הדור הבא של נוזקות הכופר כבר כאן

׳סצינת תוכנות הכופר׳ ממשיכה להתחזק ולהשתכלל. 34% מהאיומים המכוונים כלפי ישראל הם מסוגים שונים של תוכנות כופר, גרסה חדשה של Locky יכולה לפעול ללא חיבור לאינטרנט ותוכנת כופר חדשה לא מסתפקת בהצפנת הקבצים אלא מוחקת אותם לחלוטין ולא משיבה אותם תמורת תשלום הכופר

briefcase getty images

קרדיט תמונה: Getty Images Israel

מאת ענבל סינגר

שוק תוכנות הכופר רק הולך ומתחזק. 34% מהאיומים על ישראל על פי נתוני חברת אבטחת המידע ESET הם מסוג נוזקות כופר, כאשר רק ביממה האחרונה נמצאה עלייה אף ל-40%. במקביל שוק תוכנות הכופר גם ממשיך להתפתח ואנו עדים למספר תוכנות חדשות ומתוחכמות יותר בדרך פעולתן.

במהלך הימים האחרונים מפתחי תוכנת הכופר Locky הגבירו את פעילותם והפיצו למעלה מ-120 אלף מיילים המכילים קבצים זדוניים. כאשר הקובץ נפתח הוא מתקין גרסה חדשה של הנוזקה שיכולה לעבוד ללא חיבור לאינטרנט. בדומה ל"קמפיינים" קודמים של תוכנת הכופר הזו, מדובר בשליחת קבצי ZIP שמכילים קובץ ג'אווה סקריפט המתקין את עצמו על המחשב.

הגרסה החדשה של Locky שונה מאוד מגרסאות קודמות שנזקקו לחיבור לאינטרנט כדי להתחיל את תהליך הצפנת הקבצים במחשב. מנהלי הרשת שידעו זאת כיבו את הגישה לאינטרנט כאשר הם גילו התחלה של התהליך ברשת. כך הם הצליחו לעצור את הפגיעה במחשבים נוספים. מפתחי הנוזקה מצאו כעת דרך לעקוף מגבלה זו באמצעות פעולה באופן בלתי מקוון. כמו כן, כעת המפתחים יכולים לדרוש כופר כספי גבוה מ"המקובל" לשחרור הצפנת הקבצים כיוון שהם יצליחו להדביק הרבה יותר מחשבים בארגונים.

כך נראה צילום מסך של מחשב שנפגע מתוכנת הכופר:

ransomware

תוכנת כופר חדשה נכנסה לשוק הנוזקות – תכירו את Ranscam – תוכנת כופר שלא מצפינה בדומה לתוכנות הכופר האחרות את הקבצים, אלא מוחקת אותם לצמיתות מן המחשב ואז דורשת כסף עבורם. בנוסף לכך תוכנת הכופר לא משחררת את הקבצים בחזרה גם לאחר תשלום, אז אין טעם לשלם את הכופר, הקבצים הולכים לטמיון. התוכנה לא מכבדת את הכלל הבלתי כתוב של תוכנות כופר – להשיב בחזרה את מפתח ההצפנה או את הקבצים לאחר תשלום הכופר. אם כי ידוע שלא תמיד הכלל הזה מכובד באופן כללי על ידי פושעי הרשת. רבים כן מקפידים לתת את מפתח ההצפנה כדי לא לאבד את אמון הקורבנות בכך שתמורת התשלום הם יקבלו אותו. זה חלק מ"המודל הכלכלי שלהם".
 למרבה הצער, זה לא המקרה עם Ranscam, הקבצים נמחקים ותשלום הכופר לא יועיל.

Ranscam לא רק מוחק את הקבצים מן המחשב, אלא גם מסיר את הפיצ'ר שאחראי בווינדוס על תכונת שחזור המערכת, עותקי shadow וכמה מפתחות רישום שמקושרים עם מצב של אתחול במצב בטוח. בנוסף, תוכנת הכופר משנה מפתחות רישום בכוונה להשבית את מנהל המשימות וגם, לקינוח, משנה את מפת המקלדת.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

10 Comments on "הדור הבא של נוזקות הכופר כבר כאן"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
תומר
Guest

כל כך הרבה פסיכופטים יש בעולם.

מתי יתחיל תהליך נקיון?

שגיא
Guest

בדיוק היום נפלתי קורבן להתקפה כזאת
יש דרך לעקוף את זה ללא תשלום? אפשר לקבל המלצה על מישהו שיודע להציל את המחשב בסיטואציה הזאת

eran
Guest
אודי
Guest
avi
Guest

ישן רגוע בלילה (לינוקס)

מיכאל
Guest

"מדובר בשליחת קבצי ZIP שמכילים קובץ ג’אווה סקריפט המתקין את עצמו על המחשב",

אני מבין מדברכם שמי שלא מתקין Java על המחשב מוגן.

גאווה סקריפט
Guest
גאווה סקריפט

ג׳אווה סקריפט, לא ג׳אווה.זה לא אותו הדבר בדיוק כמו שעט ו עט-עיפרון (עיפרון חודים/שפיצים) זה שני כלי כתיבה שונים.

אורי
Guest

קבצי JavaScript לא מתקינים את עצמם על שום דבר… הם קבצים שדפדפן אינטרנט מריץ, לקוד JavaScript אין גישה למערכת הקבצים כך שהוא בטוח לא יכול להצפין קבצים על המחשב.

com.הגנה.www
Guest

הורידו את חבילת האבטחה המתקדמת ללא כל התחייבות, סרקו את המחשב ותגלו עד כמה היה חשוף

com.הגנה.www

לאחר חודש: תרצו – תשלמו, לא תרצו – הרווחתם חודש חינם וניקיתם את המחשב.

משה
Guest

לגבות באופן שוטף את כל הקבצים על דיסק חיצוני אותו מנתקים מהמחשב בתום הגיבוי.

wpDiscuz

תגיות לכתבה: