چگونگی عملکرد این باج افزارها بدین صورت است که ابتدا باجگیران از طریق نرمافزارهای خودکار اقدام به اسکن درگاههای باز روی آدرسهای IP اینترنتی کرده و در صورتی که پورت ریموت دسکتاپ روی آنها باز باشد، اقدام به حدس زدن رمزهای عبور مختلف نموده و شانس خود را برای ورود به سیستم محک میزنند. در صورتی که فایروالی با قابلیت تشخیص اینگونه حملات روی لبه شبکه فعال نباشد و همچنین مقرراتی برای جلوگیری از ورود پسوردهای اشتباه به دفعات متعدد موجود نباشد، ممکن است بعد از گذشت فاصله زمانی کمی، نرمافزارهای باجگیر بتوانند رمز عبور صحیح را حدس زده و دسترسی ورود به سیستم را دریافت کنند.
پس از گرفتن دسترسی به سیستمعامل، حتی در صورتی که نرمافزارهای مخصوص ضد باجافزار نیز روی سیستم نصب باشد، باز هم با توجه به داشتن دسترسی مدیریتی، هکرها قادر به حذف هرگونه محصول امنیتی خواهند بود، و پس از آن به راحتی باجافزار خود را اجرا و اقدام به کدگذاری تمامی فایل ها خواهند نمود. متاسفانه به علت داشتن دسترسی مدیریتی هیچ نرمافزار امنیتی قادر به مقاومت در برابر آنها نخواهد بود؛ زیرا تمامی فعالیتها بر مبنای دسترسی مدیر سیستم و بهصورت قانونی انجام میپذیرد.
در نظر داشته باشید که نرمافزارهای ترمینال سرویس مانند سیتریکس، ویامویر هورایزن و غیره هم در صورت کانفیگ اشتباه، میتوانند این دسترسی را برای هکرها فراهم کنند. با توجه به موارد ذکر شده و برای جلوگیری از چنین حملاتی نیاز است تا توصیههای زیر جدی گرفته شده و نسبت به پیادهسازی آنها اقدام شود:
۱- در صورتی که نیاز به استفاده از ریموت دسکتاپ وجود ندارد، از بسته بودن پورت آن روی فایروال و خاموش بودن سرویس مربوطه اطمینان حاصل کنید.
۲- رمز عبور انتخابی برای این سیستمها حتما پیچیده و غیرقابل حدس باشد و از انتخاب رمزهای عبور ساده و شایع نظیر P@ssw0rd یا مشتقات آن بر روی سرور خودداری کنید.
۳- بر روی لبه شبکه از فایروالهای مطمئن با قابلیت تشخیص و جلوگیری از نفوذ IPS/IDSاستفاده کنید.
۴- در صورت وجود قابلیت محدودکردن IP روی فایروال سختافزاری، تنها ریموت دسکتاپ را برای IPهای مشخص و مورد اطمینان خود از بیرون باز کنید. در صورت امکان، پورت پیش فرض را از ۳۳۸۹ به پورت دیگری تغییر دهید.
۵- از بهروزبودن سیستم عاملی که ریموت روی آن فعال است، اطمینان حاصل کنید.
۶- تعویض دورهای رمزهای عبور را جدی بگیرید.
۷- ایجاد پالیسی قفل شدن سیستم پس از تعداد مشخصی ورود غیرموفق را پیاده کنید.
۸- تا حد امکان، بررسی کلی امنیت شبکه توسط شخصی مورد اطمینان و غیر از مدیر شبکه انجام شود.
