rssyoutubefg

מעל ל-60% מהנוזקות המופעלות כיום בעולם, ופועל יוצא בישראל, עלולות להסתיים במתקפת כופר.

כיצד פועלת מתקפת כופר / תוכנת כופר (Ransomware)?

מתקפות אלה עושות שימוש בטכניקות הדבקה מתקדמות ולרוב גם מנצלות תמימות או חוסר מודעות מצד משתמשי הקצה כדי לייצר את פעולת ההדבקה הראשונית.

לרוב מדובר בקבצים המצורפים להודעות דואר אלקטרוני המכילים קובץ JS (ג'וואה סקריפט) זדוני, שעובר מספר שינויים ביום כדי לעבור מתחת לרדאר של תוכנות האבטחה הקיימות.

לעיתים אחרות, מדובר בניסיון להפנות משתמשים לאתרים זדונים, בהם מופעל קוד זדוני על מנת להדביק את המחשב.

במקרים אחרים, מצליחים האקרים להתחבר מרחוק למחשב (באמצעות Remote Desktop connection שמוגדר עם סיסמה פשוטה לפיצוח) ואז הם מסירים את תוכנת האבטחה ומבצעים את תהליך ההצפנה.

post 252 2

כאשר מתרחשת מתקפה, היא מצפינה את כל המידע הקיים במחשב ובסיום מציגה למשתמש הודעת דרישה לתשלום כופר (בכסף או בביטקוין).

ללא תשלום (ולעיתים גם במידה ומבוצע תשלום), לא ניתנת לשחזר את המידע המוצפן לעולם. הפתרון היחיד במקרה כזה, במידה ולא מצליחים לשחרר את ההצפנה, הוא לשחזר את המידע מן הגיבוי.

כיצד למנוע התקפת כופר במחשב?

1. יש לוודא התקנה של אנטי וירוס מעודכן וחוקי במחשב. יש לוודא שמותקנת גרסה 10 של ESET.

2. יש לוודא שמערכת ה- LiveGrid פעילה בתוכנה.

3. להגדיר עדכוני מיקרוסופט אוטומטיים במחשב.

4. לבצע עדכוני JAVA ו-Adobe Flash קריטיים.

5. להשתמש בחומת אש המייצרת שכבת הגנה חיונית מפני תוכנות הכופר. חשוב להשתמש ב-ESET Internet Security להגנה מקיפה על המחשב.

6. להגדיר גיבויים יומיים:

- מומלץ להשתמש במדריך הגיבוי שלנו, שנועד במיוחד להתגוננות מהתקפות כופר.
- יש לגבות כל מידע חשוב במחשב, ולבצע בדיקה תקופתית של שחזור הגיבויים כדי לוודא שהם תקינים.
- חשוב לבצע עדכון גם למיקום אונליין בענן או בחוות שרתים מרוחקת, בנוסף לגיבוי מקומי.
- ניתן להגדיר גיבוי של מערכת ההפעלה לתיקיות חשובות או משותפות ב- Shadow Copy כפי שמוסבר במאמר של מיקרוסופט.
- חשוב לציין שבמרבית המקרים תוכנות הכופר מוחקות את הגיבוי הנ"ל לפני הצפנת הקבצים.

כיצד לטפל במחשב שנפגע מתוכנת כופר?

חובה לעבוד על פי הסדר ולא לדלג על אף סעיף!

מדריך זה מתעדכן מעת לעת ומכיל את המידע הכי עדכנית בטיפול ברשת שנפגעה. ככלל, איננו ממליצים לשלם כופר (כי אין וודאות שהמידע ישוחרר), בטח לא לפני הפעולות הבאות:

1. לוודא התקנה בגרסה עדכנית של ESET במחשב.

2. יש לוודא שמערכת ה-LiveGrid פעילה בתוכנה.

3. לוודא ש-ESET מוגדרת בצורה תקינה במחשב.

4. יש לבצע סריקה מעמיקה עם ניקוי מלא של ESET.

5. לשחזר את הקבצים מגיבוי- רק לאחר השלמת הסעיפים 1-4, שמטרתם לוודא שלא קיים וירוס פעיל במחשב, ניתן לשחזר את הקבצים מגיבוי.

6. אם לא היה גיבוי מסודר, ניתן לשחזר את הקבצים מתוך Shadow Copy (במידה והיה פעיל באותן התיקיות) בעזרת מדריך מיקרוסופט.

זאת בתנאי שתוכנת הכופר לא הצליחה למחוק אותם.

ספורה (Spora) היא נוזקת הכופר השנייה הנפוצה בעולם, והיא ידועה לא רק בגלל יכולות ההצפנה וההסוואה שלה, אלא בעיקר בשל פורטל ידידותי ומעוצב שמאפשר לקורבנות לשלם את הכופר בקלות, לשאול שאלות על תשלום בביטקוין ואפילו לקבל זיכוי עבור כתיבת ביקורת חיובית. כי גם לעבריינים חשובה חוויית המשתמש

geektime 2

כניסה לפורטל התשלום ברוסית באמצעות משתמש וקוד ייחודי שמיוצר בכל מחשב שנפגע

בשנים האחרונות איום נוזקות הכופר הפך לנפוץ מאוד, בעיקר משום שהעבריינים שמפתחים אותן הבינו שהן הדרך הנוחה והקלה ביותר להרוויח כסף. בשנת 2016 נרשמה עלייה של אלפי אחוזים בכמות ההתקפות והפגיעות מנוזקות כופר, וגם עלייה אדירה בכמות של נוזקות כופר חדשות, עם עשרות "משפחות" חדשות שלכל אחת מהן מאות ואלפי וריאנטים שונים.

בנוסף לכך מספר חוקרי אבטחה שחררו קוד פתוח של נוזקות כופר, שנועד כביכול לצורכי מחקר ולימוד, אך בפועל נעשה בו שימוש בקרב עבריינים פחות מנוסים, ואפילו חדשים בתחום, כדי לפתח מאות נוזקות כופר חדשות. התוצאה בפועל היא אלפי נוזקות כופר חדשות במהלך 2016, רובן חובבניות מאוד וחלקן מקצועיות ביותר.

נוזקת הכופר Spora בולטת בים הנוזקות הללו בזכות שיטות הפצה מקצועיות, הצפנה שלא נפרצה עד כה ופורטל עם שירות לקוחות ברמה שחברות תוכנה מוכרות ולגיטימיות יכולות רק לשאוף אליו. על פי סטטיסטיקות שנאספו במהלך שבוע אחד בחודש מרץ על ידי ID Ransomware, אתר שהקים חוקר האבטחה מייקל ג'ילספי ומשמש לזיהוי סוגי נוזקות כופר על פי הקבצים שהוצפנו, Spora היא נוזקת הכופר השנייה הנפוצה בעולם.

geektime 1

מתוך האתר ID Ransomware

הזווית הרוסית
בחודש ינואר השנה החלו להופיע דיווחים ראשונים אודות Spora. ניתוחים ראשוניים שלה גילו שהיא פותחה והופצה בשלב הראשון רק ברוסיה. מדובר בגילוי יוצא דופן בתחום הנוזקות, משום שבדרך כלל יוצרי נוזקות רוסים מקפידים שלא לתקוף מטרות בתוך המדינה, מתוך ידיעה שרשויות החוק ברוסיה רודפות רק עבריינים שתוקפים חברות ואזרחים רוסים, אך לא טורחות לבדוק או לשתף פעולה עם חברות אבטחה ורשויות חוק בשאר העולם כאשר ההתקפות אינן מכוונות כלפיהן. בשבועות הראשונים להפצתה הופצה Spora אך ורק ברוסיה, בתור סוג של בטא ובאמצעות מייל ברוסית שמגיע כביכול משירות הנהלת חשבונות פופולרי במדינה בשם 1C. דרישת הכופר כתובה ברוסית והפורטל שמשמש לתשלום גם הוא ברוסית.

הפצה והסוואה הם שם המשחק
כבר לקראת סוף חודש ינואר, כשלושה שבועות לאחר ש-Spora החלה להיות מופצת ברוסיה, התחילו להופיע דיווחים על הדבקות ברחבי העולם בשפות שונות. ההפצה התבצעה באמצעות ספאם, אבל גם באמצעות ערכת הפריצה הידועה לשמצה RIG-V, שמפיצה את נוזקות הכופר המובילות בעולם כמו Locky, Cerber ו-Sage.
 

