rssyoutubefg

משקיעים במטבעות וירטואליים? נוזקת כופר חדשה מנצלת את הטרנד

ESET ישראל
28.01.18

נוזקת כופר חדשה מתחזה לארנק עבור מטבע מזויף בשם SpriteCoin. בעוד המשתמשים חושבים שהם רוכשים מטבע קריפטו חדש, MoneroPay מצפינה להם את הקבצים במחשב.

הנוזקה שהתגלתה MoneroPay ע"י חוקרי האבטחה של MalwareHunterTeam, הופצה ב-6 בינואר בפוסט שהתפרסם ב-BitcoinTalk, אחד הפורומים הגדולים והמוכרים למטבעות וירטואליים. פוסט זה שימש להכרזה על השקה של מטבע קריפטוגרפי חדש בשם SpriteCoin.

הפוסט בפורום הכיל קישור לאתר לא מקוון שהכיל דף מידע על SpriteCoin עם קישור נוסף לארנק.

MoneroPay fake spritecoin site

אתר מזויף של SpiritCoin. מקור: bleepingcomputer

למרות שהפוסט הוסר מאז, הוא פורסם בדיון בפורום שהוא מקום נפוץ למפתחי מטבעות קריפטו להכרזה ​​על מטבעות חדשים. נושא המטבעות הווירטואליים כל כך חם עכשיו, ויש שיאמרו שמאוד משתלם, כך שכאשר מטבע חדש מושק אנשים רבים ממהרים להוריד את הארנק של המטבע כדי להתחיל לסחור בו לפני שהערך שלו עולה.

לאחר שהמשתמש מוריד ומפעיל את הארנק, הוא נטען ועובר דרך מה שנראה כהגדרה רגילה עבור ארנק חדש. 

MoneroPay wallet password

ארנק SpriteCoin. מקור: bleepingcomputer

מכיוון שהיו הרבה התראות שווא לגבי ארנקים דיגיטליים, משתמשים נטרלו את מוצר האנטי וירוס שלהם כאשר הורידו ארנק חדש. נוזקת הכופר החדשה השתמשה בדפוס ההתנהגות הנ"ל על מנת לשתול את נוזקת הכופר מבלי שהמשתמש יבחין בכך, ברגע שהוא מבין שהותקף כבר מאוחר מדי.

MoneroPay מצפינה בשקט קבצים בזמן שהארנק המזויף מסנכרן

כאשר מתקינים ארנק של מטבע דיגיטלי בפעם הראשונה, הארנק צריך להתחבר לרשת של המטבע ולסנכרן את עצמו עם ה-blockchain. תלוי כמה מטבעות כבר נכרו ובמהירות של הרשת, תהליך זה יכול לקחת זמן רב.

בזמן תהליך הסנכרון, התוקפים מתחילים להצפין את המחשב בעוד המשתמש ממתין לסיום תהליך הסנכרון. בגלל שזה בדרך כלל דורש זמן רב ודורש פעולות רבות מהכונן, זה המסווה האולטימטיבי לתהליך ההצפנה של MoneroPay.

MoneroPay fake blockchain synchronization

מסך הסנכרון. מקור: bleepingcomputer

בעת הצפנת הקבצים MoneroPay סיומת הקבצים תשתנה ל encrypted. לדוגמה test.png ישתנה ל - test.png.encrypted.

MonroPay encrypted files

קבצים מוצפנים ע"י MoneroPay. מקור: bleepingcomputer

בעוד נוזקת הכופר פועלת ומצפינה את הקבצים, היא מנסה גם לאחזר סיסמאות המאוחסנות ב- Firefox ו- Chrome. סיסמאות אלה וכן מידע על הקורבן והמחשב שלהם מועלות לשרת שליטה ובקרה של התוקפים הממוקם בכתובת שנמצאת בדארקנט (רשת TOR).

כאשר הסנכרון המזויף הושלם, מסך הנעילה MoneroPay יופיע ויציג את הודעת הכופר. סביר להניח שזו תהיה הפעם הראשונה שהקורבן מבין כי הוא נדבק בנוזקת כופר. 

