הדפס עמוד זה

מתקפת לוקי בישראל

ESET ישראל
21.02.16

המעבדה שלנו זיהתה מתקפה מצד נוזקהחדשה של תוכנת כופר הנקראת Locky. התוכנה מצפינה קבצים במחשב הנגוע ודורשת כ-800 ₪ תמורת שחרורם. האיום התפרץ באופן משמעותי במחשבים ישראלים – 11.5% אחוזי מכלל ההתקפות בעולם זוהו בארץ!

בשבוע האחרון זוהתה פעילות חריגה ברשת ברחבי העולם – הצפנה של קבצים במחשבי משתמשים רבים ודרישה לתשלום 0.5 ביטקוין (כ-800 שקלים) עבור פיצוח מפתח ההצפנה. המתקפה החדשה מבוצעת על ידי תוכנת כופר שנקראת Locky. האיום פגע עד כה באחוז יוצא דופן מאוד במחשבים ישראלים – 11.5% והמספרים ממשיכים לטפס. לשם השוואה, בארה"ב זוהו 17% מכלל ההתקפות. ההתפרצות זוהתה לראשונה על ידי חברת ESET הודות למערכת ה-LiveGrid שלה – מערכת מתקדמת לזיהוי מוקדם של איומים פרי פיתוחה של החברה.

תוכנת Locky כשמה כן היא – התוכנה משנה את סיומות הקבצים במחשב ל-Lock. דרך ההדבקה הזו הייתה נפוצה מאוד בשנות ה-90 במסגרתה הודבקו קבצי וורד ואקסל. ייתכן מאוד שהתוכנה קיבלה "השראה" לאופן פעולתה מתוכנת נוזקה מצליחה ומוכרת ששמה Dridex שפועלת באופן דומה.

ההדבקה נעשית באופן הבא:

1. קובץ וורד או אקסל שמצורף לאימייל נפתח על ידי המשתמש. באותו הרגע יורד למחשב קובץ EXE במיקומים ושמות שמשתנים מדי כמה דקות, שמפעיל את השלב הבא.

2. נוזקה מסוג VBA/TrojanDownloader.Agen מופעלת במחשב ונותנת הרשאות מנהל מלאות להליך שמופעל בשלב הבא.

3. נוזקה מסוג Filecoder סורקת את מערכת הקבצים המקומית, כוננים ותיקיות משותפים, ומצפינה קבצי אופיס, PDF, ותמונות.

מייל פגוע לדוגמה:

dugma

לאחר שהקבצים מוצפנים, מוחלף הרקע של שולחן העבודה, ומופיעות הנחיות לתשלום הכופר, שמפנות לקישור אונליין, שבו קיימות הנחיות כיצד להעביר את תשלום הכופר בביטקוין.

וכך הרקע של שולחן העבודה במחשב הנגוע נראה:

dugma2

חשוב לציין כי לאחר שהנוזקה מסיימת את סדר הפעולות המדובר היא משמידה את עצמה ואת כל הרכיבים שלה, כולל תיעודים במערכת ההפעלה, וזאת על מנת להקשות את עבודת המחקר של חברות האנטי וירוס על דרך הפעולה שלה.

בימים אלה שניים מתוך 5 האיומים הנפוצים ביותר בעולם קשורים בתוכנת הכופר Locky, והם מהווים כ-10% מכלל התקפות הנוזקות בעולם ביומיים האחרונים.
המלצתנו היא לגלות ערנות מוגברת בימים אלו בעת קבלת מיילים – לא לפתוח כאלה הנשלחים על ידי מוענים שאינם מוכרים וקל וחומר לא לפתוח קבצים מסוג וורד או אקסל הנשלחים על ידי מוענים בלתי מזוהים.

ניתן גם לשתף חבר >