بدافزار CTB-Locker از طریق ایمیل و یک فایل zip وارد سیستم شده و پس از از اینکه از حالت فشرده خارج شود شروع به دانلود بدافزار از طریق شبکه TOR می باشد.

 

931119-11654-1-CTB-Locker-prevention-post.jpg

پس از بارگذاری، این بد افزار شروع به رمزگزاری فایل ها و پس از آن از شما برای رمزگشایی این فایل ها درخواست پول خواهد کرد. در این مقاله به بررسی تنظیماتی میپردازیم که از نفوذ خودکار این بدافزار از طریق فایل zip مربوطه جلوگیری میشود.

 

این بدافزار فایل های اجرایی خود را به مسیر %TEMP% منتقل می کند و شما به صورت دستی یا از طریق آنتی ویروس خود می توانید آن ها را پاک کنید. برای بازگردانی فایل های خود نیز ممکن است بتوانید از نرم افزار های بازگردانی اطلاعات مانند

محتوای مخفی

    برای مشاهده محتوای مخفی می بایست در انجمن ثبت نام کنید.
استفاده کنید تا نسخه های پیشین فایل های خود را بیابید.

مهم ترین نکته برای جلوگیری از ورود این بدافزار، آگاه سازی کاربران داخل سازمان برای عدم بازگشایی ایمیل های ناخواسته می باشد. معمولا کاربرای برای بازکردن فایل های ضمیمه از طریق خود ایمیل این کار را انجام می دهند و چون این بد افزار از طریق فایل zip منتشر می شود می توانید مراحل زیر را نیز برای جلوگیری از باز شدن این فایل ها به صورت غیر عمدی توسط کاربران سازمان خود انجام دهید. این مراحل بر روی Active Directory و بر روی یک سیستم Local توضیح داده شده اند.محدود کردن فایل های ZIP در زمان Extract شدن در Active Directoryابتدا بر روی سرور AD خود در Run گزینه gpmc.msc را وارد کنید.01-RUN.pngسپس مانند تصویر بروی Policy مربوطه کلیک راست کرده و گزینه Edit را انتخاب کنید.02-Edit.pngپس از این کار بر روی قسمت Software Restriction Policy کلیک راست کرده و گزینه New Software Restriction Policy را انتخاب کنید.04.png سپس به Additional Rules وارد شوید.05.png سپس کلیک راست کرده و گزینه New Path Rule را انتخاب کنید. 06.png در پنجره باز شده در قسمت Path مسیرهای زیر را وارد کرده و Security Level را بر روی Disallowed قرار دهید.

%AppData%\*.exe %UserProfile%\Local Settings\*.exe%LocalAppData%\*.exe%AppData%\*\*.exe%UserProfile%\Local Settings\*\*.exe%LocalAppData%\*\*.exe%UserProfile%\Local Settings\Temp\Rar*\*.exe%LocalAppData%\Temp\Rar*\*.exe%UserProfile%\Local Settings\Temp\7z*\*.exe%LocalAppData%\Temp\7z*\*.exe%UserProfile%\Local Settings\Temp\wz*\*.exe%LocalAppData%\Temp\wz*\*.exe%UserProfile%\Local Settings\Temp\*.zip\*.exe%LocalAppData%\Temp\*.zip\*.exe

برای تغییر در سیستم ها به صورت Local نیز در Run گزینه SecPol.msc وارد کرده و همین روال را بروید.اخبار و وبلاگ ما را دنبال کرده و ما خبرها و روش های جدید در مورد این بدافزار و سایر بدافزار ها را به شما معرفی خواهیم کرد.

 

منبع :

محتوای مخفی

    برای مشاهده محتوای مخفی می بایست در انجمن ثبت نام کنید.

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از ۷۵ اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به عنوان یک لینک به جای

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.


×
×
  • جدید...