המדריך המלא לנפגעי תוכנות כופר (ואיך להמנע מליפול בזה)

בכל 10 שניות מותקף משתמש ביתי על ידי תוכנת כופר, שמצפינה את הקבצים במחשב ודורשת תמורת הפיענוח כסף. בעקבות התרחבות התופעה, הכנו לכם מדריך מפורט כיצד לא להידבק מתוכנות כופר ומה לעשות אם כבר נדבקתם

מקור: אתר omoreransom.org

אתם באמת לא רוצים לראות את ההודעה הזו. מקור: אתר nomoreransom.org

אין ספק ששנת 2016 תיזכר לרעה כשנה שבה הגיעו תוכנות הכופר אל ההמונים. על פי נתונים של מעבדת קספרסקי, בכל 10 שניות מותקף משתמש ביתי על ידי תוכנת כופר, כשרק השנה התגלו יותר מ-62 משפחות חדשות של תוכנות כופר. בכלל, נראה שהשנה התוקפים נעשו מתוחכמים יותרמקוריים יותר ואכזריים יותר.

אז מה זה בכלל תוכנת כופר?

רובנו כבר יודעים שתוכנת כופר היא מעין גלגול מתקדם של הוירוסים שהכרנו בשנות ה-90 וה-2000. אבל מה קורה טכנית ברגע ההדבקה? אמיר כרמי, מנהל טכנולוגיות ב-ESET ישראל, מפרט מה קורה במחשב של הקורבן שלב אחר שלב, מרגע שהוא מריץ את הקובץ הנגוע.

בשלב הראשון, הקובץ מפעיל exploit שמנצל פרצת אבטחה בדפדפן, ב-Adobe Flash או במערכת ההפעלה עצמה, שנותן לו להעלות לעצמו את ההרשאות לרמה של מנהל מערכת מקומי; בשלב הבא, הקובץ מוריד את נוזקת הכופר עצמה ומפעיל אותה. לאחר מכן, תוכנת הכופר סורקת את המחשב ומחפשת קובצי אופיס, תמונות, וידאו, סאונד ומאגרי מידע, מתוך הבנה שאלו הם הקבצים החשובים ביותר שלכם. חשוב לציין שהתוכנה סורקת את המחשב הן ברמה המקומית והן במיקומי הרשת שאליהם יש למשתמש גישה כמו תיקיות משותפות, כוננים משותפים – ואפילו תיקיות דרופבוקס או גוגל דרייב.

לאחר סיום הסריקה, מייצרת תוכנת הכופר מפתח הצפנה, שלרוב הוא א-סימטרי. כלומר, מפתח אחד נמצא מקומית על המחשב, ואחד נשמר על שרת התקיפה, כשאת ההצפנה ניתן לפתוח רק בשילוב של שניהם. בשלב הבא, מתחיל תהליך ההצפנה עצמו, שאורך בין כמה דקות לכמה שעות. לבסוף, עם סיום ההצפנה, מחליפה תוכנת הכופר את הרקע של שולחן העבודה עם הוראות לתשלום הכופר – בביטקוין כמובן – ואז מתחילה ההרפתקה שלכם.

איך לא להידבק?

ישנם לא מעט צעדים שאתם יכולים לעשות, כדי לא להיפגע מתוכנת כופר; בין היתר מומלץ לא להריץ קבצים ממקור לא ידוע, לשים לב למיילים מתחזים ולכתובות ה-URL שבהם ולדאוג לעדכונים תכופים של מערכת ההפעלה ותוכנות האבטחה שלכם. אם כי, תאונות קורות. וגם משתמשים מנוסים, שמחכים להזמנה מאמזון עלולים בטעות ללחוץ על מייל תמים מ'חברת השילוח' וליפול במלכודת.

מה עוד? ובכן, מומלץ לוודא שתוכנת האנטי-וירוס שלכם מעודכנת; לוודא שמערכת ההפעלה שלכם מוגדרת לעדכונים אוטומטיים; לבצע עדכוני JAVA ואם אתם לא חייבים להעיף את Flash מהמחשב; להשתמש בפיירוול ולבסוף, להגדיר גיבויים יומיים. בהקשר זה, כדאי לציין את RansomFree, כלי חינמי שפותח על ידי Cybereason הישראלית, ומסוגלת, לדברי החברה, לעצור 99 אחוזים מתוכנות הכופר.

בהנחה שלמרות כל הצעדים שנקטתם, נפלה בחלקכם הזכות לראות הודעה שדורשת מכם תשלום תמורת שיחזור הקבצים שלכם, הנה מדריך קצר, שגיבשנו ביחד עם מומחי אבטחת מידע, המתמחים בתוכנות כופר.

1. באיזו תוכנת כופר נדבקתם?

מקור: אתר omoreransom.org

הודעת כופר. מקור: אתר nomoreransom.org

כרמי מסביר כי קודם כל חשוב להבין באיזה סוג של תוכנת כופר נדבקתם ואת זאת ניתן לדעת על פי הסיומת של הקבצים שהוצפנו. כך למשל סיומות של crypt ,cryp1 ו-crypz. מצביעות על הדבקה בתוכנת כופר CryptXXX. ברגע שתגלו את הסיומת ואת שם תוכנת הכופר, תוכלו לדעת אם יש כלים לפריצה.

2. עשיתם גיבוי?

אם אתם מגבים על בסיס קבוע – מצבכם טוב. בין אם זה על דיסק חיצוני ובין אם זה על גבי שירות ענן דוגמת CrashPlan, תוכלו פשוט לשחזר את הקבצים שהוצפנו.

אגב, גם אם אתם מנויים על שירות דוגמת דרופבוקס או גוגל דרייב, חשוב לזכור, שהשירותים דואגים לסנכרן בין הקבצים ולכן קובץ שהוצפן במחשב – יועתק גם לענן.

אז אם אין לכם גיבוי מסודר… ובכן, עכשיו זה לא הזמן להגיד 'אמרנו לכם', אז בואו נדלג לשלב הבא.

3. אולי בכל זאת יש לכם גיבוי ולא ידעתם

כרמי מסביר כי במקרים רבים ניתן לשחזר את המידע גם אם אין גיבוי זמין – בשחזור רגיל של Windows מתוך ה-Shadow Copy. לשירותכם עומד כלי חינמי בשם ShadowExplorer, שמציג את כל גרסאות הגיבוי הזמינות עבורכם. עם זאת, מסביר כרמי, רוב תוכנות הכופר מנסות למחוק את הגיבוי הזה, במקרה כזה – נעבור ברשותכם לשלב הבא.

4. כלים לשיחזור הקבצים

מספר חברות אבטחה פיתחו כלים לפיענוח ושיחזור קבצים שהוצפנו על ידי תוכנות כופר. בין היתר תוכלו למצוא כלים כאלו באתרים של חברת ESET, מעבדת קספרסקי. האחרונה אף שיתפה פעולה עם מרכז פשעי הסייבר האירופאי של היורופול ו-Intel Security, כדי להשיק אתר ייעודי בשם NoMoreRansom שכולל הסברים מפורטים ועוד וכלי שיחזור. פשוט העלו קובץ מוצפן ואם לאתר יש את המפתחות לפיענוח, תוכלו להחזיר את המצב לקדמותו.

5. אין כלי לפיענוח הקבצים ואין לי גיבוי. בא לי למות

ובכן, המצב לא טוב. אבל אולי הוא לא כל-כך נורא.

אנטון איבנוב, מומחה אבטחה במעבדת קספרסקי, מסביר: "אפילו אם אין כרגע כלי לשחרור הצפנה עבור גרסת הקוד הזדוני שהצפינה את הקבצים שלך, אל תשלם דמי כופר לעבריינים. שמור את הקבצים שהושחתו והיה סבלני – הסיכוי שיופיע כלי לשחרור הצפנה בזמן הקרוב הוא גבוה". כהוכחה מביא איבנוב את CyptXXX על גרסאותיה השונות, שתקפה על פי ההערכות מאות אלפי מחשבים, ולפני מספר ימים הושק כלי חדש לפיענוח שלה.

ההודעה שלא תרצו לראות. מקור: Palo Alto Networks

גם מחשבי מק לא חסינים בפני תוכנות הכופר. מקור: Palo Alto Networks

 6. לא רק Windows

המדריך נכתב בלשון Windows מטעמי נוחות בלבד, אולם הוא מכוון ל-2 המינים. גם למקים שמריצים Mac OS. כן, גם להם יש תוכנות כופר ייעודיות. למרבה המזל, תוכנת ה-Time Machine מאפשרת שיחזור מכמה נקודות זמן, מה שצפוי להקל על התהליך.

יניב אביטל

חי ונושם טכנולוגיה עוד מימי ה-ZX Spectrum היפים. חולה על כל סוגי הגאדג'טים - אלו שמתחברים ל-USB, ואלו שקוראים לו "אבא".

הגב

1 תגובה on "המדריך המלא לנפגעי תוכנות כופר (ואיך להמנע מליפול בזה)"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
Michael
Guest

אנטי וירוס לא יעזור במקרה הזה מכיוון שה- ransomware שיורד למחשב לא תמיד מזוהה עם חתימה (כך AV עובד). כלומר עם הוירוס הוא חדש רוב הסיכויים שAV לא יעצור מהקובץ לאדת או לרוץ על התחנה. יש דרכים אחרות יותר מתוחכמות לעצור מתקפות מהסוג הזה ולא לפי חתימות אלא לפי זיהוי טכניקות תקיפה ולבלום זאת.

wpDiscuz

תגיות לכתבה: