Ransomware: הכסף שלך או הקבצים שלך [חלק א']

אתם לא יכולים לגשת לקבצים, המחשב מפסיק לעבוד ואתם מקבלים הודעה שאם לא תשלמו, כל החומר שלכם ילך לאיבוד. מי לוקח את המחשב שלכם כבן-ערובה ואיך מתמודדים עם זה?

תמונה: stock.xchnge

המונח Ransomware (תוכנות כופר) הוא כינוי לסוגים שונים של נוזקות המשמשות את פושעי העולם הקיברנטי לסחיטה של כסף מחברות ומשתמשים פרטיים בצורה של כופר. בתפקיד בני הערובה – הקבצים שלכם.

המחשב שלכם הופך לבן-ערובה

לאורך השנים ראיתי הרבה מאוד סוגים של וירוסים ונוזקות, כאשר בדרך כלל הם משמשים לגניבה של כסף או מידע בצורה נסתרת או באמצעות הונאה כלשהי. גם ב Ransomware קיימות הונאות, אולם רוב ההתקפות לא מנסות להסתיר את העובדה שמדובר בהדבקה של המחשב, וסחיטה באיומים.

לאחר הדבקת המחשב או רשת המחשבים, לא ניתן לגשת לקבצים במערכת ההפעלה עד שמתבצע תשלום דרך שירותי תשלום אינטרנטיים כמו Paypal, Moneypack ו- Paysafecard לחשבון בנק במדינה שלא מקפידה על חוקי בנקאות, בדרך כלל במזרח אירופה, דרום אמריקה או איים בפסיפיק. נוזקות מסוג Ransomware מפותחות ע"י כנופיות פשע קיברנטיות, ונמכרות לעברייני אינטרנט ברחבי העולם בעשור האחרון, כשהן מתפתחות ומשלבות כלים שונים והדבקה של נוזקות נוספות.

בטור הראשון שלי בנושא, נתרכז בסוג מסוים של Ransomware שתופס תאוצה בשנתיים האחרונות. בניגוד לגרסאות שנפוצות בעולם בשנים האחרונות (שגם נתקלתי בהן לא מעט פעמים בארץ אצל משתמשים פרטיים וחברות קטנות), שנוהגות להצפין את הקבצים במחשב או לשנות את הרשאות הגישה במערכת ההפעלה, הגרסאות החדשות משתמשות בהדבקה של ה MBR (Master Boot Record). ה MBR נמצא בסקטור הראשון בהתחלה הלוגית של הדיסק הקשיח, והוא מכיל את טבלת המחיצות (partition table) שנועדה לאפשר למחשב לזהות את חלק האתחול במחיצה שמכילה את מערכת ההפעלה.

כמו הרבה נוזקות אחרות שנפוצות היום, גם ה Ransomware החדשות משלבות מספר התקפות, ומדביקות בדרך כלל מחשבים באמצעות אתרים שמכילים התקפות מסוג Drive-by downloads. האתר שותל במחשב Dropper, נוזקה שמורידה משרת ייעודי את הRansomware , כאשר היא מותאמת למדינה שבה נמצא המחשב המותקף.

מה קורה למחשב שמודבק ב-Ransomware?

לאחר שהמחשב מודבק, בפעם הראשונה שהמשתמש מבצע איתחול למערכת, מופיעה הודעה לפני העליה של מערכת ההפעלה, שטוענת שכל הקבצים במחשב הוצפנו, ודורשת מהמשתמש להעביר כופר של סכום כסף מסוים (הסכומים משתנים בהתאם למדינה שבה נמצא המחשב המותקף), תמורת הזכות לגישה למערכת ההפעלה והקבצים שלו.

המשתמש לא יוכל לגשת למערכת ההפעלה ולקבצים שלו (גם לא במצב בטוח), עד לרגע שבו מתבצע התשלום וה Ransomware מסירה את עצמה בצורה אוטומטית. חשוב לזכור שמדובר ב"מילה של עבריין", ובדר"כ נשארים במחשב סוסים טרויאנים שמנטרים את תעבורת המידע, כך שהעבריין יוכל גם לגנוב את הפרטים של כרטיס האשראי בזמן שהמשתמש מעביר את תשלום הכופר, ובהמשך גם סיסמאות לאתרי אינטרנט, חשבונות דוא"ל וכו'.

הגרסה הראשונה של Ransomware שהשתמשה בהדבקת MBR כבר ב 2010 נקראת Seftad – מאז כבר פותחו מספר גרסאות נוספות שלה, ולכן השם העדכני שלה הוא Seftad.a. ההודעה שהציגה Seftad.a הכילה מספר זיהוי למשתמש וכתובת של אתר אינטרנט רוסי, שם עבר המשתמש תהליך אימות שבו הוא נדרש להקליד את המספר זיהוי ולהעביר לתוקף 100$ דרך Paysafecard. לאחר העברת התשלום היה מקבל המשתמש סיסמה שנועדה לבטל את ההודעה ולנקות את ה MBR.

וידאו: כך נראה מחשב המודבק ב-Seftad

כמו ברוב הפיתוחים בעולם הנוזקות, שבדרך כלל משתמשים בשילוב של טכניקות מוכרות, לא מדובר בחידוש או פירצה חדשה. זהו שילוב של שיטות פעולה של נוזקות שקיימות כבר קרוב ל 30 שנה. הוירוס הראשון שהדביק את ה Boot Record של דיסקטים נקרא Brain, והוא פותח בשנת 1986 – עשור לפני שהופיעו הדיסקים הקשיחים וה MBR במחשבים הביתיים.

הניסיון הראשון שלי בהסרת וירוסים היה בשנת 1988 כשקיבלתי את המחשב הראשון שלי, וכבר לאחר מספר שבועות הופיע לו וירוס מצחיק שהדביק את ה Boot Record של כל הדיסקטים שלי. הוירוס נקרא Ping Pong, ואני מאמין שרוב האנשים שהיו להם מחשבים תואמי IBM באותן שנים מכירים את דרך הפעולה שלו, בימים שבהם וירוסים נכתבו בתור מתיחה או אתגר ולא בתור כלי לגניבת כסף:

וידאו: וירוס פינג-פונג

נוזקות Ransomware שמדביקות את ה MBR הן עדיין מחזה יחסית נדיר, אבל ככל שהיעילות שלהן מוכחת והן מכניסות יותר כסף לעברייני אינטרנט, כך גוברת ההשקעה של כנופיות פשע קיברנטיות בכלים אוטומטיים שמאפשרים ליצור אותן, על מנת למכור אותן לכל מי שמוכן לשלם.

בשיטוט שלי בפורומים מחתרתיים שבהם מתפרסמים כלים אוטומטיים כאלה למכירה, מצאתי גם כמה כלים חינמיים שיכולים לשמש עבריינים ליצירה של Ransomware. ניתן לראות כאן צילום מסך של כלי שכבר יצא משימוש פעיל:

אז איך מטפלים בזה?

קיימות כיום שלוש דרכים עיקריות לניקוי של Ransomware או נוזקה אחרת שמדביקות את ה MBR:

1. שימוש בכלים יעודיים שיוצרות חברות אנטי וירוס עבור "משפחות" של נוזקות MBR, שיודעים לנקות בצורה מדויקת רק את החלקים הנגועים ב MBR, ולהשאיר את החלקים המקוריים. חשוב להשתמש רק בכלים של חברות מוכרות.

2. אתחול המחשב עם דיסק ההתקנה המקורי של מערכת ההפעלה (חובה להשתמש אך ורק בדיסק ששימש להתקנה המקורית) וגישה למצב recovery, שמאפשר הקלדה של פקודות שמוחקות את ה MBR הנגוע, ומשחזרות את ה MBR המקורי של המחשב. הפעולה מומלצת רק למשתמשים מתקדמים – פגיעה ב MBR לא תאפשר להעלות את מערכת ההפעלה.

3. שימוש בשילוב של מספר כלי קוד פתוח על מנת לבצע פעולה דומה לפעולת השחזור של ה MBR שמבצע דיסק ההתקנה של מערכת ההפעלה. הפעולה מומלצת למומחים לנושא בלבד.


