راهکارهای کسپرسکی برای مقابله با Ransomware

 

راهکار های مقابله با تهدید Ransomware :

 

  1. تنظیمات زیر را در بخش policy موجود در Kaspersky Security Console  مطابق شکل و دستورالعمل انجام دهید :

      ابتدا  وارد کنسول کسپرسکی شوید و از بخش Managed Computer  به تب policy  رفته و پالیسی مربوط به Endpoint  را انتخاب نمایید .

 

 

 در این قسمت مطابق شکل از بخش Application Privilege Control  گزینه Setting  را انتخاب نمایید  .

 

 

  در پنجره باز شده ابتدا Private Data  را select کرده ، سپس برای ساخت Category جدید از تب Protected Resources بر روی گزینه Add کلیک نمایید و گزینه Category را انتخاب کنید.

 

 

سپس نام مورد نظر را وارد کرده و Ok  را بزنید .

 

 

همانند شکل زیر Category  را به زیر شاخه های زیر تقسیم کنید و در هر قسمت از Category  پسوند فایل های مرتبط با آن گروه را اضافه نمایید .

(دقت نمایید برای اضافه نمودن پسوند فایل مورد نظر مثلا *.doc  ابتدا بر روی browse  کلیک کرده و در پنجره باز شده در قسمت object  پسوند را اینگونه وارد نمایید : *.doc)

 

نکته : این عملیات برای محافظت از فایل های دیتابیسی قویا توصیه میشود، حتما پسوند فایل های دیتابیس را اضافه کنید


توجه : تمامی پسوندهای  پیشنهادی جهت اضافه شدن به Category  مورد نظر در صفحات بعدی موجود می باشد .

 

 

در نهایت با کلیک بر روی سرشاخه Category  (در اینجاProtected file types  ) و انتخاب این پوشه ، در قسمت روبه رو همانند شکل دسترسی Write  تمامی حالات بجز Trusted را  Blockکنید . ( به طور پیش فرض دسترسی نوشتن برای حالت Low Restricted  مجاز میباشد که باید غیر مجاز شود )

 

 

پسوند هایی که پیشنهاد میشود حتما در بخش Protected File  اضافه کنید به شرح زیر است :

 

 

در همان بخش policy  ، در قسمت File Anti-Virus  و Mail Anti-Virus  در بخشی به نام Action on threat detection که مربوط به چگونگی رفتار آنتی ویروس در هنگام شناخت ویروس میباشد ،  مطابق تصویر زیر عمل کرده و بر روی حالت  Disinfect  قرارداده و هر دو گزینه Disinfect  و Disinfection fails if Delete را انتخاب نمایید  .


 

و در نهایت در همین تنظیمات پالیسی در قسمت System Watcher   در بخش Proactive Defence  مطابق شکل زیر تنظیمات را پیاده سازی میکنیم :

 

 

 2) سپس به تب Tasks  از بخش Managed Computer  رفته و Task های مربوط به Scan  را با properties  گرفتن و رفته به بخش تنظیمات آن مطابق شکل زیر تغییر میدهیم :

 

 

 3) ایجاد Restore point    از طریق  System properties برای Volume  مورد نظر که حاوی اطلاعات دیتابیس یا بکاپ ها یا هر اطلاعات مهم دیگری است موجب میشود در صورت بروز مشکل و Encrypte شدن فایل ها ، برای بازگرداندن آن بتوان اقدامی را انجام داد ( توجه شود این عمل نیز به طور 100 %  نمیتواند تضمینی برای بازگرداندن فایل های Encrypte شده باشد )