rssyoutubefg

שתי תוכנות כופר מוכרות עושות קאמבק בגרסאות חדשות

ESET ישראל
20.08.17

תוכנות הכופר נמצאות איתנו כבר כמה שנים, אבל לאחרונה הפכו לאיום ממשי עבור כולנו - החל מעסקים גדולים, מוסדות פיננסיים, בתי חולים וגם מחשבים פרטיים ברחבי העולם – בינתיים פושעי הסייבר מרוויחים מיליוני דולרים על חשבוננו.

רק בחודשים האחרונים, ראינו גל של התקפות כופר כולל WannaCry  ו-Petya, שגרמו לכאוס ברחבי העולם על ידי השבתת בתי חולים, תעשיות ייצור הרכב, תקשורת, בנקים ועסקים רבים.

לפני WannaCry ו-Petya, היה לנו את Mamba שהצפינה באופן מלא את הדיסק קשיח ואת נוזקת הכופר Locky שעשתה כאוס ברחבי העולם בשנה שעברה. החדשות הרעות עכשיו הן שנוזקות הכופר האלו חזרו עם גרסאות חדשות ומזיקות יותר מאי פעם.

תוכנת הכופר Locky

בתחילת 2016, Locky נפוצה בישראל וברחבי העולם והייתה לנוזקת הכופר עם התפוצה הגדולה ביותר בקרב עסקים, זאת על ידי פיתוי קורבנות להוריד קובץ זדוני שהופץ במייל. Locky הצפינה כמעט את כל סוגי הקבצים במחשב וברשת ועל מנת לשחררם התוקפים דרשו סכום כופר בביטקוין.

מאז עשתה נוזקת הכופר המפורסמת מספר קאמבקים שהופצו בסוגים שונים. הפעם חוקרי אבטחה זיהו קמפיין ספאם חדש שמפיץ את הגרסה החדשה של נוזקת הכופר המוכרת Locky, ונקראית בגרסתה החדשה בשם Diablo6. רוב ההתקפות התמקדו בארה"ב, אומנם עדויות לנפגעים מהגרסה החדשה של הנוזקה תועדו גם בישראל.

חוקר אבטחה עצמאי, המשתמש בכינוי המקוון Racco42, זיהה לראשונה את הגרסה החדשה של Locky, שמקודדת קבצים במחשבים נגועים ומציינת את סיומת הקובץ .diablo6.

כמו בגרסאות הקודמות, הגרסה החדשה מגיעה בהודעת דוא"ל המכילה קובץ Word מצורף, כאשר פותחים אותו, נוזקת הכופר מצפינה את הקבצים. על המחשב הנגוע מופיעה הודעה המנחה את הקורבנות לבקר באתר של התוקפים לקבלת הוראות ותשלומים נוספים. הדרישה מהקורבנות היא סכום של 0.49 ביטקוין (מעל 2,079 $) על מנת לקבל את הקבצים שלהם בחזרה.

למרבה הצער, בשלב זה אין אפשרות לשחזר את הקבצים המוצפנים, כך שמשתמשים צריכים לנקוט משנה זהירות בעת פתיחת קבצים מצורפים דוא"ל.

גרסה חדשה לתוכנת הכופר Locky

גרסה חדשה לתוכנת הכופר Locky, מתוך: thehackernews.com

 

תוכנת הכופר Mamba

Mamba היא סוג אחר של נוזקת כופר אשר מצפינה את הדיסק הקשיח כולו במקום את הקבצים. המשמעות של הצפנת הדיסק הקשיח היא השבתה כוללת של המחשבים (בניגוד להצפנת קבצים, אז המחשב ממשיך לתפקד ורק הקבצים לא נגישים) אלא אם ישולם כופר.

טכניקות דומות היו בשימוש על ידי התקפות כופר אחרות, כולל Petya ו-WannaCry, אבל נוזקת הכופר Mamba תוכננה ממש להרס של תאגידים וארגונים גדולים, ולא רק על מנת לסחוט ביטקוין.

