بهینه سازی و ارتقاء زیرساخت

عیب یابی و رفع مشکلات

ارائه طرح جامع بهینه سازی و ارتقا زیرساخت شبکه های کامپیوتری

ادامه مطلب

ایمیل سرور اختصاصی

پست الکترونیک سازمانی

به همراه راهکار ارتباطات یکپارچه Microsoft Lync

ادامه مطلب

سامانه دورکاری

مجازی سازی برنامه

دسترسی راه دور به برنامه ها از طریق راهکار سیتریکس

ادامه مطلب

خدمات میزبانی سرویس

ارائه سرور مجازی و اختصاصی در ایران و خارج

اجاره رک و فضا (Colocation) در دیتاسنتر پال نت و مشاوره راه اندازی هاستینگ اختصاصی

ادامه مطلب

فایروال شبکه

تامین امنیت زیرساخت شبکه

ارائه کامل ترین فایروال دنیا با لایسنس رایگان مادام العمر

ادامه مطلب

مشاوره فناوری اطلاعات

خدمات مشاوره تخصصی در حوزه فناوری اطلاعات و انفورماتیک IT، تهیه طرح ارزیابی وضعیت فعلی شبکه و سرویس ارائه راهکار شبکه و مستند از وضعیت مطلوب

راهکارهای تخصصی شبکه

راهکارهای تخصصی در حوزه فناوری اطلاعات، بهینه سازی و ارتقاء زیرساخت شبکه، نگهداری و پشتیبانی از شبکه های کامپیوتری و ارائه خدمات جامع

پشتیبانی و نگهداری شبکه

ارائه خدمات پشتیبانی شبکه، نگهداری زیرساخت و سرورهای کامپیوتری، ارتقاء سرویس ها و سخت افزارهای شبکه، بررسی رفع مشکلات کندی سرعت شبکه

آموزش تخصصی شبکه

موسسه آموزش های تخصصی گروه با فراهم کردن فضای آموزشی مجهز و امکانات مناسب، خدمات آموزشی مطلوبی را به مشتریان و داوطلبان آزاد ارائه می‌کنیم

سوالی درباره امنیت سرور شبکه کامپیوتری توسط یکی از مخاطبان سایت پرسیده شده است در مورد اینکه مکانیزم عملکرد باج افزار روی ایمیل سرور اکسچنج Exchange مایکروسافت به چه شکل است؟ Ransomware چگونه Server ها را آلوده می کنند و چه کاری در سیستم های نرم افزاری انجام می دهند؟ در ادامه با پرسش و پاسخی که در این زمینه شده است، راهنمایی های لازم برای حذف رنسامور توسط کارشناسان پشتیبانی شبکه گروه آورده شده است.

سوال درباره مکانیزم عملکرد باج افزار روی Exchange Server مایکروسافت و سایر سرورها

مشکلی که برای من پیش اومده اینه که من یک ایمیل سرور Exchange مایکروسافت راه اندازی کرده ام، همان روز اول بعد از نصب ازش بکاپ و نسخه پشتیبانی گرفته ام. یک هفته بعدش به محض اینکه به سرور ایمیل اکسچنج اینترنت دادم ، چند ساعت بعد باج افزار گرفت و سیستم آلوده شد و همه چیزش encrypt شد که مجبور شدم پاکش کنم و restore  بازیابی اش کنم به همون روز اول.
الان دوباره دیدم باج افزار گرفته! البته اینبار یک هفته است که اینترنتش هم وصله و عملیاتی شده، حال با این توضیحاتی که درمورد نحوه آلوده شدن سرور میل Exchange با رنسامور ارائه کردم، سوالم این است که ممکنه باج افزار مثلا چند روز زمان ببره تا کل سرور رو آلوده کنه یا نه به محض ورود Ransomware به سرور آلودش میکند؟ یا اصولا مکانیزم عملکرد باج افزار روی سرور ایمیل Exchange و یا هر Server مجازی یا سخت افزاری دیگر به چه شکل است؟
البته جلوی این سرور فایروال هم هست. ولی متاسفانه هنوز آنتی ویروسی روش نصب نشده که اونم این هفته نصب خواهد شد. من تعدادی سرور (ماشین مجازی) دیگه هم کنار این سرور دارم ولی هیچ کدوم مشکلی نداشتن تا الان، اینترنت هم دارن چندتاشون!