MoneroPay ransom

דרישת הכופר של MoneroPay. מקור: bleepingcomputer

מסך נעילה זה דורש מהקורבן לשלם 3 מטבעות Monero, או כ-120 דולר על מנת לקבל את מפתח ההצפנה. לא ידוע עדיין אם מישהו שילם את כופר וקיבל את המפתח לפענוח הקבצים.

עיסוק במטבעות וירטואליים מצריך אמצעי זהירות נוספים כנגד נוזקות

חובבי מטבעות הקריפטו חייבים לשים דגש על כל נושא האבטחה. למטבעות הוירטואליים יש היסטוריה של ארנקים נגועים, ניסיונות לגנוב מטבעות באמצעות תוכנה זדונית, ועוד. לכן זה בהחלט חשוב שכל מי שמוריד ארנק דיגיטלי חדש לקרוא עליו קודם לכן במקורות מידע אחרים, ולבצע סריקה שלו באמצעות תוכנת אבטחה.

גם אם הוא נמצא נקי, עדיין מומלץ לבדוק את הארנקים הראשונים באמצעות מכונה וירטואלית כגון VirtualBox ורק להשתמש בארנקים מארגונים ידועים. הסיבה לכך היא שגם כשנראה שארנק מגיע נקי ולא מציג כל התנהגות זדונית כלפי חוץ, עדיין אין לכם מושג אם הוא עושה פעולה זדונית מאחורי הקלעים.

תצטרכו גם תוכנת אבטחה המשלבת זיהוי התנהגותי כדי להילחם בנוזקות כופר, ולא רק זיהוי מבוסס חתימות. ESET למשל משתמשת בזיהוי התנהגותי שיכול למנוע זיהומים רבים, ובמיוחד של נוזקות כופר המצפינות את המחשב, כמו גם רשת בענן שמתעדכנת בזמן אמת על איומים חדשים.

אמיר כרמי, מנהל הטכנולוגיות שלנו, ממליץ לפעול לפי העקרונות הבאים, שישמרו עליכם מנוזקות כופר כאלה ובכלל:

  • חשוב לבצע גיבויים אוטומטיים תקופתיים, וגם לבדוק ולוודא ששחזור מהגיבוי עובד בצורה תקינה. אפשר לגבות גם ידנית לדיסק חיצוני, כל עוד הוא מנותק מהמחשב ביום יום.
  • אל תפתחו קבצים מצורפים למייל אם אתם לא יודעים מי שלח לכם אותם.
  • אל תפתחו קבצים מצורפים עד שתאשרו שהאדם אכן שלח לכם אותם, סרקו קבצים מצורפים עם תוכנת אבטחה מוכרת.
  • ודאו שכל עדכוני Windows מותקנים בצורה אוטומטית.
  • הקפידו לעדכן את כל התוכנות במיוחד Java, Flash ו- Adobe Reader. תוכנות ישנות יותר מכילות חולשות אבטחה שעברייני הרשת מנצלים, לכן חשוב לוודא שכל התוכנות הללו מעודכנות.
  • ודאו שיש לכם תוכנת אבטחה מוכרת המשתמשת בזיהויים התנהגותיים ומתעדכנת בזמן אמת מהענן.
  • השתמשו בסיסמאות מורכבות ואל תעשו שימוש באותה סיסמא למספר שירותים. 
  • הדפס
  • דוא"ל

השאר תגובה

להשארת תגובה מלאו את השדות הבאים

eset logo footer© כל הזכויות שמורות לקומסקיור בע"מ 2004-2018, נציגת ESET בישראל. סימנים מסחריים אשר בשימוש באתר זה הינם סימנים מסחריים או
מותגים רשומים של ESET spol. s r.o. או ESET, LLC. כל השמות והמתוגים האחרים הם סימנים מסחריים רשומים של החברות הרשומות

עוצב ונבנה על-ידי פרומו - אסטרטגיה שיווקית ופרסום