עם זאת, מעניין יותר להתבונן בשיטת ההפצה של Spora באמצעות קובץ ZIP שבתוכו קובץ HTA שמצורף למיילים מטעים. בניגוד למרבית נוזקות הכופר שמשתמשות בקבצים מצורפים מסוג JScript ומסמכי וורד ואקסל עם מאקרו, Spora משתמשת בקבצי HTA. למרות שזו לא שיטה ייחודית, היא עדיין נדירה יחסית בנוף נוזקות הכופר ומצביעה על היצירתיות והמשאבים שקיימים לרשות המפתחים של הנוזקה. כמובן שמדובר רק בשלב אחד ובהמשכו מופעל קובץ VBScript, שיוצר ומפעיל שרשרת של מספר קבצי Jscript שבעצמם מפעילים לבסוף קובץ וורד שמראה על שגיאה בפתיחה שלו. המטרה היא לגרום למשתמש לחשוב שהוא הפעיל פשוט קובץ וורד שנפגע במהלך העברת הדוא"ל, כאשר למעשה מופעל ברקע קובץ EXE שמתחיל את הליך ההצפנה.

קיימים 2 יתרונות עיקריים בשימוש בקבצי HTA בשלב ההדבקה הראשון:
1. מוצרי סינון דוא"ל רבים כבר מוגדרים לחסום קבצי Jscript וקבצי אופיס עם מאקרו, וגם המשתמשים עצמם כבר עירניים יותר לקבצי Jscript ומסמכי אופיס שמבקשים מהם לאפשר מאקרו כדי לקרוא אותם.
2. שימוש בקבצים שהם HTML Application גורם ל-Windows להתייחס אליהם כאל אתר אינטרנט שלא מופעלים עליו ה-Sandbox ואמצעי האבטחה הנוספים שעל דפי אינטרנט באופן רגיל. כאשר קובץ HTA מכיל סקריפט, הוא מקבל את אותן ההרשאות שמקבל קובץ EXE שמורד ומופעל מקומית.
במאמר של קווין דאגלס, חוקר אבטחה מחברת RSA Security, תוכלו למצוא פירוט מעמיק של דרך ההפצה באמצעות HTA וההצפנה של כל אחד משלבי ההדבקה.

geektime 3

תיאור שלבי ההדבקה מתוך המאמר של קווין דאגלס

הצפנה מאובטחת גם Offline
גם הליך ההצפנה של הקבצים על ידי Spora עובד בצורה מאובטחת מאוד, שכנראה אינה ניתנת לפריצה, אלא אם כן ישוחרר בעתיד מפתח ההצפנה הראשי כפי שקרה בעבר עם נוזקות כופר מובילות אחרות. בהליך ההצפנה שמשלב בין RSA ל-AES, משתמשת Spora ב--Windows CryptoAPI. קודם כל היא תאתר ותבצע decrypt למפתח ההצפנה RSA הציבורי שמוטמע בקובץ ההפעלה של הנוזקה, באמצעות מפתח AES שהוא hard coded. ברגע שמפתח ההצפנה הציבורי מיובא, יוצרת Spora זוג מפתחות RSA נוספים ב-1024 bit, שהם ייחודיים לכל מחשב שמודבק. בנוסף תיצור הנוזקה מפתח AES ב-256 bit על מנת להצפין את מפתחות ה-RSA הייחודיים למחשב שהודבק, וברגע שאלה מוצפנים, מוצפן גם המפתח AES שהצפין אותם באמצעות מפתח ה-RSA הציבורי. כל המידע על כל ההצפנות מאוחסן בקובץ KEY שנשמר מקומית על המחשב.

ההליך המורכב הזה, שנראה עקום במבט ראשון, מאפשר ל-Spora ליצור רק מפתח הצפנה מקומי אחד, בניגוד למרבית נוזקות הכופר האחרות שלא יוצרות מפתח הצפנה מקומי ומפתח אונליין א-סימטריים ולא נוצר קשר עם שרת השליטה והבקרה (C&C) בשלב של הצפנת הקבצים. הסיבה שמרבית נוזקות הכופר משתמשות בשיטה הזו היא הלקחים שהפיקו מן העבר הלא רחוק, כאשר היה נוצר רק מפתח הצפנה אחד מקומי וחוקרי אבטחה הצליחו לפרוץ אותו. המשמעות היא ש-Spora יודעת לעבוד גם ללא חיבור אינטרנט וגם שהסריקות של מוצרי האבטחה וחומות האש שכבר מוגדרות לחפש תקשורות כאלה מול שרתי ה-C&C ולחסום אותן או את ההליך שיוצר את התקשורת, לא יאתרו את הנוזקה בדרך זו.

דבר נוסף שבו Spora יוצאת דופן הוא שהיא לא משנה את הסיומת של הקבצים המוצפנים (קיים מספר קטן של נוזקות כופר כאלה). עם סיום ההצפנה מתקבל מספר סידורי, שהוא מזהה ייחודי עבור אותה ההצפנה ונותן ליוצרים של Spora מידע על כמות וסוג הקבצים שהוצפנו ועל המדינה שבה נמצא הקורבן. הנתונים הללו מאפשרים לעבריינים לתת מחיר מותאם עבור כל קורבן. למשל, כאשר מוצפנים קבצים של משתמש ביתי סכום הכופר יהיה נמוך משמעותית מסכום הכופר שנדרש מעסק שקבצים חשובים לו הוצפנו.


שירות ללא תחרות
הדבר הבולט ביותר שנוגע ל-Spora, והוא גם זה שזיכה אותה בפרסומים הרבים עד כה, הוא הפורטל שבו ניתן לתקשר עם שירות הלקוחות שלה ולשלם את סכום הכופר. הפורטל מעוצב בצורה ידידותית ומעצבים גרפיים רבים היו שמחים ללמוד ממנו: כל הנתונים מוצגים בצורה ידידותית, כולל סכום הכופר, האולטימטום לתשלום, העברת הביטקוין וצ'אט עם שירות הלקוחות של Spora.

geektime 4

פורטל התשלום של Spora

כדי להיכנס לפורטל נדרש המשתמש לבצע כניסה באמצעות המספר הסידורי שנוצר עבורו בסיום ההצפנה, ולאחר מכן להעלות את מפתח ההצפנה שנוצר מקומית במחשב שלו. בגרסאות העדכניות של Spora משלושת השבועות האחרונים, קובץ ההצפנה כבר לא נוצר והמידע על אודות המחשב שהותקף מאוחסן בקובץ ה-HTML עם הוראות תשלום הכופר.

geektime 5

ממשק ההעלאה של קובץ ההצפנה עם סיומת KEY שנוצר במחשב שנפגע

אחת האפשרויות שקיימות בנוזקות הכופר המובילות היא שחזור של 2 קבצים בחינם על מנת להדגים לקורבן שהקבצים שלו אכן ניתנים לשחזור. בנוסף, קיימות עוד 4 אפשרויות בתשלום, והייחודית שבהן היא "חסינות" – סוג של ביטוח שמבטיח למשתמש שהוא לא ייפגע בעתיד על ידי Spora.

geektime 6

אפשרויות תשלום מגוונות


קורבנות שנפגעו והחליטו לשלם נתקלים בקושי לשלם את התשלום במטבע ביטקוין. אך גם כאן הפורטל הידידותי של נוזקת הכופר מציע שירות צ'אט ידידותי שמתוחזק על ידי צוות מקצועי ושירותי. רבים מהקורבנות התרשמו לטובה מהעיצוב והשירות של הפורטל, ולמרות ששילמו את הכופר שלחו תודה לעבריינים שסחטו אותם.

geektime 7

"לקוחות" מרוצים של Spora

בנוסף, בחלק מהמקרים שבהם מוצפנים מספר מחשבים או תיקיות משותפות, מוצע לקורבנות להשאיר ביקורות חיוביות על תהליך תשלום הכופר ובתמורה לקבל זיכוי בביטקוין.

geektime 8

זיכוי תמורת ביקורת חיובית

הצ'אט מאפשר לכל משתמש בשירות לשלוח עד 5 הודעות, על מנת למנוע ספאם ועודף קללות בפורטל של קורבנות מתוסכלים, וגם כנראה כדי להתגונן בפני התקפות DDOS שפעמים רבות מכוונות גם כלפי שירותים של עבריינים. בתחילת חודש מרץ הופלו זמנית מספר דומיינים של הפורטלים של Spora כך שכנראה שהאמצעים שננקטו הם מוצדקים. האירוניה היא שהפלה של פורטל התשלום של Spora פוגעת בעיקר בקורבנות שרוצים לשלם ולא ביוצרי הנוזקה.

זה היה סופ"ש מלא בחדשות! לאלו מכם שלא היו מעודכנים בחדשות במהלך הסופ"ש, חשוב שתכירו שמתקפת סייבר עולמית התרחשה בזמן שחלמתם והיא יוצרת גלי ענק בתחום אבטחת המידע ואפילו גלים גדולים יותר עבור הקורבנות שלה.

ראש סוכנות המשטרה של האיחוד האירופי, רוב ויינרייט, חושף היום (ראשון) את נזקיה של המתקפה שאירע בסוף השבוע. לדבריו המתקפה פגעה ב-200 אלף קורבנות מלפחות 150 מדינות בעולם. לטענתו, בגלל ששבוע העבודה בעולם מתחיל ביום שני המספר הזה צפוי אף להעלות כאשר יחזרו מרבית האנשים לעבודתם מחר.

מתקפת כופר כלל עולמית
מי אשם בכל זה? תוכנת כופר העונה לשם Wanna Cry ומופצת במהירות הודות לתכונות שלרוב יש בוירוסים מסוג תועלת וכך כמו זיהום היא מתפשטת באופן אוטומטי. הנוזקה מנצלת פרצה במערכת ההפעלה של מייקרוסופט שפורסמה לפני חודשיים כאשר שוחררו מסמכים של ה-NSA. מאז, מיקרוסופט הוציאה עדכון למערכת ההפעלה (בחודש מרץ) אך מי שלא ביצע אותו, עלול להיפגע אם לא נפגע כבר.

תוכנת כופר היא תוכנה שמצפינה את הקבצים של המותקף במחשב ולמעשה לוקחת אותם כבני ערובה עד שישלם הקורבן סכומים בין מאות לאלפי שקלים במטרה לשחרר את המידע. במקרה הטוב התשלום מוביל לשחרור הקבצים, אך לא תמיד זה המצב והקורבן יכול למצוא עצמו בלי כסף ובלי גישה לקבצים.

wana cry encrypted2a

כך נראית תוכנת הכופר שהתפשטה ברחבי העולם. מתוך: welivesecurity

מי נפגע ומי עומד מאחורי המתקפה

במתקפה נפגעו בעיקר ארגונים שלא התקינו את עדכון התוכנה שהפיצה מיקרוסופט בחודש מרץ האחרון. בגלל שלרוב עדכון של תיקוני פרצות בארגונים גדולים אינו מתבצע תמיד בצורה אוטומטית, הם מהווים מטרה נוחה למתקפות. עצם ההפצה של התיקון מצביע על מיקום הפרצה, וההאקרים ממהרים לתקוף לפני שהארגונים הגדולים יעדכנו את כל המחשבים ברשת. לרוב, מטרות תוכנות הכופר הן ארגונים גדולים ובינוניים כי הם מסוגלים לשלם את הכופר.

ויינרייט, כי הם טרם התחקו אחר מי שעומד מאחורי המתקפה, אך בשל הדרישה לכופר סבירה שגורמי פשיעה הם אחראים למתקפה הזאת. "הם דורשים 300-600 דולר בתוך שלושה ימים", הסביר. "רוב האנשים בוחרים שלא לשלם - לכן, בינתיים, ארגוני הפשיעה שמאחורי המתקפה הזו לא עשו הרבה כסף".

ומה לגבי ישראל?

ראש הממשלה, בנימין נתניהו, התייחס לאיום הסייבר שפקד את העולם, בדבריו הרגיע וטען כי לא היו פגיעות בתשתיות הקריטיות של ישראל. עוד הוסיף כי הפגיעות שהיו בישראל היו מינוריות. ב-ESET ישראל נכון לעכשיו לא ידוע על נפגעים בישראל.
מי שמותקנת אצלו תוכנת אנטי וירוס מעודכנת של ESET לא צריך לדאוג כי המתקפה נחסמה והמוצרים מזהים אותה. עם זאת, יש כמה צעדים שחשוב שתנקטו ליתר ביטחון ואף פעם לא יזיקו.

כך תגנו על עצמכם

עדכנו את מערכת ההפעלה של מייקרוסופט – ככלל, מומלץ לוודא כי ביצוע עדכוני מערכת הפעלה מוגדר לביצוע אוטומטי. כעת וודאו כי ביצעתם עדכון לפרצת האבטחה שבעקבותיה חדרה תכנת הכופר (גם למערכת הפעלה XP יצא עדכון מיוחד בגין אירוע זה). תוכלו למצוא את הפרטים בקישור הבא על מנת לוודא שאכן מערכת ההפעלה שלכם מעודכנת.

וודאו שהאנטי וירוס במחשבכם מעודכן - תעדכנו את האנטי וירוס ומערכות אבטחה נוספות לגרסה העדכנית ביותר. כאמור מי שמותקנת במחשבו גרסה עדכנית של מוצר ESET יכול להסיר דאגה מליבו כי המוצר חסם את המתקפה. כאן תוכלו לבדוק האם הגרסה במחשב שלכם מעודכנת. 

גבו את המידע שלכם - עשו זאת בעותק נפרד ומבודד מכלל הגיבויים הקיימים שלכם. שימו לב – הכונן החיצוני נדרש לטובת גיבוי בלבד, חשוב לנתקו באופן מסודר עם סיום הגיבוי מהמחשב. למדריך הגיבוי המלא. 

אל תפתחו מיילים לא מזוהים, בדגש על מיילים עם קבצים מצורפים - אל תפתחו מיילים שנשלחים ממקורות לא מזוהים. שימו לב גם לניסוחים בכותרות המיילים הרבה פעמים שגיאות כתיב או כתיבת הספרה "0" במקום האות "O"" יכולים לתעתע. כמובן שאל תפתחו קבצים ממקור לא מזוהה ואל תלחצו על קישורים (לינקים) לא מוכרים.

למדריך המלא להתגוננות ומניעה של תקיפות כופר

בימים האחרונים זיהנו גל תקיפה מחודש של תוכנת הכופר Crysis. על פי מידע שאספנו קיימות מספר אינדיקציות לפגיעה בחברות ישראליות במסגרת גל התקיפות הנוכחי כמו גם במקומות נוספים בעולם, בעיקר בדרום אמריקה.

במהלך הסופ"ש האחרון התגלה גל תקיפות העושה שימוש בנוזקת הכופר Crysis בישראל. החדירה הראשונית של הנוזקה מתבצעת תוך שימוש בפרוטוקול RDP (Remote Desktop Protocol) פתוח לרשת של הגורם המותקף.

תוכנת הכופר Crysis היא תוכנת כופר ותיקה, ובין תוכנות הכופר הנפוצות ביותר בעולם במהלך השנים האחרונות. לאורך השנים יצאו גרסאות שונות שלה כאשר כל אחת משנה את סיומות הקבצים לשם אחר, לגרסאות אלו גם יצאו כלים לשחרור הקבצים.

בגרסתה החדשה של Crysis היא משנה את סיומת הקבצים אותם היא מצפינה לסיומת arena. הקורבנות מתבקשים ליצור קשר עם התוקפים וסכום הכופר בביטקוין ייקבע בהתאם למהירות התגובה של הקורבן. נכון לעכשיו, לגרסה זו טרם קיים כלי לפענוח ההצפנה שהיא מבצעת.

arena

הודעת ההצפנה כפי שנצפתה בישראל

במהלך השנים האחרונות עסקים בישראל חווים גל אחרי גל של התקפות כופר באמצעות פרוטוקול RDP לחיבור מרחוק. על אף האזהרות של חברות האבטחה נראה שעדיין בכל סוף שבוע מותקפות חברות ישראליות שמשאירות את חיבור ה RDP-פתוח לחיבור מרחוק.

כאשר מתבצעת התקפה דרך פרוטוקול RDP על עסק או ארגון כמו גם על מחשבים פרטיים, מנסים התוקפים להתחבר באמצעות יישום של פרצת אבטחה בפורטוקול RDP – במקרה ולא בוצעו עדכוני מיקרוסופט רלוונטיים, לא יהיה אפילו צורך לתוקפים לפרוץ את הסיסמה.
במידה וקיימים עדכוני האבטחה של מיקרוסופט, ינסו התוקפים לפרוץ את הסיסמה באמצעות התקפה הנקראת Bruteforce אשר עושה שימוש בטבלאות המכילות עשרות אלפי צירופים אפשריים של סיסמאות.

כאשר התוקף מקבל גישה לשרת עם הרשאות מנהל, הוא יכול להסיר תוכנות אבטחה כמו אנטי וירוס ואז להפעיל את נוזקת הכופר בצורה ידנית בכל שרת או תחנה ברשת. גם אם התוקף לא הסיר את האנטי וירוס הוא יכול לנטרל אותו ידנית לזמן מסוים. לכן אנחנו ממליצים לארגונים, עסקים ואנשים פרטיים לא לאפשר חיבור מרחוק באמצעות פרוטוקול RDP, אלא להגדיר חיבור מרחוק באמצעות VPN ולהשתמש באמצעי הגנה המאפשר אימות דו-שלבי (2FA).

מומחי אבטחה רבים מאמינים שאיום תוכנות הכופר רק ילך ויתרחב במהלך 2017, נתון מדאיג אם מסתכלים על הנזק שהן גרמו עד כה. מחקר חדש מראה כי פתרון אבטחה איכותי לתיבת הדוא"ל יכול למנוע ביותר מ-99% את איום תוכנות הכופר המועברות במייל.

איום תוכנות הכופר יכול היה להיות הרבה יותר גרוע: מבחן השוואה בין מוצרי אבטחה שערך מכון Virus Bulletin בדצמבר האחרון, מראה שמתוך 200 מיילים שכללו תוכנות זדוניות, 199 מיילים נחסמו על ידי פתרונות אבטחה למייל או מסנני ספאם. תוסיפו לכך את המודעות לנושא שהלכה וגברה בקרב המשתמשים, דבר שהוביל לכך שמיילים זדוניים פחות נפתחים, ואת פתרונות האבטחה המיועדים לנקודות קצה אשר מונעים מהתוכנות הזדוניות לעשות את עבודתם - התוצאה היא שרק אחוז קטן של נוזקות המועברות בדוא"ל יובילו להדבקה.

המבחן התבצע בדצמבר האחרון לאורך תקופה של 19 ימים, במהלכם עשרות קמפיינים של הפצת ספאם זדוני שונים נשלחו עם קבצים מצורפים המדמים מתקפה שלרוב מתפתחת לתוכנת כופר. אף קמפיין של הפצת ספאם לא היה "קשה" יותר לחסימה מאחרים, דבר המעיד על כך שאין פתרון קסם עבור התוקפים לעבור את מסנני הספאם.

email 1

מקור: Virus Bulletin


פתרון האבטחה של חברת ESET הגיע במקום הראשון עם חסימה של 99.99% מהמיילים הזדוניים, למקום השני הגיעה הפתרון של חברתBitdefender עם 99.98% אחוזי הצלחת חסימה ואילו במקום השלישי הגיע מוצר אבטחת המייל של Fortinet עם שיעור הצלחה של 99.94%.


חשוב לציין שהפערים על פניו מזעריים, עם זאת משמעותיים ביותר שכן עשירית האחוז יכולה לייצג עשרות אלפי מיילים שלא נחסמים. העובדה שספאם נשלח בכמויות גדולות מעיד על כך שגם אחוז הצלחה נמוך הוא אפקטיבי לתוקפים ומחזיר את השקעתם ובכך עלול לגרום נזק רב.

email 2

מקור: Virus Bulletin

email 3

מקור: Virus Bulletin

לפרטים מלאים, קראו את הסקירה ההשוואתית VBSpam לחודש דצמבר 2016, הכוללת פרטים נוספים על חסימת ספאם.

התוכנה לחיבור מרחוק של Ammyy Admin פופולארית בישראל בעיקר בקרב טכנאים, מנהלי רשתות ואנשי IT

ב- 24 שעות האחרונות הבחינו במחלקת התמיכה שלנו שגולשים שניסו להתקין את התוכנה לחיבור מרחוק מאתר Ammyy Admin נתקלו בניסיון להדבקה בתוכנת כופר המזוהה על ידי ESET כ- Filecoder.FJ. כך מזוהה האיום על ידי ESET:

ammyy

התוכנה לחיבור מרחוק של Ammy Admin פופולארית בעיקר בקרב טכנאי מחשבים או שירותי תמיכה מרחוק, והממלצה שלנו היא להימנע בתוקף מהתקנת התוכנה, או מביקור באתר Ammy Admin, גם אם נתבקשתם לעשות זאת על ידי אדם או שירות תמיכה עליו אתם סומכים.

מתקפה מתמשכת

בחודש אפריל השנה, חשפה מעבדת הווירוסים העולמית של ESET מבצע סייבר רחב היקף נגד חברות ובנקים ברוסיה שקיבל את הכינו Opration Buhtrap. לפי ESET התוקפים העומדים מאחורי אותו מבצע הסייבר, עומדים גם מאחורי המתקפה על אתר Ammyy Admin שלמעשה החלה כבר בסוף אוקטובר האחרון.

ammyy2

לפי ESET המתקפה על אתר Ammy Admin החלה ב- 26 לאוקטובר, והנוזקה הראשונה שהופצה באמצעותו הייתה Lurk Downloader - תוכנה זדונית שיודעת להסוות את עצמה בתמונות, ומשמשת להורדה של נוזקות נוספות למחשב לבחירת התוקפים. לאחר מכן, ב- 29 באוקטובר החל האתר להפיץ את הנוזקה CoreBot, שמשמשת בעיקר לגניבת מידע, אולם יכולה לשמש גם להורדה של תוכנות כופר.

בשלב הבא שולבו נוזקות נוספות שמשמשות בעיקר לגניבה של מידע פיננסי מחברות ראיית חשבון, או ממחלקת ראיית החשבון הפנימית בחברות וארגונים. נוזקות אלו יודעות גם לשלוף מידע אודות התוכנות מותקנות על המחשב ואתרים שבהם מבקר המשתמש, כדי לאסוף מידע מקדים על המשתמש, ולנסות לצפות האם המתקפה תהיה "רווחית".

לאחר יומיים נוספים שולבה נוזקה נוספת המכונה Ranbyus, המסוגלת לגנוב פרטי כניסה אפילו לחשבונות בנק המוגנים באמצעות התקן אבטחה פיזי. ולבסוף שולבה נוזקה שמיועדת לגניבה של פרטי אשראי מחברות פיננסיות או קופות רושמות, ומסוגלת לפעול על מספר רב של מערכות הפעלה.

 

תוכנות הכופר נמצאות איתנו כבר כמה שנים, אבל לאחרונה הפכו לאיום ממשי עבור כולנו - החל מעסקים גדולים, מוסדות פיננסיים, בתי חולים וגם מחשבים פרטיים ברחבי העולם – בינתיים פושעי הסייבר מרוויחים מיליוני דולרים על חשבוננו.

רק בחודשים האחרונים, ראינו גל של התקפות כופר כולל WannaCry  ו-Petya, שגרמו לכאוס ברחבי העולם על ידי השבתת בתי חולים, תעשיות ייצור הרכב, תקשורת, בנקים ועסקים רבים.

לפני WannaCry ו-Petya, היה לנו את Mamba שהצפינה באופן מלא את הדיסק קשיח ואת נוזקת הכופר Locky שעשתה כאוס ברחבי העולם בשנה שעברה. החדשות הרעות עכשיו הן שנוזקות הכופר האלו חזרו עם גרסאות חדשות ומזיקות יותר מאי פעם.

תוכנת הכופר Locky

בתחילת 2016, Locky נפוצה בישראל וברחבי העולם והייתה לנוזקת הכופר עם התפוצה הגדולה ביותר בקרב עסקים, זאת על ידי פיתוי קורבנות להוריד קובץ זדוני שהופץ במייל. Locky הצפינה כמעט את כל סוגי הקבצים במחשב וברשת ועל מנת לשחררם התוקפים דרשו סכום כופר בביטקוין.

מאז עשתה נוזקת הכופר המפורסמת מספר קאמבקים שהופצו בסוגים שונים. הפעם חוקרי אבטחה זיהו קמפיין ספאם חדש שמפיץ את הגרסה החדשה של נוזקת הכופר המוכרת Locky, ונקראית בגרסתה החדשה בשם Diablo6. רוב ההתקפות התמקדו בארה"ב, אומנם עדויות לנפגעים מהגרסה החדשה של הנוזקה תועדו גם בישראל.