آشنایی به چگونگی عملکرد باج افزارها و ویروسهای باجگیر

برای آشنایی با مکانیزم و چگونگی عملکرد باج افزار روی Mail Server Exchange مایکروسافت و همچنین سایز سرورهای VM مجازی یا Dedicated Server سوال و جوابی در این بین مطرح شده است بین کارشناسان متخصص در زمینه حذف انواع ویروسهای باجگیر و باج افزارها با مسئول آی تی این سازمان که درگیر مسئله رنسامور شده است و در نهایت با راه حل های فنی در زمینه حذف ویروس Ransoware آشنا خواهید شد.

Ransomware_Anatomy_of_Attack مکانیزم عملکرد باج افزار روی سرور ایمیل Exchange

آیا روی این سرور سرویس ریموت دسکتاپ rdp با پورت استاندارد 3389 فعال است؟
بله، متاسفانه پورت rdp پیش فرض 3389 سرویس Remote Desktop را بر روی میل سرور اکسچنج و حتی سایر سرور های ویرچوال VM تغییر نداده ام چون هنوز فقط کاربران داخل شبکه ازش استفاده می کنند و سرویس را در سطح اینترنت پابلیش نکرده ام.
خب، در این صورت فکر می کنم از داخل خود شبکه و سیستم های کامپیوتری تان حملات باج افزاری صورت می گیرد و سیستم ها به ویروس Ransomware آلوده می شوند و ربطی به اینترنت نداره که از تو نت که باج افزار نمیریزن تو سیستما!

اینکه میگم داخل شبکه، شامل شبکه کاربران نمیشه! فایروال من بین شبکه یوزرهای داخلی و شبکه سرورها قرار دارد و ارتباطتشون فقط از طریق اینترنت با سرویس ها برقراره! و شاید بیان این نکته کمک کنه به حل مسئله و آن اینکه شبکه من فقط شامل یه سرور فیزیکی با بستر مجازی میشه که تعدادی سرویس مایکروسافتی روی اون فعال شده و بقیه ماشین های مجازی VM و سرویس ها سالم هستند و حدود چند ماه است که دارند بدون مشکل کار می کنند، فقط این یه دونه سرور میل Exchange اینجوری شده!

شما چه پورت های را از اینترنت به شبکه داخلی تان بر روی فایروال باز کرده اید؟
فقط پورتهای مورد نیاز سرویس ها که برای بعضی ها فقط ۸۰  است و برای یکی دیگه فقط ۴۴۳ هست را باز کرده ام. ولی سرویس rdp را از خارج به سمت سرورها و سرویسهای داخل شبکه باز نکرده ام چون از SSL VPN  فایروال فورتی گیت Fortigate Firewall استفاده میکنم برای ارتباط باهاشون!. ما برای این سرور exchange پورت های pop3, pop3s, imap4, imap4s, SMTP باز است.

آلوده شدن کامل سرورها به ویروس رنسامور چقدر زمان می برد؟

من بیشتر دوست دارم مکانیزم عملکرد باج افزارها را بدانم و اینکه آلوده شدن سرورها به رنسامور چقدر زمان می برد؟ سریع انجام می شود یا زمان بر است، بعد اینکه چرا بقیه ماشین های مجازی Virtual Machine چیزیشون نشده است؟ چراکه این ماشین های مجازی VM همشون مایکروسافتی هستن و همشون با هم در ارتباط هستند.

درباره مکانیزم عملکرد باج افزارها چه بر روی سرور ایمیل اکسچنج و چه بر روی سایر سرورهای مجازی VM و Dedicate اختصاصی این نکته را باید به یاد داشته باشیم که هستند باج افزار هایی که یک مدت خواب دارند و بعد شروع به کار می کنند. و البته اکثرا نقطه ورود Ransomware ممکن است از طریق پورت 3389 سرویس RDP مایکروسافت باشند ولی ممکن است آلودگی سرورها به ویندوز از جاهای دیگری نیز اتفاق بیفتد و اینطور نیست که حملات باج افزاری حتما از طریق ریموت دسک تاپ اتفاق بیفتد. من فکر می کنم دیر یا زود بقیه سرورهای مجازی و VM های زیرساخت شبکه شما هم آلوده شوند!

من تا الان مسیرهایی که میدونم برای اینکه جلوی باج افزارها را تا حد زیادی بتونم در سرورهای شبکه کامپیوتری بگیرم این موارد هست:
- استفاده از فایروال utm
- استفاده از آنتی ویروس
- بستن پورت های غیر ضروری
- استفاده از NAT فقط برای پورت های خاص برای سرویس ها
- آپدیت نگه داشتن سیستم عامل ها
اگر چیز دیگه ای هم هست لطفا بفرمایید اعمال کنم؟

البته چون این Server ایمیل سرور هست ممکن هست کسی از کاربران Email از طریق ایمیل باج افزار گرفته باشد و از طریق mailbox database به داخل سرور هم وارد شده باشد. محض اطلاع بیشتر شما عزیزان عرض کنم که من روی یک سرور ویندوزی مجازی دیگر تست کردم این باج افزار را ... تو چند ساعت اول دسکتاپ و درایو c رو آلوده میکند که به شدت لود سی پی یو CPU Load میره بالا بعد شروع میکنه به آلوده کردن درایوای دیگه که بستگی به cpu داره که چقدر زمان ببره برای آلوده کردنش.

ممکنه مسیر آلودگی شما از پورت ۴۴۵ باشه ولی در این حال باید جای دیگه هم آلودگی یا حداقل نشانه ‌اش را داشته باشید. گفتید که روی این سرور ضدویروس ندارید یا کلا ندارید؟
نه... ایمیل در روی کلاینت باز میشه و دسترسی به mailbox database ‌نداره

بهتر است علاوه بر این کارهایی که در بالا فرمودید برای جلوگیری از باج افزار انجام داده اید بهتر است از dns سرور های پروتکت شده استفاده کنید، مثل 9.9.9.9 یا dns های سیسکو. چون همه باج افزار ها برای ساختن کلید کانکشن میزنند و اگر dns پروتکت باشید درخواستشان دراپ می شود و یه نکته هم اینکه اگه نسخه کلاینت و سرور آنتی ویروس تهیه کردین حتما توی پالیسی ها تنظیم کنید که تغییرات در سطح دیتا از طرف نرم افزار های ناشناس کاملا محدود بشه. البته بعدا باید نرم افزار های ایرانی رو تراست کنید.

تنها چیزی که الان منو متعجب کرده سالم موندن بقیه سرورهاست چون این مشکل بار اول تقریبا دو هفته پیش اتفاق افتاد که از اون موقع هیچ مشکلی با سرورهای دیگه نداشتم!
احتمال داره سورس ویندوز آلوده به روت کیت باشه که میتونه باج افزار رو دانلود کنه و  خود باج افزار هم باید اینترنت باشه تا کلید رو بگیره و اینکریپت شروع بشن، نحوه انتشارش هم بستگی به برنامه نویسی داره ولی اکثر مواقع خیلی راحت میتونه از طریق  پورت 445 فایل و فولدرهایی که توی شبکه دسترسی داره رو الوده کند.

خدمات شرکت مهندسی شبکه پال نت در زمینه یاری رساندن به شرکت ها و موسسات در راه مقابله با انواع باج افزارها:
کارشناسان شرکت مهندسی شبکه پال نت، لیستی از انواع باج افزارها به همراه نحوه عملکردشان در تخریب اطلاعات با عکس و توضیحات کامل را تهیه نموده اند و با مطالعه مستمر و روزانه از جدیدترین اخبار باج افزارها و آخرین نسخه از ویروس های باجگیر رایانه ای، آمادگی این را دارند تا به مشتریان عزیزی که درگیر این مسئله و یا به تعبیری دیگر، سرطان وب، هستند، هم آگاهی و دانش خود را ارائه و اطلاع رسانی نماید و هم اگر شبکه تحت هدایت شان، تحت تاثیر ویروس های باجگیر و بدافزارهای مخرب شبکه قرار گرفته باشد، خدمات تخصصی درباره راه های مقابله با انواع باج گیرها یا Ransomware ها به همراه خدمات پاکسازی و حذف بدافزارها و پشتیبانی و مراقبت از بازگشت مجدد باج افزارها را به مشتریان عزیز ارائه دهد.

دانلود طرح پیشگیری و مقابله با انواع بد افزارها در شبکه های کامپیوتری

تماس با ما

 تهران - مطهری - میرعماد          کوچه دهم - پلاک 14 - واحد 9 
کد پستی 1587813633
کانال تلگرام PalnetGroup@

تلفن:  88173317 021
فکس: 89773396 021

JoomShaper