• חווים תקלת מודולים בגרסאות 5 או 6.5? העזרו בעדכון הטכני לגרסאות 5  או לגרסה 6.5 על מנת לפתור אותה.

כיצד פועלת מתקפת כופר / תוכנת כופר (Ransomware)?

מעל ל-60% מהנוזקות המופעלות כיום בעולם, ופועל יוצא בישראל, עלולות להסתיים במתקפת כופר.

מרבית דרכי התקיפה של תוכנות כופר מבוססות על מציאת חולשות ברשתות קיימות וניצולן.

Remote Desktop פתוח (RDP) היא דרך התקיפה הפופולארית ביותר להדבקה. התוקפים מבצעים מתקפת Brute Force כדי לקבל גישה לרשת, מסירים את תוכנת האבטחה ומבצעים את תהליך ההצפנה.

דרכים נוספות למתקפה עושות שימוש בטכניקות הדבקה מתקדמות ולרוב גם מנצלות תמימות או חוסר מודעות מצד משתמשי הקצה כדי לייצר את פעולת ההדבקה הראשונית.

לרוב מדובר בקבצים המצורפים להודעות דואר אלקטרוני המכילים קובץ JS (ג'וואה סקריפט) זדוני, שעובר מספר שינויים ביום כדי לעבור מתחת לרדאר של תוכנות האבטחה הקיימות.

לעיתים אחרות, מדובר בניסיון להפנות משתמשים לאתרים זדונים, בהם מופעל קוד זדוני על מנת להדביק את המחשב.

כאשר מתרחשת מתקפה, היא מצפינה את כל המידע הקיים במחשב ובסיום מציגה למשתמש הודעת דרישה לתשלום כופר (בכסף או בביטקוין).

ללא תשלום (ולעיתים גם במידה ומבוצע תשלום), לא ניתנת לשחזר את המידע המוצפן לעולם. הפתרון היחיד במקרה כזה, במידה ולא מצליחים לשחרר את ההצפנה, הוא לשחזר את המידע מן הגיבוי.

התגוננות מפני מתקפת כופרstep 1

step 2טיפול ברשת נגועה בכופר

Ransomware


כיצד להתגונן מפני התקפת כופר ברשת הארגונית?

  1. יש לוודא שעובדי החברה מכירים את הסכנות ברשת.
    חשוב מאוד לפני הכול להפנים שהעובדים הם חלק בלתי נפרד ממערך ההגנה על הארגון. יש ליישם תוכנית מודעות אבטחת מידע לעובדים בארגון באמצעות הדרכות, מבחנים ועדכונים המתריעים על התקפות נפוצות על מנת לוודא שכל העובדים מכירים את כללי אבטחת המידע ומודעים לסכנות ברשת. הנה לכם מצגת שתוכל לסייע לכם בהדרכות.
  1. יש לוודא שקיים מנגנון אנטי-ספאם ברשת.
    איומים רבים כמו ניסיונות דיוג (פישינג) נשלחים בהודעות דוא"ל למשתמשים בארגון. יש לוודא שקיים מנגנון אנטי-ספאם שמסוגל לעצור מיילים מסוג זה ולמנוע מהם להגיע לעובד. כמובן שזה בנוסף לסעיף הראשון ושני הסעיפים צריכים להתקיים יחד. ל - ESET קיימת יכולות האנטי-ספאם בשני מוצרים - ESET Mail Security לשרתי Exchange, ו - ESET Endpoint Security לתחנות קצה.
  1. יש להגדיר עדכוני מערכת הפעלה אוטומטיים בשרתים ובתחנות.
    מומלץ להשתמש במערכת כמו WSUS להפצה ובקרה על העדכונים, כדי לוודא שהעדכונים יתבצעו באופן אוטומטי. מומלץ גם לוודא שמערכות הפעלה מסוג לינוקס מקבלות עדכונים באופן שוטף.
    בממשק הניהול של ESET בגרסאות 6+ ניתן להשתמש במשימה כדי לפקוד על תחנות Windows ואף על Linux להוריד עדכונים.
  1. יש לוודא התקנה של תוכנת אבטחה מעודכנת וחוקית בכל התחנות והשרתים ברשת.
  • יש לוודא שלתוכנת Endpoint Security בה משתמשים קיימת מערכת קדם-פגיעה, כמו מערכת ה - ®LiveGrid של ESET (מוגדר בברירת מחדל על ידי הפוליסי של ה - ESET KISS שלנו).
    מעבר למערכת ה - ®LiveGrid, ל - ESET קיים גם מנגנון Sandbox מבוסס ענן בשם ESET Dynamic Threat Defense, הנועד להגן מפני מתקפות Zero-Day, המאפשר הגנה עוד לפני שיוצא עדכון למערכת.
  • יש להשתמש בתחנות בחומת אש מתקדמת (קיימת במוצרי ESET Endpoint Security), במיוחד במחשבים ניידים שיוצאים מהרשת ואינם מוגנים ע"י חומת האש הארגונית.
    מומלץ להגדיר ולאפשר תקשורת למחשבים שנמצאים מחוץ לרשת, כך שתמיד תהיו בבקרה על כל המחשבים המנוהלים.
  • יש להגדיר ניקוי אוטומטי לנוזקות שאותרו (מוגדר בברירת מחדל על ידי הפוליסי של ה - ESET KISS שלנו).
    במקרים רבים, ברירת מחדל של סריקות המתבצעות על ידי תוכנות אבטחה היא להציע למשתמש אפשרויות ניקוי. לרוב, משתמשים פשוט יסגרו חלונות מסוג זה מבלי לבצע כל ניקוי – פעולה זו תשאיר את האיום במערכת.
  • להגדיר סיסמת הגנה לתוכנת האבטחה בתחנות ובשרתים על מנת למנוע הסרה ידנית, שינוי הגדרות או נטרול שלה (מומלץ להגדרה על ידי הפוליסי של ה - ESET KISS שלנו).
    ברוב המקרים בהם חודרת תוכנת כופר למערכת, היא תנסה להסיר או לנטרל את תוכנת האבטחה כדי שלא "תפריע" לה.
  • להגדיר זיהוי של תוכנות לא רצויות / לא בטוחות (מוגדר בברירת מחדל על ידי הפוליסי של ה - ESET KISS שלנו).
    תוכנות לא רצויות או לא בטוחות עלולות לאפשר לנוזקות כופר דריסת רגל ראשונית ברשת. יש לוודא שתוכנת ההגנה ברשת מזהה גם תוכנות מסוג זה.
  • יש להגדיר דו"חות והתראות על איומים ברשת.
    חשוב תמיד להישאר בבקרה על איומים שנמצאים ברשת, לכן חשוב להגדיר דו"חות והתראות אוטומטיים ומותאמים לאיומים שזוהו.
    יחד עם זאת, חשוב לשים לב לאיומים שחוזרים על עצמם – גם אם הם מנוקים מהמערכת. לדוגמא, אם נוזקה אותרה על ידי תוכנת האבטחה ונמחקה, אך מזוהה כל פעם מחדש, יש לחקור זאת לעומק כדי לוודא שלא קיים מנגנון של APT.
  1. במידה ונעשה שימוש בשירות Remote Desktop יש להקפיד לפעול על פי ההמלצות הבאות:
  • יש להשתמש ב VPN או באימות דו-שלבי (2FA) או שילוב של שניהם. ניתן להשתמש במוצר ESET Secure Authentication להבטחת האימות הדו-שלבי.
  • יש להגדיר סיסמה מורכבת, מומלץ להשתמש ב- Passphrase (ביטוי המורכב ממספר מילים) ולא Password (אותיות ומספרים). משפטים שמשמשים כסיסמאות הם הרבה יותר בטוחים וקשים לפריצה.
  • מומלץ שלא להשתמש בחשבונות עם הרשאות Domain Admin לחיבור RDP שמגיע מחוץ לרשת.
  • החלפת פורט ברירת מחדל מפורט 3389 לפורט מעל 50,000. חשוב להבין שהחלפה של הפורט לא תמנע התקפות אלא תפחית במידה מסוימת התקפות אוטומטיות. 

כיצד לטפל ברשת שנפגעה מתוכנת כופר?

יש לעבוד על פי סדר הפעולות ולא לדלג על סעיפים!

