إطار عمل ميتري AT&CK

T1204 - تنفيذ المستخدم: ارتباط ضار

T1486 - البيانات المشفرة للتأثير

مؤشرات التسوية

أسماء الملفات المرتبطة

نص مذكرة الفدية

عناوين البريد الإلكتروني المرتبطة

تجزئات

• 596 f1 fdb5a3 de40 cccfe1d8183692928b94b8afb [شا1]

• B7b5e1253710 د8927 سي بي إي07د52د2د2إي10 [MD5]

• الإمارات العربية المتحدة 876886 إف 19 بي إيه 384 إف 55778634A351 A1 دي 975414E83 إف 22 إف 6111 إي 3 إي 792 إف 706301 إف [شا256]
• دا 778748 إي أف 41 أ 4482 دا 767 دي 90 إي 7أ أ 8 بيفا 41 إي [شا1]
• 61653b3cd1a290 بي سي 531181 دي سي 807b20e 263599aa6aa6a2908 دي سي 259b867 ec98297 [شا256]
• 67f9404 df22c6b1e82807f5c527805083f40f40b9dac6b27c2583d70de17390 [شا256]
• 6b1b4bff59456 dfaa3307a20171fd7394 f49a5f6d1b3cd59392 ba41e4881878 [شا256]
• 749c4c343978b9f9f236838034f868 dac937fd9af9af31a6e5d05b993a87d51276 [شا256]
• 895007b045448 dfa8f6c9e22f76f416 f3f18095a063f5e73a4137bcc0dc0dc9a [شا256]
• 196B1E6992650C003 F550404 F6B1109F [مد5]
• FF177 BD454 A19 د 15 ب 9050448 دا 3298 سي 4 [ام دي 5]

البيانات الوصفية لعينة برنامج الفدية الخاص بـ Conti

التدابير المضادة وأفضل الممارسات للوقاية:

• يُنصح المستخدمون بتعطيل بروتوكول سطح المكتب البعيد (RDP) إذا لم يكن قيد الاستخدام. علاوة على ذلك، إذا كان ذلك مطلوبًا، فيجب إعداد اتصال RDP آمن خلف جدار الحماية مع سياسات الربط والتحكم في الوصول المناسبة.
• يجب تحديث جميع أنظمة التشغيل والتطبيقات على أساس منتظم. يمكن إجراء التصحيح الافتراضي لحماية الأنظمة والشبكات القديمة. هذا يمنع مجرمي الإنترنت من الوصول بسهولة إلى أي نظام من خلال الثغرات الموجودة في التطبيقات والبرامج القديمة. تجنب تثبيت التحديثات/التصحيحات من مصادر غير مصرح بها.
• قم بتقييد تنفيذ PowerShell /WSCRIPT في بيئة المؤسسة. تأكد من تثبيت أحدث إصدار من PowerShell واستخدامه، مع تمكين التسجيل المحسن. يجب أيضًا السماح بتسجيل كتلة البرنامج النصي ونسخها. يجب إرسال السجلات المرتبطة بهذا إلى مستودع سجلات مركزي للمراقبة والتحليل.
• قم بإنشاء إطار سياسة المرسل (SPF) لنطاقك لمنع البريد العشوائي من خلال اكتشاف انتحال البريد الإلكتروني الذي يمنع بدوره هجمات برامج الفدية.
• يؤدي إدراج التطبيقات/التنفيذ الصارم لسياسات تقييد البرامج (SRP) إلى حظر الثنائيات التي تعمل من مسارات %APPDATA% و%TEMP%. بشكل عام، يتم إسقاط عينات برامج الفدية وتنفيذها من هذه المواقع.
• لا تفتح المرفقات أو تنقر على عناوين URL في رسائل البريد الإلكتروني غير المرغوب فيها، حتى لو كانت من شخص ما في قائمة جهات الاتصال الخاصة بك وتبدو حميدة. إذا بدا عنوان URL أصليًا، فبدلاً من النقر عليه، استخدم متصفحك للوصول إلى تلك الصفحة المحددة.
• قم بحظر مرفقات أنواع الملفات التالية: exe|pif|tmp|url|vb|vbe|scr|reg|cer|pst|cmd|com|bat|dll|dat|hta|js|wsf
• ضع في اعتبارك تشفير البيانات السرية، نظرًا لأن برامج الفدية تستهدف عمومًا أنواع الملفات الشائعة.
• قم بعمل نسخة احتياطية من المعلومات الهامة بانتظام، للحد من تأثير فقدان البيانات أو النظام وللمساعدة في تسريع عملية الاسترداد. من الناحية المثالية، يجب الاحتفاظ بالبيانات الحساسة على جهاز منفصل، ويجب تخزين النسخ الاحتياطية في وضع عدم الاتصال.
• تقسيم الشبكة وفصلها إلى مناطق أمان للمساعدة في حماية المعلومات الحساسة والخدمات الهامة. يجب على المرء فصل الشبكات الإدارية عن العمليات التجارية باستخدام عناصر التحكم المادية وشبكات المنطقة المحلية الافتراضية.
• قم بتثبيت أدوات حظر الإعلانات لمكافحة مجموعات الاستغلال مثل Fallout التي يتم توزيعها عبر الإعلانات الضارة.