לראשונה – נתגלתה תוכנת כופר שהיא גם וירוס מחשב

לראשונה – נתגלתה תוכנת כופר שהיא גם וירוס מחשב

צוות תמיכה ESET ישראל
24.12.14

השבוע פרסמה ESET העולמית מחקר אודות VirLock – תוכנה זדונית ממשפחת הכופר שגם מתנהגת כווירוס ומדביקה קבצים במחשב לפני שהיא מצפינה אותם. החדשות הטובות – יש לנו כלי הסרה חינמי.

בשבועות האחרונים עקבו במעבדת הווירוסים של ESET אחר איום חדש המופץ ברשת, אשר לראשונה משלב שתי טקטיקות מוכרות של הונאה – תוכנת כופר יחד עם וירוס מחשבים "משנה צורה" (פולימורפי). האיום, המכונה VirLock, כבר זכה לכלי הסרה ייעודי שפותח במעבדות ESET.

אם אתם עוקבים אחר הפרסומים שלנו, אתם ודאי יודעים שתוכנות הכופר למיניהן זכו השנה לפריצה מחדש עם גרסאות מתקדמות, כמו ה CryptoLocker ועוד, שאילצו מיליונים רבים של משתמשים ברחבי העולם לבצע פרמוט למחשב שלהם (וכתוצאה מכך לאבד קבצים יקרי ערך) או לשלם לתוקפים כופר בסכום של מאות דולרים בתקווה לקבל את הקבצים שלהם בחזרה.

לרוב, נהוג לחלק את משפחת תוכנות הכופר לשתי קבוצות עיקריות: 'תוכנות נעילת מסך' שלמעשה רק מונעות גישה לקבצים אך לא מצפינות אותם ו'תוכנות הצפנה' שמצפינות את הקבצים של המשתמש כך שלא ניתן לפתוח אותם ללא מפתח ההצפנה. במקרים נדירים יותר ניתן לראות שילוב של שתי הגישות באותה מתקפה כפי שראינו בתוכנת הכופר SimpLocker למכשירי אנדרואיד שהתגלתה גם היא על ידי ESET מוקדם יותר השנה.

תוכנת הכופר VirLock היא תוכנת כופר מהסוג שמשלב את שתי הגישות – הצפנת הקבצים ונעילת המסך, אך היא לא מסתפקת בזה. ה- VirLock מדביקה קבצים בווירוס אשר והופך אותם לקבצי הפעלה (executable) מוצפנים. חלק נוסף של הקוד הזדוני אחראי על נעילת המסך והצגת הודעת הכופר במסך הבית וכן על ביצוע פעולות הגנה עצמית למניעת הסרה כמו נטרול הדפדפן ומנהל המשימות (Task Manager) של המערכת המותקפת.

לאחר שהמערכת נדבקה ב VirLock, תופיע על מסך הבית הודעת כופר, המתחזה להודעה רשמית כביכול מרשויות החוק, המתריעה על המשתמש שעליו לשלם קנס עקב ביצוע פעולות לא חוקיות באמצעות המחשב. סכום הכופר במתקפה זו עומד על 0.652 ביטקוין (שווה ערך ל 850 שקלים).

העובדה המעניינת ביותר מבחינה טכנית לגבי האיום הזה היא שהווירוס הוא פולימורפי (משנה צורה). מה שזה בעצם אומר הוא שגוף הווירוס יהיה שונה בכל קובץ נגוע ובכל פעם שהוא יופעל. בנוסף, הבדיקה של ESET חשפה רמות שונות של הצפנה, מה שמעיד על השקעה רבה מצד מפתחי האיום.

כאמור, ESET פיתחה כלי הסרה ייעודי להסרת הקוד הזדוני ואת הצפנת הקבצים, אותו ניתן להוריד בקישור הבא.

בבלוג של ESET העולמית פורסם מאמר מקיף אודות האיום, אותו תוכלו לקרוא בקישור הבא.

ניתן גם לשתף חבר >
  • הדפס
  • דוא"ל