  1. לבדוק מהו המחשב הנגוע שממנו קודדו הקבצים.
  • יש לאתר את קובץ ה – TXT או HTML המכיל את ההנחיות לתשלום "How to decrypt" בתיקיות המשותפות / כוננים שהוצפנו.
  • יש ללחוץ לחיצה ימנית על הקובץ > Properties > לשונית Details ולאתר בשדה Owner את המשתמש שממנו בוצעה ההצפנה.
  • במידה וה – Owner הוא Administrators, זה לרוב יצביע על פריצה דרך RDP או Privilege Escalation.
  1. לנתק את המחשב של המשתמש מסעיף 1 מהרשת - פיזית.
  1. יש לוודא שה - RDP סגור בכל הרשת, במידה ויש צורך בגישה מרחוק יש להשתמש ב – VPN.
    סגירת ה – RDP ברשת תנתק חיבור פעיל של תוקף במידה ועדיין מחובר.
  1. במידה ועדיין לא הוצפנו, מומלץ לבודד שרתים קריטיים מהרשת הנגועה.
  • לדוגמא שרתי קבצים, SQL, דואר, IIS וכו'.
  • חשוב לשים דגש מיוחד על שרתי גיבוי, גיבויים שרצים לענן, או NAS הקיימים ברשת, ולנתקם, או לבטל את הגיבוי האוטומטי כדי שלא יסונכרנו קבצים מוצפנים.
  1. לוודא התקנה בגרסה עדכנית של תוכנת אבטחה בכל התחנות ברשת.
  • גם אם התחנה הבעייתית נותקה מהרשת, עדיין ייתכן מצב בו הנוזקה הדביקה תחנות אחרות. לכן יש לוודא שמותקנת גרסה עדכנית ומעודכנת של תוכנת האבטחה בכל התחנות.
    בממשק הניהול של ESET ניתן להיעזר ברכיב ה - Rogue Detection Sensor, שמטרתו לאתר תחנות לא מנוהלות על ידי ממשק הניהול.
  • במידה וקיימת גרסת עדכנית של תוכנת אבטחה במערכת אותה ניתקתם, יש לבצע סריקה מלאה כדי לוודא שלא שאין שאריות מהנוזקה שעלולים לגרום להדבקה נוספת.
  • במידה ואין גרסה עדכנית או אין חתימות עדכניות, מומלץ לבצע סריקה עם כלי ניקוי משלימים (לדוגמא סריקת אבטחה במצב בטוח או סריקה מתוך התקן USB Bootable עליו שמים סורק כלשהו).
    ניתן להשתמש ב - ESET Sysrescue כדי לבצע סריקה זו.
  • יש לשלוח סריקות מלאות לכל התחנות והשרתים ברשת דרך ממשק הניהול.
  1. לשחזר את הקבצים מגיבוי.
    רק לאחר השלמת סעיפים 1-5, שמטרתם לוודא שלא קיימת נוזקה פעילה במחשב או ברשת, ניתן לשחזר את הקבצים מגיבוי.
  1. אם לא היה גיבוי מסודר, או שהגיבוי הוצפן, ניתן לנסות לשחזר את הקבצים מתוך Shadow Copy.
    ניתן להיעזר במדריך של Bleeping Computer, זאת בתנאי שתוכנת הכופר לא הצליחה למחוק את ה – Shadow Copy.
  1. בזמן עבודה לפי התהליכים המתוארים למעלה, מומלץ להקפיד לפעול לפי קווי המנחה הכלליים:
  • ברגע שהמתקפה אומתה, יש ליידע את הגורמים הרלוונטיים (מנהל הרשת, CISO, צוות Incident Response).
  • אתרו ונתחו את המחשבים הנגועים.
  • התריעו למחלקה המשפטית בנושא המתקפה.
  • צרו קשר עם ספקים שיכולים לסייע בתהליך (חברת הגיבוי, תוכנת ההגנה ברשת, פיירוול וכו').
  • יש להזכיר לעובדים שלא לפרסם ולהדליף פרטים על המתקפה לרשתות חברתיות או לתקשורת.
  • צרו קשר עם מערך הסייבר הלאומי.
  • בדקו האם הקבצים שהוצפנו זמינים לשחזור מגיבוי.
  • במידת הצורך יש להפעיל את תוכניות ההמשכיות העסקית.
  1. בסיום האירוע יש לתחקר את הגורמים והפרצות שהובילו למתקפה, להסיק את המסקנות הנדרשות וליישם נהלים, אמצעים והגנות שהיו חסרים לפני כן.

 

יצירת קשר עם צוות התמיכה

שימו לב:

שוחררו תיקונים לתקלה במודולים:
מדריך טיפול בגרסאות 6.5 | 
מדריך טיפול בגרסאות 5

    שעות הפעילות שלנו בימים א'-ד' 09:00-18:00 ביום ה' 09:00-17:00

  • בטרם פנייתכם לתמיכה, ניתן להיעזר במנוע החיפוש למציאת המדריך המתאים לפיתרון התקלה בה נתקלתם.
  • במידה והנכם בכל זאת זקוקים לתמיכה, אנא פיתחו קריאת שירות באמצעות הטופס מטה ונציגינו יחזרו אליכם במהרה.
  • התמיכה תינתן תחילה על ידי תפעול עצמאי באמצעות מדריכים או כלים שימושיים שנציג השירות מספק.

    כל פנייה שלא תיפתר לאחר יישום הפתרון שהציע נציג השירות תעבור להמשך טיפול טלפוני (שיחה יוצאת מצוות השירות).

אנא הזן את שם המשתמש/מזהה רישיון/מפתח רישיון שרלוונטי לקריאת השירות *



יש למלא את כל שדות החובה בטופס *