בשנה שעברה למשל, Mamba הדביקה את רשת מערכת התחבורה העירונית של סן פרנסיסקו (MUNI) במהלך סוף השבוע של חג ההודיה, וגרמה לעיכובים גדולים ברכבת והכריחה גורמים רשמיים לסגור מכונות כרטיסים ולפתוח שערים בתחנות מסוימות בחינם.

עכשיו, חוקרי אבטחה זיהו קמפיין חדש של הפצת Mamba, המתמקד ברשתות ארגוניות של מדינות, בעיקר בברזיל וערב הסעודית.

אמנם לא ברור איך הגרסה החדשה מוצאת את דרכה לרשת ארגונית, אך החוקרים מאמינים כי כמו רוב הוריאנטים הקודמים של Mamba, הנוזקה חודרת באמצעות אתרים פגומים או זדוניים או באמצעות קבצים מצורפים זדוניים שנשלחו באמצעות דוא"ל.

הודעת דרישת הכופר לא מופיעה מיד עם ההצפנה, ההודעה המוצגת על מסך המחשב הנגוע מודיעה כי הכונן הקשיח של הקורבן הוצפן ומציעה שתי כתובות דוא"ל ומספר מזהה ייחודי כדי לפתוח את ההצפנה.

 

נוזקת הכופר Mamba שפגעה בשירותי התחבורה

Mamba תקפה את מערכת התחבורה בסן פרנסיסקו. מתוך: thehackernews.com

כך תתגוננו ממתקפת כופר

תוכנות כופר הפכו לאחד האיומים הגדולים ביותר על אנשים פרטיים וארגונים כאשר נוכחנו בחודשים האחרונים לכמה התפרצויות רחבות שלהן ברחבי העולם.

נכון לעכשיו, אין מפתחות הצפנה זמינים לשחרר את הקבצים שלנו שהוצפנו ע"י Locky או לשחרר את הדיסק הקשיח שהוצפן ע"י Mamba . על מנת להימנע ממקרים אלו, אנחנו ממליצים למשתמשים לבצע מספר פעולות:

היזהרו מהודעות פישינג בדוא"ל - תמיד חשדו במסמכים מצורפים שנשלחו בדוא"ל ואל תלחצו על קישורים בתוך מסמכים אלה, אלא אם אתם מזהים את המקור ששלח אותם.

גבו באופן קבוע – על מנת שתהיה לכם שליטה על כל הקבצים והמסמכים החשובים שלכם, הקפידו על שגרת גיבוי טובה, העבירו את עותק הגיבוי שלכם להתקן אחסון חיצוני שאינו מחובר באופן קבוע למחשב.

עדכנו את תוכנת האנטי-וירוס ומערכת ההפעלה שלכם - שמרו תמיד את תוכנת האנטי-וירוס ומערכות האבטחה שלך מעודכנות כדי להגן מפני האיומים החדשים ביותר.

  • הדפס
  • דוא"ל

2 תגובות

  • קישור לתגובה 19.11.17 פורסם ע"י ESET

    היי איציק,
    לצערנו אין כרגע יכולת לפתוח את ההצפנה, יש צורך לשחזר מגיבוי.

  • קישור לתגובה 29.08.17 פורסם ע"י איציק

    שלום

    האם יש פתרון גם ל ARENA?

השאר תגובה

להשארת תגובה מלאו את השדות הבאים

eset logo footer© כל הזכויות שמורות לקומסקיור בע"מ 2004-2018, נציגת ESET בישראל. סימנים מסחריים אשר בשימוש באתר זה הינם סימנים מסחריים או
מותגים רשומים של ESET spol. s r.o. או ESET, LLC. כל השמות והמתוגים האחרים הם סימנים מסחריים רשומים של החברות הרשומות

עוצב ונבנה על-ידי פרומו - אסטרטגיה שיווקית ופרסום