הפוסט בחסות ESET


חברת האבטחה הבינלאומית ESET היא חלוצת האנטי וירוס מזה 25 שנה, המגינה כיום על יותר מ-100 מיליון משתמשים בכל רגע. פתרונות האבטחה המובילים שלה – ESET NOD32 Antivirus, ESET Smart Security ו- ESET Mobile Security for Android – מיועדים לצרכנים פרטיים ולארגונים בגדלים שונים. החברה מתמחה ביכולות זיהוי מדויקות בזכות טכנולוגיה פרו-אקטיבית (מזהה וירוסים ומזיקים לא מוכרים על סמך ניתוח קוד ודפוסי התנהגות, ללא תלות בעדכוני חתימות) ומוצריה נחשבים ליעילים בצריכת משאבים כך שלא יכבידו על המערכת.

בשנתיים האחרונות ESET הוכרזה כחברת הסקיוריטי בעלת הצמיחה גדולה ביותר בעולם בשוק הפרטי ולאחת מ 500 חברות ה-IT  בעלות קצב הצמיחה הגבוה ביותר בצפון אמריקה , על פי גרטנר ומדד Fortune500.

בישראל מיוצגת ESET על ידי חברת קומסקיור בע"מ, המשווקת את מוצריה בלעדית ומפעילה מרכז תמיכה טכני בשפה העברית לכל הלקוחות. בין לקוחות ESET בישראל ניתן למצוא חברות היי-טק, ארגוני ענק, חברות אינטרנט, מכללות ואוניברסיטאות, עיריות ומשרדי ממשלה ועסקים קטנים,בינוניים וגדולים מתחומים מגוונים.




אמיר כרמי

לוחם בווירוסים ופשע מקוון בלילה ופותר למשתמשים בעיות ביום. מומחה אבטחת מידע ורוקר מושבע. מנהל הטכנולוגיות בחברת קומסקיור, הנציגה הבלעדית בישראל של חברת ESET, מפתחת האנטי וירוס ESET NOD32 וחבילת האבטחה ESET Internet Security

הגב

8 Comments on "Ransomware: הכסף שלך או הקבצים שלך [חלק א']"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
pchealer
Guest

תודה על המידע.
האם ניתן במצב כזה לנתק את ההארד דיסק מהמחשב, לחבר למחשב אחר ככונן משני ולחלץ חומרים?

אמיר כרמי
Guest

כן, ניתן באמת לחבר את הכונן הקשיח כ slave במחשב אחר כדי לחלץ ממנו קבצים.
כמובן שזה אומר שיש לפרמט את הכונן ולהתקין את המחשב מחדש לאחר מכן.
הייתי מתייחס לאפשרות הזאת כמוצא אחרון.

חיים
Guest

אז רגע, לפי מה שאני מבין מהמאמר, ההודעה שאומרת שהקבצים הוצפנו מפוברקת והם לא באמת מוצפנים… נכון?

אמיר כרמי
Guest

כן, במקרה של Ransomware שנועל את ה MBR ההודעה היא אכן מפוברקת.
במאמר הבא אתייחס למצבים שבהם ה Ransomware באמת מצפינה את הקבצים או משנה להם attributes.

חיים בן ציון
Guest
חיים בן ציון

וואו, איזה איחור אופנתי, MALWARE מהסוג המדובר קיימים כבר קרוב לעשור

צחי שיף
Guest

לאמיר כרמי שלום,
לכתבה לתוכנית תחקירים (מבט שני, ערוץ אחד) יש לך את מה שדרוש. אתה מוכן ליצור קשר כך שאוכל לפרט ולהמשיך? אם תשגר מייל אישי נוכל להמשיך משם. בתודה מראש.

ezio
Guest

מה עם העלאת מערכת הפעלה חילופית נניח לינוקס על מנת לבצע העתקה יעבוד??

אמיר כרמי
Guest

כל עוד הקבצים לא הוצפנו באמת, אין שום בעיה להעלות לינוקס, Windows PE, או לחבר את הכונן הקשיח כ slave במחשב אחר כמו ש pchealer הציע, ולהעתיק את הקבצים.

wpDiscuz

תגיות לכתבה: