מתקפת הכופר הגדולה: כל מה שאתם צריכים לדעת ואיך להתגונן

בשעות האחרונות תוקפת תוכנת כופר חדשה עשרות אלפי מחשבים בעולם; הנה כל הפרטים על המתקפה וכיצד להתגונן בפניה

בזמן שישנתם… משתוללת ברחבי העולם אחת ממתקפות הסייבר החמורות ביותר אי פעם. מחשבים נגועים בעשרות מדינות ננעלו ובעליהם – ארגונים, חברות ואנשים פרטיים – נדרשים לשלם מאות דולרים, כדי לקבל עליהם את השליטה חזרה. אז מה בדיוק קרה, מי עומד מאחורי זה והכי חשוב – כיצד ניתן להתגונן?

מה זה לעזאזל תוכנת כופר?

רובנו כבר יודעים שתוכנת כופר היא מעין גלגול מתקדם של הוירוסים שהכרנו בשנות ה-90 וה-2000. אבל מה קורה טכנית ברגע ההדבקה? ובכן, התוכנה יוצרת מפתח הצפנה א-סימטרי. כלומר, מפתח אחד נמצא מקומית על המחשב, ואחד נשמר על שרת התקיפה, כשאת ההצפנה ניתן לפתוח רק בשילוב של שניהם. בשלב הבא, מתחיל תהליך ההצפנה עצמו, שאורך בין כמה דקות לכמה שעות. לבסוף, עם סיום ההצפנה, מחליפה תוכנת הכופר את הרקע של שולחן העבודה עם הוראות לתשלום הכופר – בביטקוין כמובן – ואז מתחילה ההרפתקה שלכם.

מה קרה בשעות האחרונות?

החל משעות הערב אתמול (שעון ישראל) החלו להופיע ברחבי העולם דיווחים על אלפי מחשבים שנדבקו בתוכנת הכופר. המשתמשים שנפלו קורבן למתקפה נתקלו בהודעה שדורשת מהם תשלום כופר שנע בין 0.15 ביטקוין ל-0.3 ביטקוין, כלומר בין 250 דולר ל-500 דולר.

אחת מהנפגעות הראשונות היתה מערכת הבריאות הבריטית (NHS) עם מחשבים רבים ב-16 בתי חולים ובמרפאות בקהילה, שננעלו והציגו בפני הצוות הרפואי את דרישת הכופר. אולם בניגוד לרושם הראשוני לא היה מדובר במתקפה ממוקדת ותוך זמן קצר החלו להופיע דיווחים בכל רחבי העולם על מחשבים שהותקפו. המרכז הספרדי לאיומי סייבר הודיע כי מדובר ב"מתקפת כופר נרחבת" ורשתות שלמות של ארגונים מותקפות. בין היתר נפגעו חברת הטלקום הספרדית Telefónica, חברת השליחויות האמריקאית FedEx,יותר מ-1,000 מחשבים במשרד הפנים הרוסי, אתר התקשורת הרוסי Megafon ודויטשה-באן.

על פי הנתונים של חברת האבטחה קספרסקי, נדבקו, נכון לשעות הלילה (שעון ישראל), יותר מ-45 אלף מחשבים ברחבי העולם, כשהמדינה שסבלה מהכי הרבה מתקפות היא רוסיה, כשלאחריה אוקראינה, הודו, טיוואן וטאג'יקיסטן. עם זאת, דיווחים על מחשבים נגועים התקבלו ביותר מ-70 מדינות, כולל ישראל.

מה זו המתקפה הזו? מי עומד מאחוריה?

מניתוח פשוט של הקבצים שהוצפנו התגלה מייד כי מדובר בתוכנת כופר בשם WannaCry, שמוכרת גם כ-Wanna ו-Wcry). תוכנת הכופר עושה שימוש ב-'EternalBlue', פרצת אבטחה במחשבים שמריצים Windows. במסגרת התקיפה נעשה שימוש ב-SMBv2, כלי לשליטה מרחוק, כדי להשתלט ולהצפין את המחשב הנגוע. לאחר שמסתיים תהליך ההצפנה מציגה התוכנה את הודעת הכופר – ביותר מ-20 שפות – לא כולל עברית אגב. ההודעה מזהירה את הקורבן, שאם הוא לא ישלם את הכופר עד ה-15 במאי, הסכום יעלה ואף מציגה 'קאונטר' שרץ לאחור.

מה שמעניין הוא שעל ההתקפה הזו אחראי בעקיפין ה-NSA. במשך שנים עשה ארגון הביון האמריקאי שימוש בפרצת ה-Eternalblue, כדי להשתלט מרחוק על מחשבים שמריצים Windows ולהשיג מידע יקר על מטרותיו. אולם ב-14 באפריל השנה חשפה קבוצת האקרים אנונימית בשם Shadow Brokers את קיומה של הפרצה, מה שאפשר לתוקפים לנצל אותה.

חשוב להדגיש: מיקרוסופט הוציאה עדכון אבטחה דחוף, שנועד 'לסתום את הפרצה' כחודש לפני ההדלפה. אולם משתמשים שבמערכת שלהם לא מוגדר עדכון אוטומטי של מערכת ההפעלה (Windows Update) – נשארו חשופים.

 

ההודעה שלא תרצו לראות בסמטה חשוכה

 

מה אני צריך לעשות עכשיו?

לגשת מייד ללינק הזה, לבחור את המערכת שלכם ולהתקין את עדכון האבטחה בצורה ידנית. בשלב הבא מומלץ לעדכן הן את הגדרות ה-Windows Update והן את תוכנת האבטחה שלכם, כדי שיבצעו להבא עדכון אוטומטי. אם עוד לא התקנתם אנטי-וירוס, זה הזמן. לרשותכם מספר חינמיים כמו Avast, AVG, ESET וגם של מיקרוסופט, שיכלו להגן במקרה הזה על המחשבים של המשתמשים.

נדבקתי. מה לעשות?

בעיה.

לרוב, ממליצים גורמי אכיפת חוק לא לשלם לתוקף, כדי לא לעודד את התופעה ואת העבריינים להמשיך בתקיפות. מצד שני, אם אתם ממש חייבים את הגישה לקבצים ואין לכם גיבוי שלהם, אין לכם יותר מדי ברירה. שימו לב שגם סינכרון פשוט בענן לא תמיד עוזר, מכיוון ששירות הענן מסנכרן ודורס את הקבצים הרגילים עם הקבצים המוצפנים. יוצאי דופן הם גיבויים על מדיה פיזית ושירות גיבוי בענן שכולל גרסאות.

במקרה שתרצו לשלם, בוודאי שמתם לב שהופיעו לכם הוראות תשלום מדוייקות, שכוללות את ארנק הביטקוין של התוקף. עם זאת, קחו בחשבון שכבר קרו מקרים שבהם התוקפים קיבלו את הכסף ולא מסרו את מפתח ההצפנה של הקבצים.

בכל מקרה של ספק מומלץ גם לבדוק באתר המצוין NoMoreRansom, שמתופעל על ידי חברות אבטחת מידע ומשטרות מסביב לעולם (כולל משטרת ישראל). לא מעט קורבנות להתקפה הצליחו לקבל את השליטה לקבצים שלהם לאחר שהעלו דגימה של קובץ נגוע לאתר.

מיקרוסופט: כל מי שמשתמש באנטי-וירוס שלנו או מאפשר עדכון אוטומטי – מוגן

דובר של מיקרוסופט מסר לגיקטיים: "כבר במרץ שחררנו עדכון אבטחה, שסיפק הגנה כנגד תוכנה זדונית המוכרת בשם Ransom:Win32.WannaCrypt, והיום הוסיפו המהנדסים שלנו זיהוי והגנה כנגד התוכנה הזו. כל מי שמשתמש באנטי-וירוס החינמי שלנו או מאפשר עדכון אוטומטי של Windows מוגן, ואנחנו פועלים בשיתוף פעולה עם לקוחות שלנו, כדי לספק עזרה נוספת".

עדכון 13.05.17_16:00: מיקרוסופט הודיעה כי למרות שהפסיקה לעדכן את מערכת WindowsXP ב-2014, הרי שבעקבות השכיחות הגדולה של מחשבי XP שהודבקו והדביקו בתוכנת הכופר – היא הוציאה להם עדכון אבטחה מיוחד. העדכון זמין דרך ההודעה של החברה ותמצאו שם גם עדכוני אבטחה ל-Windows 8 ו-Windows Server 2003.

לקריאה נוספת:

האתר שיעזור לכם אם נדבקתם בתוכנת כופר: עכשיו גם בעברית ובתמיכת משטרת ישראל

המדריך המלא לנפגעי תוכנות כופר (ואיך להמנע מליפול בזה)

יניב אביטל

חי ונושם טכנולוגיה עוד מימי ה-ZX Spectrum היפים. חולה על כל סוגי הגאדג'טים - אלו שמתחברים ל-USB, ואלו שקוראים לו "אבא".

הגב

8 Comments on "מתקפת הכופר הגדולה: כל מה שאתם צריכים לדעת ואיך להתגונן"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
מישו או יאנקו
Guest
מישו או יאנקו

ומי שמריץ xp?

Amit
Guest

יש לי לינוקס, לא יוכלו להתקיף אותי :)

Asaf
Guest

במפת ההדבקות חסרה בריטניה, המוזכרת בכתבה

דרור
Guest

מפת הדבקות קצת יותר רצינית שמקורה ב-SinkHole
https://intel.malwaretech.com/botnet/wcrypt/?t=24h&bid=all

Windows Update Sucks
Guest

אם עדכון שרת (ודאי אחד שמריץ סביבות וירטואליות) היה משימה בעלת רמת מורכבות סבירה לא הינו במצב הזה.
בשל המורכבות, הזמן הארוך ופעמים רבות הורדת שרתים לזמן לא מבוטל ארגונים רבים נמנמעים מלבצע את העדכונים או מבצעים אותם אחת לתקופה ארוכה יחסית.
מייקרוסופט אשמה במצב, הגיע הזמן שישפרו את מערכת העדכונים הקטסטרופלית שלהם.

שמעון שמעון
Guest

חדל התבכיינות, ארגונים גדולים (מספר עם חמש ספרות של שרתים) מעדכנים כל חודש את כל השרתים שלהם. מי שמעדכן אחת לתקופה ומעדיף לחיות עם פרצות אבטחת קריטיות …ובכן ראינו מה קרה

שיר
Guest

מה לגבי מק ?

מיכאל
Guest

כל הגרסאות של Windows 10 בקישור שנתתם לא עובדות לי, אני מקבל את השגיאה "העדכון אינו ישים עבור המחשב שלך". אולי יש לי גרסא מתקדמת מידי (1703)?

wpDiscuz

תגיות לכתבה: