9 טיפים למניעת התקפות כופר בעסקים

מתקפות כופר, Ransomeware, מאיימות בימים אלה על בתי עסק רבים, מצפינות את הקבצים החשובים במחשבי החברה ומביאות לנזקים עצומים. קבלו 9 טיפים שהארגון שלכם חייב לאמץ כדי לא לספוג מתקפת כופר

shutterstock money

מאת אמיר כרמי, מנהל טכנולוגיות, ESET.

תוכנות כופר (ransomware) מופצות בשנים האחרונות על ידי ארגוני פשע ופועלות באמצעות טכנולוגיה אשר מקודדת קבצים בקידודים שונים, ומגינה על מפתחות ההצפנה בקידוד נוסף, מה שמונע פריצה של הקידוד באמצעים רגילים. כדי להוסיף על הקושי בפריצת הקידוד, מאוחסנים מפתחות ההצפנה בשרתים מרוחקים.

הנוזקות מצפינות מסמכי אופיס, PDF ותמונות במחשב, וברשתות היא מקודדת קבצים כנ"ל בתיקיות משותפות שיש אליהן גישה והרשאות כתיבה מהתחנה שנפגעה. אם מתבצע גיבוי לכונן חיצוני או לשיתוף קבצים בענן, גם קבצים אלה יוצפנו. לאחר מכן מופיעה הודעה למשתמש או למשתמשים על גבי שולחן העבודה, או בקובץ שנוצר בכל התיקיות שמוצפנות, עם דרישה לתשלום (סכום שנע בין מאות לאלפי דולרים) בתמורה למפתח ההצפנה שיאפשר שחזור של הקבצים.

במרבית המקרים המשתמשים מודבקים באמצעות אימייל שמתחזה להודעת פקס, חבילה, הודעה קולית או חשבונית עם קובץ מצורף, שברגע שהוא מופעל, הוא מוריד גרסה עדכנית של Filecoder ומפעיל אותה.
דוגמא למייל כנ"ל:

email

בחלק מהמקרים ההדבקה מתבצעת באמצעות JAVA Script באתרי אינטרנט לגיטימיים שמודבקים, או מתוך אתרים נגועים שהמשתמשים מקבלים אליהם הפניה מאימיילים או רשתות חברתיות.
במספר מועט של מקרים לא מעורבת כלל נוזקה בהתקפה, והיא מתבצעת דרך RDP כאשר חיבור Remote Desktop פתוח ברשת עם סיסמה פשוטה יחסית, ואז התוקפים בדר"כ מסירים את האנטי וירוס ומריצים ידנית את תוכנת הכופר.

טיפים שימנעו מכם ליפול קורבן לתוכנות כופר

1. יש לוודא התקנה של אנטי וירוס מעודכן וחוקי במחשב או בכל התחנות ברשת.

2. מומלץ וחשוב לוודא שממשק הניהול מותקן על מנת להיות בבקרה ובשליטה על רמת המוגנות ברשת.

3. יש לבצע עדכוני מיקרוסופט קריטיים בשרתים ובתחנות.

4. להשתמש בחומת אש המייצרת שכבת הגנה חיונית מפני תוכנות הכופר:

  • חשוב להשתמש בהתקן פיזי של חומת אש של אחת החברות המובילות.
  • יש להשתמש בתחנות בחומת אש מתקדמת של אחת החברות המובילות, במיוחד במחשבים ניידים שיוצאים מהרשת ואינם מוגנים ע"י חומת האש הארגונית. חומת האש המובנית כחלק ממערכת ההפעלה של מיקרוסופט אינה מספיקה על מנת להתמודד עם האיום הנ"ל.

5. לסגור את הפורט של ה-Remote Desktop בחומת האש, ולסגור את ה Service שלו במחשב או ברשת. 
במידה וחייבים להשתמש בו, יש להחליף את פורט ברירת המחדל מ-3389 לפורט במספר רנדומלי הגבוה מ-20,000.

6. להגדיר סיסמת אבטחת מורכבת לחיבור מרחוק (באורך 11 תווים לפחות ומכילה אותיות קטנות, גדולות, מספרים ותווים מיוחדים) כדי למנוע פריצה של הסיסמא בהתקפה של Brute Force.

7. להגדיר סיסמת הגנה לאנטי וירוס בתחנות על מנת למנוע הסרה ידנית או נטרול שלו.

 לבצע גיבויים שבועיים או דו-שבועיים (מומלץ גיבוי אונליין ולא מקומי) 
יש לגבות כל מידע חשוב בשרתים ובתחנות, וכמובן לבצע בדיקה תקופתית של שחזור הגיבויים כדי לוודא שהם תקינים.
ניתן להגדיר גיבוי של מערכת ההפעלה לתיקיות חשובות או משותפות ב-Shadow Copy של מיקרוסופט.

8. לבטל הרשאות Administrator למשתמשים ברשת – 
ההתקפות הללו מאתרות פרצות דרכן ניתן לרוץ על הפרופיל המקומי ובאמצעותו להדביק את שאר הרשת. מומלץ שלא לאפשר הרשאות כתיבה לתיקיות משותפות בהן למשתמש אין צורך בשינוי או הוספה של קבצים.

9. לחסום סיומות EXE ו-SCR בתוכנת האנטי וירוס שסורקת את הדוא"ל – 
במקרים רבים מודבקים מחשבים באמצעות קובץ EXE או SCR שמצורף לאימייל. באופן כללי, אין סיבה שקבצי הפעלה ישלחו למשתמשים ברשת, ולכן מומלץ לאכוף מדיניות של חסימת סיומות של קבצי הפעלה, ובמיוחד קבצי EXE ו SCR.

ומה לעשות אם כבר נפגעתם מתוכנת כופר?

במידה וסוג ה-Filcoder שהדביק את המחשב או התיקיה אינו נמצא ברשימה, מומלץ לפנות לתמיכה של האנטי וירוס על מנת לבדוק האם ניתן יהיה לפתח כלי מתאים.

מומלץ שלא לשתף פעולה עם העבריינים הדורשים כופר – במקרים רבים גם לאחר תשלום הכופר לא מועבר מפתח ההצפנה ולא ניתן לפתוח את הקבצים. כמו כן, הפעולה תעודד את העבריינים לתקוף את המחשב או הרשת בהמשך.

לשחזר את הקבצים מגיבוי – לאחר ביצוע הפעולות המומלצות להתגוננות, שמטרתן לוודא שלא קיים וירוס פעיל במחשב או ברשת, ניתן לשחזר את הקבצים מהגיבוי.

לשחזר את הקבצים מתוך shadow copy – במידה והיה פעיל באותה התיקייה, בשימוש במדריך מיקרוסופט. גם כאן חשוב לבצע קודם לכן את הפעולות המומלצות להתגוננות.

לשחזר את הקבצים המקוריים – חלק מגרסאות ה Ransomeware מעתיקות את הקבצים המקוריים, ורק לאחר מכן מצפינות אותם. במקרים כנ"ל ניתן לנסות לשחזר את הקבצים המקוריים שנמחקו. חשוב לזכור שככל שיהיה שימוש נוסף בתחנה לאחר הפגיעה, יכתבו קבצים נוספים במיקום הפיזי של הקבצים שנמחקו, ולא יהיה ניתן לשחזר אותם. ניתן להשתמש במגוון תוכנות לשחזור קבצים כמו זו.

לבדוק מהו המחשב הנגוע שממנו קודדו הקבצים – במקרים בהם מוצפנים קבצים בתיקיות משותפות בשרתים, ניתן לבדוק מהי התחנה ממנה הם הוצפנו על ידי בדיקה של ה ownership של הקבצים, ולנקות את ההתקנה על מנת שהקבצים לא יוצפנו מחדש לאחר השחזור.

