מדריך התמודדות עם וירוס כופר ללקוחות עסקיים
כיצד פועלת מתקפת כופר / תוכנת כופר (Ransomware)?
מעל ל-60% מהנוזקות המופעלות כיום בעולם, ופועל יוצא בישראל, עלולות להסתיים במתקפת כופר.
מתקפות אלה עושות שימוש בטכניקות הדבקה מתקדמות ולרוב גם מנצלות תמימות או חוסר מודעות מצד משתמשי הקצה כדי לייצר את פעולת ההדבקה הראשונית.
לרוב מדובר בקבצים המצורפים להודעות דואר אלקטרוני המכילים קובץ JS (ג'וואה סקריפט) זדוני, שעובר מספר שינויים ביום כדי לעבור מתחת לרדאר של תוכנות האבטחה הקיימות.
לעיתים אחרות, מדובר בניסיון להפנות משתמשים לאתרים זדונים, בהם מופעל קוד זדוני על מנת להדביק את המחשב.
לעיתים, מצליחים האקרים להתחבר מרחוק למחשב (באמצעות Remote Desktop connection שמוגדר עם סיסמה פשוטה לפיצוח) ואז הם מסירים את תוכנת האבטחה ומבצעים את תהליך ההצפנה.
לכן, גם אם יש לכם תוכנת אבטחה מותקנת, ייתכן ותהיו חשופים למתקפת כופר.
כאשר מתרחשת מתקפה, היא מצפינה את כל המידע הקיים במחשב ובסיום מציגה למשתמש הודעת דרישה לתשלום כופר (בכסף או בביטקוין).
ללא תשלום (ולעיתים גם במידה ומבוצע תשלום), לא ניתנת לשחזר את המידע המוצפן לעולם. הפתרון היחיד במקרה כזה, במידה ולא מצליחים לשחרר את ההצפנה, הוא לשחזר את המידע מן הגיבוי.
כיצד למנוע התקפת כופר ברשת הארגונית?
1. יש לוודא שה- Remote Desktop סגור בחומת האש, ולסגור את ה-Service שלו במחשב או ברשת.
במידה ונדרשת שליטה מרחוק יש להשתמש ב VPN או באימות דו-שלבי (2FA), לדוגמא ESET Secure Authentication.
מספר אמצעים להקשחת חיבור ה RDP (אם בכל זאת החלטתם לפעול בניגוד להמלצתנו):
- הגדרת סיסמה מורכבת (באורך 11 תווים לפחות ומכילה אותיות גדולות, קטנות, מספרים ותווים מיוחדים)
- החלפת פורט ברירת מחדל מפורט 3389 לפורט מעל 50,000.
- הגדרת כתובות IP מהן מותר להתחבר
- הגדרת מדיניות (חסימת משתמש לאחר מספר ניסיונות חיבור כושלים ברצף)
- הפעלת כלי להגנת RDP - לדוגמא
- יישום עדכוני אבטחה עבור RDP: הורדת עדכוני מייקרוסופט שעוסקים ב RDP
2. יש לוודא התקנה של תוכנת אבטחה מעודכנת וחוקית בכל התחנות והשרתים ברשת.
אם מותקן ESET ברשת, לפחות גרסה 6 בתחנות ובשרתים. בגרסאות הביתיות יש לוודא שמותקנת גרסה 12.
3. לוודא שמערכת ה-LiveGrid פעילה בכל התחנות ברשת.
בעת ההתקנה עם ערכת ה-K.I.S.S אופציה זו מופעלת כברירת מחדל. זו הגדרה קריטית בהגנה מפני איומים כנ"ל וחשוב לוודא שהיא לא מנוטרלת.
4. להגדיר עדכוני מיקרוסופט אוטומטיים בשרתים ובתחנות.
במידה ולא קיים שרת WSUS לניהול העדכונים, חשוב להגדיר הורדה ועדכונים אוטומטיים באמצעות GPO.
כמו כן ניתן להפיץ Task לביצוע עדכוני אבטחה דרך ממשק הניהול ESET Remote Administrator.
5. לבצע עדכוני JAVA ו-Adobe Flash קריטיים בשרתים ובתחנות.
ברשתות גדולות מומלץ להתקין מערכת משלימה של Patch management.
6. להשתמש בחומת אש המייצרת שכבת הגנה חיונית מפני תוכנות כופר:
- גם בחברות קטנות, חשוב להשתמש בהתקן פיזי של חומת אש של אחת מהחברות המובילות בתחום.
- יש להשתמש בתחנות בחומת אש מתקדמת (הקיימת במוצר ESET Endpoint Security), במיוחד במחשבים ניידים שיוצאים מהרשת ואינם מוגנים ע"י חומת האש הארגונית. חומת האש המובנית כחלק ממערכת ההפעלה של מיקרוסופט אינה מספיקה על מנת להתמודד עם האיום הנ"ל.
7. להגדיר סיסמת הגנה לאנטי וירוס בתחנות ובשרתים על מנת למנוע הסרה ידנית או נטרול שלו.
8. להגדיר זיהוי של תוכנות לא רצויות מדיניות ה KISS שלנו כוללת גם זיהוי של Potentially Unsafe Applications שמונע הפעלה של כלי פריצה שעלולים לנטרל את ההגנה.
כיצד לטפל ברשת שנפגעה מתוכנת כופר?
חובה לעבוד על פי הסדר ולא לדלג על אף סעיף.
מדריך זה מתעדכן מעת לעת ומכיל את המידע הכי עדכני בטיפול ברשת שנפגעה. ככלל, איננו ממליצים לשלם כופר (כי אין וודאות שהמידע ישוחרר), בטח לא לפני הפעולות הבאות:
1. יש לוודא שה RDP סגור בכל הרשת, במידה ויש צורך בגישה מרחוק יש להשתמש ב VPN
2. לבדוק מהו המחשב הנגוע שממנו קודדו הקבצים-
- יש לאתר את קובץ ה-TXT או HTML המכיל את ההנחיות לתשלום "How to decrypt" בתיקיות המשותפות/ כוננים שהוצפנו.
- יש ללחוץ קליק ימני על הקובץ > Properties > לשונית Details> ולאתר בשדה Owner את המשתמש שממנו בוצעה ההצפנה.
3. לנתק את המחשב של המשתמש מסעיף 1 מהרשת- פיזית.
- לבצע אתחול למחשב.
- במידה וקיימת גרסת ESET עדכנית (לפחות גרסה 6 ), וחתימות Database עדכניות, יש לבצע סריקה מלאה למחשב.
- במידה ואין גרסה עדכנית או אין חתימות עדכניות, יש להריץ סריקה עם Sysrescue.
4. לוודא התקנה בגרסה עדכנית של ESET בכל התחנות ברשת..
5. יש לוודא שמערכת ה-LiveGrid פעילה בכל התחנות ברשת דרך ממשק הניהול.
בעת התקנה באמצעות ESET KISS הגדרה זו מופעלת כברירת מחדל. זוהי הגדרה קריטית בפני התקפות כופר וחשוב לוודא שהיא פעילה. לחצו להגדרה ידנית של ה-LiveGrid.
6. לשלוח סריקות מלאות מסוג In-Depth בכל התחנות והשרתים ברשת דרך ממשק הניהול.
7. אחרי סיום הסריקות יש לעבור על scan logs ב-ESET Remote Administrator Console ולוודא שלא קיימים איומים פעילים נוספים.
8. לשחזר את הקבצים מגיבוי- רק לאחר השלמת סעיפים 1-7, שמטרתם לוודא שלא קיים וירוס פעיל במחשב או ברשת, ניתן לשחזר את הקבצים מגיבוי.
9. אם לא היה גיבוי מסודר, ניתן לשחזר את הקבצים מתוך Shadow Copy (במידה והיה פעיל באותן תיקיות) בעזרת מדריך מיקרוסופט. זאת בתנאי שתוכנת הכופר לא הצליחה למחוק אותם.
10. יש להגדיר התראות למייל באמצעות Notification manager מתוך ממשק הניהול ESET Remote Administrator על Possible virus outbreak ועל Critical virus. המטרה היא לקבל דיווח בשלב מוקדם על פעילות של הצפנות קבצים ברשת (תהליך שיכול לקחת שעות או ימים, ולכן זיהוי מוקדם עשוי לסייע בטיפול).
EKBS444 |