חוקר אבטחה עצמאי, המשתמש בכינוי המקוון Racco42, זיהה לראשונה את הגרסה החדשה של Locky, שמקודדת קבצים במחשבים נגועים ומציינת את סיומת הקובץ .diablo6.

כמו בגרסאות הקודמות, הגרסה החדשה מגיעה בהודעת דוא"ל המכילה קובץ Word מצורף, כאשר פותחים אותו, נוזקת הכופר מצפינה את הקבצים. על המחשב הנגוע מופיעה הודעה המנחה את הקורבנות לבקר באתר של התוקפים לקבלת הוראות ותשלומים נוספים. הדרישה מהקורבנות היא סכום של 0.49 ביטקוין (מעל 2,079 $) על מנת לקבל את הקבצים שלהם בחזרה.

למרבה הצער, בשלב זה אין אפשרות לשחזר את הקבצים המוצפנים, כך שמשתמשים צריכים לנקוט משנה זהירות בעת פתיחת קבצים מצורפים דוא"ל.

גרסה חדשה לתוכנת הכופר Locky

גרסה חדשה לתוכנת הכופר Locky, מתוך: thehackernews.com

 

תוכנת הכופר Mamba

Mamba היא סוג אחר של נוזקת כופר אשר מצפינה את הדיסק הקשיח כולו במקום את הקבצים. המשמעות של הצפנת הדיסק הקשיח היא השבתה כוללת של המחשבים (בניגוד להצפנת קבצים, אז המחשב ממשיך לתפקד ורק הקבצים לא נגישים) אלא אם ישולם כופר.

טכניקות דומות היו בשימוש על ידי התקפות כופר אחרות, כולל Petya ו-WannaCry, אבל נוזקת הכופר Mamba תוכננה ממש להרס של תאגידים וארגונים גדולים, ולא רק על מנת לסחוט ביטקוין.

בשנה שעברה למשל, Mamba הדביקה את רשת מערכת התחבורה העירונית של סן פרנסיסקו (MUNI) במהלך סוף השבוע של חג ההודיה, וגרמה לעיכובים גדולים ברכבת והכריחה גורמים רשמיים לסגור מכונות כרטיסים ולפתוח שערים בתחנות מסוימות בחינם.

עכשיו, חוקרי אבטחה זיהו קמפיין חדש של הפצת Mamba, המתמקד ברשתות ארגוניות של מדינות, בעיקר בברזיל וערב הסעודית.

אמנם לא ברור איך הגרסה החדשה מוצאת את דרכה לרשת ארגונית, אך החוקרים מאמינים כי כמו רוב הוריאנטים הקודמים של Mamba, הנוזקה חודרת באמצעות אתרים פגומים או זדוניים או באמצעות קבצים מצורפים זדוניים שנשלחו באמצעות דוא"ל.

הודעת דרישת הכופר לא מופיעה מיד עם ההצפנה, ההודעה המוצגת על מסך המחשב הנגוע מודיעה כי הכונן הקשיח של הקורבן הוצפן ומציעה שתי כתובות דוא"ל ומספר מזהה ייחודי כדי לפתוח את ההצפנה.

 

נוזקת הכופר Mamba שפגעה בשירותי התחבורה

Mamba תקפה את מערכת התחבורה בסן פרנסיסקו. מתוך: thehackernews.com

כך תתגוננו ממתקפת כופר

תוכנות כופר הפכו לאחד האיומים הגדולים ביותר על אנשים פרטיים וארגונים כאשר נוכחנו בחודשים האחרונים לכמה התפרצויות רחבות שלהן ברחבי העולם.

נכון לעכשיו, אין מפתחות הצפנה זמינים לשחרר את הקבצים שלנו שהוצפנו ע"י Locky או לשחרר את הדיסק הקשיח שהוצפן ע"י Mamba . על מנת להימנע ממקרים אלו, אנחנו ממליצים למשתמשים לבצע מספר פעולות:

היזהרו מהודעות פישינג בדוא"ל - תמיד חשדו במסמכים מצורפים שנשלחו בדוא"ל ואל תלחצו על קישורים בתוך מסמכים אלה, אלא אם אתם מזהים את המקור ששלח אותם.

גבו באופן קבוע – על מנת שתהיה לכם שליטה על כל הקבצים והמסמכים החשובים שלכם, הקפידו על שגרת גיבוי טובה, העבירו את עותק הגיבוי שלכם להתקן אחסון חיצוני שאינו מחובר באופן קבוע למחשב.

עדכנו את תוכנת האנטי-וירוס ומערכת ההפעלה שלכם - שמרו תמיד את תוכנת האנטי-וירוס ומערכות האבטחה שלך מעודכנות כדי להגן מפני האיומים החדשים ביותר.

המעבדה שלנו זיהתה מתקפה מצד נוזקהחדשה של תוכנת כופר הנקראת Locky. התוכנה מצפינה קבצים במחשב הנגוע ודורשת כ-800 ₪ תמורת שחרורם. האיום התפרץ באופן משמעותי במחשבים ישראלים – 11.5% אחוזי מכלל ההתקפות בעולם זוהו בארץ!

בשבוע האחרון זוהתה פעילות חריגה ברשת ברחבי העולם – הצפנה של קבצים במחשבי משתמשים רבים ודרישה לתשלום 0.5 ביטקוין (כ-800 שקלים) עבור פיצוח מפתח ההצפנה. המתקפה החדשה מבוצעת על ידי תוכנת כופר שנקראת Locky. האיום פגע עד כה באחוז יוצא דופן מאוד במחשבים ישראלים – 11.5% והמספרים ממשיכים לטפס. לשם השוואה, בארה"ב זוהו 17% מכלל ההתקפות. ההתפרצות זוהתה לראשונה על ידי חברת ESET הודות למערכת ה-LiveGrid שלה – מערכת מתקדמת לזיהוי מוקדם של איומים פרי פיתוחה של החברה.

תוכנת Locky כשמה כן היא – התוכנה משנה את סיומות הקבצים במחשב ל-Lock. דרך ההדבקה הזו הייתה נפוצה מאוד בשנות ה-90 במסגרתה הודבקו קבצי וורד ואקסל. ייתכן מאוד שהתוכנה קיבלה "השראה" לאופן פעולתה מתוכנת נוזקה מצליחה ומוכרת ששמה Dridex שפועלת באופן דומה.

ההדבקה נעשית באופן הבא:

1. קובץ וורד או אקסל שמצורף לאימייל נפתח על ידי המשתמש. באותו הרגע יורד למחשב קובץ EXE במיקומים ושמות שמשתנים מדי כמה דקות, שמפעיל את השלב הבא.

2. נוזקה מסוג VBA/TrojanDownloader.Agen מופעלת במחשב ונותנת הרשאות מנהל מלאות להליך שמופעל בשלב הבא.

3. נוזקה מסוג Filecoder סורקת את מערכת הקבצים המקומית, כוננים ותיקיות משותפים, ומצפינה קבצי אופיס, PDF, ותמונות.

מייל פגוע לדוגמה:

dugma

לאחר שהקבצים מוצפנים, מוחלף הרקע של שולחן העבודה, ומופיעות הנחיות לתשלום הכופר, שמפנות לקישור אונליין, שבו קיימות הנחיות כיצד להעביר את תשלום הכופר בביטקוין.

וכך הרקע של שולחן העבודה במחשב הנגוע נראה:

dugma2

חשוב לציין כי לאחר שהנוזקה מסיימת את סדר הפעולות המדובר היא משמידה את עצמה ואת כל הרכיבים שלה, כולל תיעודים במערכת ההפעלה, וזאת על מנת להקשות את עבודת המחקר של חברות האנטי וירוס על דרך הפעולה שלה.

בימים אלה שניים מתוך 5 האיומים הנפוצים ביותר בעולם קשורים בתוכנת הכופר Locky, והם מהווים כ-10% מכלל התקפות הנוזקות בעולם ביומיים האחרונים.
המלצתנו היא לגלות ערנות מוגברת בימים אלו בעת קבלת מיילים – לא לפתוח כאלה הנשלחים על ידי מוענים שאינם מוכרים וקל וחומר לא לפתוח קבצים מסוג וורד או אקסל הנשלחים על ידי מוענים בלתי מזוהים.

המדריך השלם מה לעשות כדי להימנע מפגיעה אפשרית של תוכנת כופר וגם טיפים חשוביםכיצד להתמודד עם מחשב או תיקיות משותפות שהוצפנו בהם כבר קבצים

תופעת איומי תוכנות הכופר (ransomware) שמופצות על ידי ארגוני פשע כבר מתקיימת כמה שנים, אבל בתקופה האחרונה מדובר במתקפה של ממש עם עלייה בתדירות הפגיעות במחשבים ובטלפונים סלולריים.
משפחת הנוזקות הנ"ל מזוהה ע"י ESET בתור FileCoder והיא פועלת באמצעות טכנולוגיה אשר מקודדת קבצים בקידודים שונים, ומגינה על מפתחות ההצפנה בקידוד נוסף, מה שמונע פריצה של הקידוד באמצעים רגילים. כדי להוסיף על הקושי בפריצת הקידוד, מאוחסנים מפתחות ההצפנה בשרתים מרוחקים.

הנוזקות מצפינות מסמכי אופיס, PDF ותמונות במחשב, וברשתות היא מקודדת קבצים בתיקיות משותפות שיש אליהן גישה והרשאות כתיבה מהתחנה שנפגעה. אם מתבצע גיבוי לכונן חיצוני או לשיתוף קבצים בענן, גם קבצים אלה יוצפנו. לאחר מכן מופיעה הודעה למשתמש או למשתמשים על גבי שולחן העבודה, או בקובץ שנוצר בכל התיקיות שמוצפנות, עם דרישה לתשלום (סכום שנע בין מאות לאלפי דולרים) בתמורה למפתח ההצפנה שיאפשר שחזור של הקבצים.

במרבית המקרים המשתמשים מודבקים באמצעות אימייל שמתחזה להודעת פקס, חבילה, הודעה קולית או חשבונית עם קובץ מצורף, שברגע שהוא מופעל, הוא מוריד גרסה עדכנית של Filecoder ומפעיל אותה.

בחלק מהמקרים ההדבקה מתבצעת באמצעות JAVA Script באתרי אינטרנט לגיטימיים שמודבקים, או מתוך אתרים נגועים שהמשתמשים מקבלים אליהם הפניה מאימיילים או רשתות חברתיות.

במספר מועט של מקרים לא מעורבת כלל נוזקה בהתקפה, והיא מתבצעת דרך RDP(שולחן עבודה מרוחק) כאשר חיבור Remote Desktop פתוח ברשת עם סיסמה פשוטה יחסית, ואז התוקפים בדרך כלל מסירים את האנטי וירוס ומריצים ידנית את תוכנת הכופר.

1. ראשית, יש להקפיד לא לפתוח קבצים מצורפים להודעות דואר אלקטרוני שאינכם יודעים מהו מקורן – במיוחד כשמדובר בכל מיני הצעות מפתות.

2. הקפידו על מחשב מעודכן. עדכוני מערכת הפעלה, דפדפנים ותוכנות כמו פלאש וג'אווה הם קריטיים להגנה מפני חדירת איומים.

3.וודאו שתוכנת האבטחה שלכם בתוקף ושהיא מעודכנת בחתימות הווירוסים האחרונות.

4. גבו את המחשב על בסיס שבועי או דו שבועי בהתקן חיצוני והקפידו לא להשאיר אותו מחובר למחשב, כי במקרה של הצפנה גם המידע עליו יוצפן.
ועכשיו, כיצד להתמודד עם מחשב או תיקיות משותפות שהוצפנו בהם כבר קבצים?

קודם כל, אם זיהיתם שמתחיל במחשב תהליך של הצפנה ושחלק מהקבצים הוצפנו - כבו באותו רגע את המחשב ופנו לאיש מחשבים מנוסה שיוכל לחלץ עבורכם את הקבצים שטרם הוצפנו!

1.חלק מהסוגים של תוכנות הכופר ניתנים לשחזור באמצעות כלים חינמיים של ESET (כרגע קיימים כלים עבור 6 משפחות של Filecoder). רשימת הסוגים והכלים המתאימים זמינה באתר שלנו:
http://www.eset.com/int/download/utilities/

2. מומלץ שלא לשתף פעולה עם העבריינים הדורשים כופר – במקרים רבים גם לאחר תשלום הכופר לא מועבר מפתח ההצפנה ולא ניתן לפתוח את הקבצים. כמו כן, הפעולה תעודד את העבריינים לתקוף את המחשב או הרשת בהמשך.

3. לשחזר את הקבצים מגיבוי – לאחר ביצוע הפעולות המומלצות להתגוננות, שמטרתן לוודא שלא קיים וירוס פעיל במחשב או ברשת, ניתן לשחזר את הקבצים מהגיבוי.

4. לשחזר את הקבצים מתוךshadow copy - במידה והיה פעיל באותה התיקייה. היעזרו בשימוש במדריך מיקרוסופט. גם כאן חשוב לבצע קודם לכן את הפעולות המומלצות להתגוננות.


השבוע מתקיימת תערוכת הסלולר השנתית בברצלונה, שמושכת אליה ענין רב – בעיקר בזכות הכרזות מעניינות של יצרניות הסלולר. גם חברת ESET משתתפת בכנס בברצלונה, והיא רוצה להזכיר למשתמשים – שלהנאה הרבה בשימוש במכשירים האלה יש צד נוסף שאסור להתעלם ממנו.

תוכנות הכופר, המוכרות לנו מהמחשב האישי, הן איום שהולך וגובר גם בעולם הסלולארי. הסוגים השונים של תוכנות הכופר גרמו בשנים האחרונות לנזקים פיננסיים כבדים לחברות ולגולשים רבים ש"זכו" בתענוג המפוקפק להיתקל בהן, ועכשיו הן עושות את דרכן לכבוש יעד נוסף – מערכת ההפעלה אנדרואיד.

בדומה לסוגים אחרים של איומים לאנדרואיד איומי הכופר התפתחו מאוד בשנים האחרונות, וכותבי הנוזקות אימצו את אותן הטכניקות שהוכחו כיעילות בהפצה של נוזקות הכופר למחשבים ביתיים.
סוגים שונים של תוכנות כופר

במהלך כנס הסלולר בברצלונה פרסמה ESET מחקר מקיף אודות התפתחות תוכנות הכופר לאנדרואיד. המחקר מפרט את הסוגים השונים של תוכנות כופר, את הדרכים השונות בהן משתמשים התוקפים על מנת להדביק את המכשירים, וכמובן איך ניתן להתגונן מפני האיום.

המחקר מבדיל בין שני סוגים עיקריים של תוכנות כופר לאנדרואיד: תוכנות כופר לנעילת מסך ותוכנות כופר להצפנת קבצים. לכל אחד מהסוגים מאפיינים שונים ודרכים שונות להתמודדות.

תוכנות לנעילת מסך

את רוב תוכנות הכופר לנעילת המסך ניתן לזהות בקלות. הן, לרוב מנסות להתחזות להודעה של נציגות חוק רשמית – כמו המשטרה או ה FBI – וטוענות שהמכשיר שלכם ננעל עקב פעילות לא חוקית (לרוב הגולשים מואשמים בפדופיליה) ושעליהם לשלם קנס על מנת לשוב ולהשתמש במכשיר.

בסוג זה של מתקפה הקבצים של המשתמש לא מוצפנים ולמעשה די קל להסיר את האיום על ידי הפעלת המכשיר ב"מצב בטוח".

תוכנות כופר להצפנת קבצים

הסוג השני של תוכנות כופר לאנדרואיד כבר הרבה יותר מורכב ומסוכן. כאן משתמשים התוקפים בטכניקות שמוכרות לנו יותר מתוכנות הכופר למחשבים האישיים והם מצליחים להצפין קבצים השמורים על המכשיר.

היום על המכשיר הנייד שלנו מאוחסנים קבצים אישיים רבים כמו תמונות, סרטונים ולעיתים אף מידע עסקי רב וללא מפתח ההצפנה, שנמצא בידי התוקפים בלבד, לא נוכל לשחזר את ההצפנה – וכך מוצאים את עצמם קורבנות רבים משלמים לתוקפים או מוותרים על הקבצים שלהם ומפרמטים את המכשיר.

איך להתגונן ולהתמודד עם תוכנות כופר באנדרואיד?

אנו ממליצים למשתמשי אנדרואיד לנקוט בצעדים מקדימים כדי להימנע מתוכנות כופר. אחד הדברים החשובים ביותר הוא להימנע מהורדת אפליקציות מחוץ לחנות האפליקציות הרשמית של גוגל. למרות שאפליקציות זדוניות הצליחו בעבר להסתנן ל Google Play, פחות סביר שתמצאו שם תוכנות כופר.

הדבר השני הוא שימש באפליקציית אבטחה, שתוכל למנוע מכם מלהתקין סוגים שונים של אפליקציות זדוניות ובכללן תוכנות כופר.

אנחנו ממליצים גם לדאוג לגיבוי של כל התיקיות ששמורות לכם על המכשיר לשירות גיבוי מקוון, כך שגם אם בכל זאת נדבקתם בתוכנת כופר, תמיד תוכלו לשחזר את המידע מהגיבוי.

התמודדות עם תוכנות כופר

התמודדות עם תוכנת כופר לנעילת מסך היא די פשוטה, ולא צריך ידע מוקדם כדי להסיר אותה. ברוב המקרים כל מה שצריך הוא להפעיל מחדש את המכשיר ב Safe Mode ולהסיר את האפליקציה הזדונית.

אפליקציות צד-שלישי אינן יכולות לפעול ב"מצב בטוח" (Safe Mode) – דבר זה חל גם על אפליקציות זדוניות. לכן, אחרי שהפעלתם את המכשיר במצב בטוח, כל שנשאר לעשות הוא לגשת לרשימה המלאה של האפליקציות ולהסיר את האפליקציות הסוררות.

במקרים מסובכים יותר – בהם התוקפים משנים את קוד הנעילה של המכשיר (PIN) או שהתוקפים מצפינים קבצים במכשיר – אנחנו ממליצים לפנות תמיכה הטכנית של ספקית אפליקציית האבטחה שלכם, כי פה הטיפול הוא כבר מורכב יותר ודורש התערבות מקצועית.

בכל מקרה – אל תשלמו

אנחנו לעולם לא מייעצים לקורבנות הכופרלשלם את הסכום אותו דורש התוקף, ויש לכך מספר סיבות. הראשונה שבהן היא שאין שום הבטחה שתקבלו את הקבצים שלכם, גם אם תשלמו.

למרות שכמה "כנופיות כופר" כאלה הגיעו לרמת אוטומציה גבוהה שבה הקורבן מקבל מיד גישה מחודשת לקבצים שלו לאחר ששילם, הרבה קורבנות אחרים לא זוכים לקבל את הקבצים שלהם בחזרה לעולם – אפילו אם הם שילמו ממיטב כספם. אל תשכחו שאחרי הכל מדובר בפושעים.

סיבה נוספת היא שתשלום הכופר רק מניע את הפושעים לבצע את התרגיל שוב ושוב, והכספים שמועברים אליהם רק "מתדלקים" את פשיעת הכופר יותר ומגדילים את הבעיה.

כפי שציינו קודם לכן, הפתרון נמצא במניעה, וזה באמת פשוט להימנע מתוכנות כופר מלכתחילה.

קיבלתם התראה על חוב שלא שולם לתיבת הדואר האלקטרוני שלכם? שימו לב, כי זה עלול להגיע גם אליכם

בימים האחרונים מופצות אלפי הודעות דואר אלקטרוני מזויפות בטענה שלחברה בה אתם עובדים ישנו חוב פתוח שעליכם לשלם בדחיפות. להודעה מצורף קובץ שכביכול מכיל את החשבונית שלטענת השולח טרם שולמה, אך למעשה מדובר קוד זדוני שמדביק את המחשב בתוכנת כופר מסוכנת שמטרתה להצפין את כל הקבצים על המחשב הנגוע ומשם עלולה להדביק מחשבים נוספים ברשת הארגונית.

תוכנת הכופר המופצת במתקפה נקראת TeslaCrypt ובשבועיים האחרונים נרשמה עליה של 900% במספר ההדבקות ברחבי העולם, וכעת נראה שהאיום הגיע גם לישראל. כפי שניתן לראות בצילום המסך של ההודעה שקיבלה חברת הי-טק ישראלית:

modaa

תופעה כלל עולמית

תוכנת הכופר TeslaCrypt נחשפה לראשונה במרץ 2015, ועד עתה היעד העיקרי שלה היה בעיקר גיימרים. כאמור, בשבועיים האחרונים נרשם זינוק של מאות אחוזים במספר ההדבקות, כאשר יעד התקיפה הפך להיות בתי עסק וארגונים.

ההודעה הזדונית של ה TeslaCrypt מכילה קובץ מצורף שבדרך כלל כולל את המילים "invoice", "doc" או "info" אבל למעשה מכיל קוד ג'אווה זדוני שמטרתו לחמוק מתוכנת האבטחה ולהוריד למחשב את תוכנת הכופר. אם ההתקפה מצליחה, התוכנה תצפין את כל הקבצים על המחשב והמשתמש יקבל הודעה שהקבצים שלו הוצפנו והנחיות איך ניתן לבצע את התשלום עבור שחרור הקבצים.

החוליה החלשה – העובדים עצמם

ביום חמישי האחרון קיבלה מנהלת המשרד של אותה חברת הי-טק את ההודעה לתיבת הדואר האלקטרוני שלה, והעבירה אותה למחלקת הנהלת החשבונות של החברה. מנהלת החשבונות, שראתה שההודעה הגיעה ממנהלת המשרד, לא חשדה בדבר ופתחה את הקובץ המצורף על מנת לצפות בחשבונית שלטענתה לא שולמה.

חשוב להבין שאבטחה חזקה בארגון מורכבת מכמה מעגלים, שעובדי הארגון הם ללא ספק אחד ממעגלי האבטחה החשובים ביותר. לכן חשוב במיוחד לעורר מודעות, לדבר עם העובדים בחברה ולתת להם כלים לזהות ולהתמודד עם מיילים זדוניים. בתקופה זו גם נעשה חיוני יותר ויותר להקפיד על גיבוי תקופתי של הקבצים השמורים על המחשבים והרשתות הארגוניות, כך שגם אם תוכנת כופר כזו או אחרת מצליחה לחדור את ההגנה, ניתן יהיה לשחזר את הקבצים מהגיבוי ולא לשלם את הכופר.

 

תוכנת כופר חדשה, העונה לשם 'Ransoc', התגלתה לאחרונה. התוכנה סורקת את חשבונות הרשתות החברתיות ואת הקבצים האישיים של קורבנותיה על מנת להתאים את האיומים והדרישות במידה והקורבן לא נענה לדרישת התשלום.
זוהי לא תוכנת הכופר הראשונה שנעזרת בנתוני הרשתות החברתיות על מנת להפחיד את הקורבנות, עם זאת Ransocיוצאת דופן באופן שבו שהיא משתמשת בקבצי הקורבנות נגדם- במיוחד אם קבצים לא חוקיים נתגלו במהלך הסריקה.

Ransoc לא מצפינה את קבצי הקורבנות בניגוד לאופן שבו תוכנת הכופר Locky פועלת, אלא משתמשת במידע של הקורבן ובכך מטילה עליו אימה. במילים אחרות, אתה תשלם ואנחנו בתמורה לא נפרסם את המידע שאספנו עליך. זה אולי נראה לנו בסיסי בהשוואה לתוכנות כופר מתוחכמות יותר- אבל Ransoc בנויה כך שהיא מחפשת בכונן הקשיח ובמידע ברשתות החברתיות בכדי לאתר מידע שיסייע לה בתוכנית הפעולה. מידע זה ישמש להתאמת מכתב הכופר המציג תמונות מחשבונות פייסבוק ו- LinkedIn או קבצים אישיים שלהם במסווה של איום בתביעה משפטית נגד הקורבן.

לעיתים הודעת הכופר מופיעה רק כאשר Ransoc חושדת שלקורבן יש קבצים הכוללים תוכן לא חוקי. למשל סדרות סרטים ומוזיקה שהורדו מטורנטים. במקרה זה התוכנה מאיימת על הקורבן לשלם את כסף ולא הוא יסתכן בחשיפה של הקבצים באופן פומבי בבית המשפט. בסופו של דבר האיום המרכזי של Ransoc הוא על המוניטין של הקורבן ולא החשש מאובדן הקבצים.

מדובר בצעד נוסף בהשתכללות של נוזקות הכופר, שהעבריינים שמפתחים אותן תמיד מחפשים דרכים כדי להעלות את אחוז הקורבנות שמשלמים את הכופר. לכן במידה והוא יוכיח את עצמו, כנראה שנראה בקרוב התנהגויות דומות בקרב נוזקות הכופר המובילות בתחום. כאמצעי זהירות מומלץ שלא להעלות מידע אישי בפרופילים ברשתות חברתיות כמו תאריך יום הולדת, שיכול לשמש תוקפים וגם גנבי זהויות בביצוע התקפות נגדנו.

דפוס שונה נוסף המבדיל את Ransoc מתוכנות כופר אחרות הוא באופן בו הכופר משולם. במרבית תוכנות הכופר נדרש תשלום בביטקוין על מנת לא להותיר עקבות, ההאקרים מאחורי התוכנה החדשה מעדיפים לשדל את הקורבנות לשלם עם כרטיס האשראי שלהם. כדי לעודד תשלום, העומדים מאחורי Ransoc אומרים שהם ישלחו את הכסף בחזרה אם הקורבן לא ייתפס שוב ב-180 ימים הבאים- אבל ללא ספק את הכסף אף פעם לא מחזירים.

 

post 249

 

אבל אל תיכנעו, ישנה דרך מילוט נוספת פרט לתשלום. קורבנות Ransoc יכולים להסיר את הנעילה על שולחן העבודה כך שאתחול מחדש ב"מצב בטוח" מאפשר למשתמשים להסיר אותו. כמובן שנדרש ידע טכני על מנת לבצע את השינויים במערכת ההפעלה הדרושים להסרה, ומומלץ לפנות בנושא למומחים בתחום.

חוקרי ESET איתרו לראשונה תוכנת כופר לאנדרואיד המנצלת את שירותי הנגישות של מערכת ההפעלה של אנדרואיד. חוץ מלהצפין את הקבצים השמורים במכשיר הנוזקה נועלת את מכשיר הקורבן.

בתחילת השנה דיווחנו לכם על עליה של 50% במספר הזיהויים של נוזקות הכופר לאנדרואיד במהלך שנת 2016. השימוש הגובר בסמארטפון הופך אותו למקום אחסון לנתונים יקרי ערך והמידע הרגיש שנאגר במכשירים הופך את מתקפות הכופר לאטרקטיביות יותר עבור פושעי הסייבר. בהתאם ניתן לראות את ההתפתחות של נוזקות הכופר בתחום המובייל.

הנוזקה החדשה המכונה DoubleLocker, מבוססת על טרויאני לגניבת פרטי בנק ואשראי ומנצלת לרעה את שירותי הנגישות של מערכת ההפעלה אנדרואיד. עם זאת, ל-DoubleLocker אין את הפונקציות הקשורות לגניבת אישורי הבנקאות של המשתמשים ומחיקת את החשבונות שלהם. במקום זאת, יש לה שני כלים רבי עוצמה אחרים לסחיטת כסף מהקורבנות שלה.

DoubleLocker יכולה לשנות את סיסמת הנעילה ובכך למנוע גישה למכשיר. בנוסף באפשרותה להצפין את הקבצים והתיקיות הנמצאים על מכשיר האנדרואיד – השילוב הקטלני הזה מופיע לראשונה במערכת ההפעלה של אנדרואיד.

"הודות לשורשים הטרויאנים שלה, DoubleLocker יכולה בהחלט בעתיד להפוך למה שאנחנו קוראים לו 'כופר-בנקאי'. נוזקה התוקפת בשני שלבים, ראשית גונבת את פרטי הכניסה לחשבונות הבנק או ה-PayPal ולאחר מכן נועלת את המכשיר ומצפינה את הנתונים על מנת לדרוש כופר. למעשה, כבר איתרנו גרסת מבחן של נוזקה מסוג זה כבר במאי 2017" אומר לוקאס סטפנקו, חוקר הנוזקות שזיהה את תוכנת הכופר.

כיצד היא מופצת?

DoubleLocker מופצת בדומה לטרויאני לגניבת פרטי בנק ואשראי עליו היא מבוססת. בהתקפה מגיע הקורבן לאתר זדוני או אתר שהודבק, כאשר הוא מתבקש להתקין תוסף מזויף של Adobe Flash Player על מנת לצפות בתוכן שבאתר (יכול להיות סרטון שנשלח אליו לינק או אתר סטרימינג).

לאחר התקנת התוסף, הקורבן מתבקש לתת הרשאות מנהל עבור שירות מתחזה שנקרא Google Play Service. ברגע שהתוסף הזדוני מקבל את הרשאות מנהל עבור השירות שלו, הוא מגדיר את עצמו כ Launcher של המכשיר. הגדרה של Launcher באנדרואיד משמעותה האפליקציה שמנהלת את העיצוב של הממשק ושל דפי הבית במכשיר. המשמעות היא שבכל פעם שהמשתמש לוחץ על הכפתור "בית" במכשיר (בדרך כלל הכפתור האמצעי במרבית מכשירי האנדרואיד), מופעל שוב התוסף הזדוני שמפעיל גם את נעילת המכשיר.

נועלת גם את המכשיר וגם את הנתונים

ברגע שהנוזקה משתלטת על המכשיר היא מבצעת שתי נעילות שונות של המידע, סיבה כפולה לקורבנות לשלם את הכופר.

ראשית, היא משנה את קוד הנעילה של המכשיר, וחוסמת את שימוש הקורבן במכשיר. קוד הנעילה החדש מוגדר כערך אקראי שאינו מאוחסן במכשיר ולא נשלח לשום מקום, ולכן אין אפשרות, לא לקורבן ולא למומחה אבטחה לשחזר את הקוד. לאחר תשלום כופר, התוקף יכול מרחוק לאפס את קוד הנעילה ולפתוח את המכשיר.

שנית, DoubleLocker מצפינה את כל הקבצים מספריית האחסון הראשית של המכשיר בצירוף סיומת הקובץ "Cryeye.".
תשלום הכופר המבוקש על מנת לשחרר את המכשיר והקבצים עומד על 0.0130 ביטקוין, שהם כיום כ-72 דולר והמסר מדגיש כי הוא חייב להיות משולם בתוך 24 שעות. אם הכופר לא ישולם, הנתונים יישארו מוצפנים והמכשיר יישאר נעול.

doublelocker 1

כך נראים הקבצים המוצפנים במכשיר הנגוע ב- DoubleLocker

doublelocker 2

הודעת דרישת הכופר במכשיר נגוע ב- DoubleLocker

איך נפטרים מהנוזקה?

בדרישת הכופר, התוקפים מזהירים את הקורבן מלהסיר או לחסום את הנוזקה: "ללא התוכנה על המכשיר לעולם לא תצליח לגשת לקבצים שלך". כדי למנוע הסרה לא רצויה של התוכנה, התוקפים ממליצים גם להשבית את תוכנת האנטי-וירוס של המשתמש.

"בכל נושא מומלץ להתעלם מההצעות של התוקפים" מסביר סטפנקו. "משתמשים שמותקנת על מכשירם תוכנת אבטחה אמינה מוגנים מ-DoubleLocker".

עבור מרבית המשתמשים, שאינם פורצים את המכשיר או משתמשים בכלי פיתוח מיוחדים, במידה ונדבקתם בנוזקה, הדרך היחידה לשחזור הגישה למכשיר היא באמצעות איפוס הגדרות היצרן. באשר לתיקיות והקבצים המוצפנים, נכון לעכשיו לא ניתן לשחרר אותם.

לכן חשוב לוודא שהמידע שנשמר על המכשיר מגובה לענן, ובמיוחד אנשי הקשר והתמונות שלא תמיד מסונכרנים אוטומטית לענן. כמובן שחשוב גם להתקין תוכנת אבטחה יעילה ומוכרת להגנה על המכשיר.

eset logo footer© כל הזכויות שמורות לקומסקיור בע"מ 2004-2017, נציגת ESET בישראל. סימנים מסחריים אשר בשימוש באתר זה הינם סימנים מסחריים או
מותגים רשומים של ESET spol. s r.o. או ESET, LLC. כל השמות והמתוגים האחרים הם סימנים מסחריים רשומים של החברות הרשומות

עוצב ונבנה על-ידי פרומו - אסטרטגיה שיווקית ופרסום