קרדיט תמונה ראשית: money in suitcase via shutterstock

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

13 Comments on "9 טיפים למניעת התקפות כופר בעסקים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
kizo
Guest
The man whos knows..
Guest

THANK YOU CAPTAIN OBVIOUS!

Kis
Guest

פשוט אוסף של שטויות. אף אנטי וירוס לא יודע לתפוס את הרוגלות האלה. הדרך היחידה להתגונן היא עי ביצוע גיבויים באופן שוטף ולמקום שלא מקושר למחשב (ענן, דיסק חיצוני וכו). במידה ונדבקתם, יש לכם שלוש אופצויות – לוותר על הקבצים, לשחזר מגיבוי או לשלם. בכל המקרים שאני נתקלתי בהם אנשים שילמו וקיבלו תוכנה שפותחת את ההצפנה, האמת שירות ממש טוב חייב לציין.

גולש
Guest

מדהים כמה עצות לא מועילות, במקום זה יש להשתמש ב-EMET של מיקרוסופט וב-AppLocker. שימוש נכון בהם יכול לחסום את רוב תוכנות הכופר

אורי
Guest

אתה צוחק נכון?
חווית כבר התקפה של וירוס כופר או טיפול במקרה כזה?

גולש
Guest

אצל לקוחות וחברים, וגם במעבדה שאני מריץ בסביבה מבוקרת, מספיק טוב בשבילך?
שימוש ב-Applocker חוסם את כל מה שלא אמור לרוץ, חוק פשוט על APPDATA יחסום כמעט את כל מה שהמשתמש מוריד ומריץ. מעבר לזה, 90% מהפגיעויות בקליינטים מגיעות מגרסאות בעייתיות של ג'אווה ופלאש או דפדפנים, ולזה EMET מיועד. הוא כלי מצוין וחינמי – מי שלא מתקין אותו מפספס. שום כלי הוא לא פתרון קסם, אבל הכלים האלה מעניקים לך שכפ"צ רציני אתה מוזמן לגגל וללמוד ..

mishax1
Guest

שקרים
"במקרים רבים גם לאחר תשלום הכופר לא מועבר מפתח ההצפנה ולא ניתן לפתוח את הקבצים"

ציון
Guest

רשת של לקוח, מוגנת עם eset נדבקה בלי בעיות. התוכנה לא עצרה את ההתפשטות.
הפתרון הנכון ביותר הוא גיבויים גיבויים ועוד גיבויים.
אחרי הדבקה, המחשב אבוד, אלא אם משלמים.
להביא בחשבון שעלות שיחזור גדולה מעלות התשלום….
לוקח זמן, צריך טכנאי טוב… בכל זאת עדיף מלשלם לשודדים.

Danikua
Guest
agabobo
Guest

כל הכבוד לכתב/ת לענייני HR ותרגומי באזזפיד על השדרוג לכתיבה טכנולוגית וענייני הברור מאליו. יישר כח.

שונא מיקרוסופט
Guest
שונא מיקרוסופט

מדהים שכל העצות מתאימות לווינדוס…

עצה ראשונה זה להתקין מערכת הפעלה אחרת

Rot Coil
Guest

גיבוי בענן עם BACKBLAZE,
50 דולר בשנה ללא הגבלת נפח ואתם בראש שקט…
http://www.backblaze.com/partner/af4366

אלון
Guest

הדרך הטובה ביותר למנוע מתקפת כופר (Ransomware) היא ע"י מניעה. עם כמה שזה מצחיק זו עובדה. כי ברגע שהצפינו לכם את הקבצים רק המצפין יכול לפענח..
יש אתר חמוד שמנסה לעלות את המודעות למתקפות האלו באמצעות מתיחה https://cryptoprank.com

wpDiscuz

תגיות לכתבה: