נוזקת הכופר שגרמה לנסחטים שלה לומר לה תודה

ספורה (Spora) היא נוזקת הכופר השנייה הנפוצה בעולם, והיא ידועה לא רק בגלל יכולות ההצפנה וההסוואה שלה, אלא בעיקר בשל פורטל ידידותי ומעוצב שמאפשר לקורבנות לשלם את הכופר בקלות, לשאול שאלות על תשלום בביטקוין ואפילו לקבל זיכוי עבור כתיבת ביקורת חיובית. כי גם לעבריינים חשובה חוויית המשתמש

כניסה לפורטל התשלום ברוסית באמצעות משתמש וקוד ייחודי שמיוצר בכל מחשב שנפגע

בשנים האחרונות איום נוזקות הכופר הפך לנפוץ מאוד, בעיקר משום שהעבריינים שמפתחים אותן הבינו שהן הדרך הנוחה והקלה ביותר להרוויח כסף. בשנת 2016 נרשמה עלייה של אלפי אחוזים בכמות ההתקפות והפגיעות מנוזקות כופר, וגם עלייה אדירה בכמות של נוזקות כופר חדשות, עם עשרות “משפחות” חדשות שלכל אחת מהן מאות ואלפי וריאנטים שונים.

בנוסף לכך מספר חוקרי אבטחה שחררו קוד פתוח של נוזקות כופר, שנועד כביכול לצורכי מחקר ולימוד, אך בפועל נעשה בו שימוש בקרב עבריינים פחות מנוסים, ואפילו חדשים בתחום, כדי לפתח מאות נוזקות כופר חדשות. התוצאה בפועל היא אלפי נוזקות כופר חדשות במהלך 2016, רובן חובבניות מאוד וחלקן מקצועיות ביותר.

נוזקת הכופר Spora בולטת בים הנוזקות הללו בזכות שיטות הפצה מקצועיות, הצפנה שלא נפרצה עד כה ופורטל עם שירות לקוחות ברמה שחברות תוכנה מוכרות ולגיטימיות יכולות רק לשאוף אליו. על פי סטטיסטיקות שנאספו במהלך שבוע אחד בחודש מרץ על ידי ID Ransomware, אתר שהקים חוקר האבטחה מייקל ג’ילספי ומשמש לזיהוי סוגי נוזקות כופר על פי הקבצים שהוצפנו, Spora היא נוזקת הכופר השנייה הנפוצה בעולם.

מתוך האתר ID Ransomware

הזווית הרוסית

בחודש ינואר השנה החלו להופיע דיווחים ראשונים אודות Spora. ניתוחים ראשוניים שלה גילו שהיא פותחה והופצה בשלב הראשון רק ברוסיה. מדובר בגילוי יוצא דופן בתחום הנוזקות, משום שבדרך כלל יוצרי נוזקות רוסים מקפידים שלא לתקוף מטרות בתוך המדינה, מתוך ידיעה שרשויות החוק ברוסיה רודפות רק עבריינים שתוקפים חברות ואזרחים רוסים, אך לא טורחות לבדוק או לשתף פעולה עם חברות אבטחה ורשויות חוק בשאר העולם כאשר ההתקפות אינן מכוונות כלפיהן. בשבועות הראשונים להפצתה הופצה Spora אך ורק ברוסיה, בתור סוג של בטא ובאמצעות מייל ברוסית שמגיע כביכול משירות הנהלת חשבונות פופולרי במדינה בשם 1C. דרישת הכופר כתובה ברוסית והפורטל שמשמש לתשלום גם הוא ברוסית.

הפצה והסוואה הם שם המשחק

כבר לקראת סוף חודש ינואר, כשלושה שבועות לאחר ש-Spora החלה להיות מופצת ברוסיה, התחילו להופיע דיווחים על הדבקות ברחבי העולם בשפות שונות. ההפצה התבצעה באמצעות ספאם, אבל גם באמצעות ערכת הפריצה הידועה לשמצה RIG-V, שמפיצה את נוזקות הכופר המובילות בעולם כמו Locky, Cerber ו-Sage.

עם זאת, מעניין יותר להתבונן בשיטת ההפצה של Spora באמצעות קובץ ZIP שבתוכו קובץ HTA שמצורף למיילים מטעים. בניגוד למרבית נוזקות הכופר שמשתמשות בקבצים מצורפים מסוג JScript ומסמכי וורד ואקסל עם מאקרו, Spora משתמשת בקבצי HTA. למרות שזו לא שיטה ייחודית, היא עדיין נדירה יחסית בנוף נוזקות הכופר ומצביעה על היצירתיות והמשאבים שקיימים לרשות המפתחים של הנוזקה. כמובן שמדובר רק בשלב אחד ובהמשכו מופעל קובץ VBScript, שיוצר ומפעיל שרשרת של מספר קבצי Jscript שבעצמם מפעילים לבסוף קובץ וורד שמראה על שגיאה בפתיחה שלו. המטרה היא לגרום למשתמש לחשוב שהוא הפעיל פשוט קובץ וורד שנפגע במהלך העברת הדוא”ל, כאשר למעשה מופעל ברקע קובץ EXE שמתחיל את הליך ההצפנה.

קיימים 2 יתרונות עיקריים בשימוש בקבצי HTA בשלב ההדבקה הראשון:

1. מוצרי סינון דוא”ל רבים כבר מוגדרים לחסום קבצי Jscript וקבצי אופיס עם מאקרו, וגם המשתמשים עצמם כבר עירניים יותר לקבצי Jscript ומסמכי אופיס שמבקשים מהם לאפשר מאקרו כדי לקרוא אותם.

2. שימוש בקבצים שהם HTML Application גורם ל-Windows להתייחס אליהם כאל אתר אינטרנט שלא מופעלים עליו ה-Sandbox ואמצעי האבטחה הנוספים שעל דפי אינטרנט באופן רגיל. כאשר קובץ HTA מכיל סקריפט, הוא מקבל את אותן ההרשאות שמקבל קובץ EXE שמורד ומופעל מקומית.

במאמר של קווין דאגלס, חוקר אבטחה מחברת RSA Security, תוכלו למצוא פירוט מעמיק של דרך ההפצה באמצעות HTA וההצפנה של כל אחד משלבי ההדבקה.

תיאור שלבי ההדבקה מתוך המאמר של קווין דאגלס

הצפנה מאובטחת גם Offline

גם הליך ההצפנה של הקבצים על ידי Spora עובד בצורה מאובטחת מאוד, שכנראה אינה ניתנת לפריצה, אלא אם כן ישוחרר בעתיד מפתח ההצפנה הראשי כפי שקרה בעבר עם נוזקות כופר מובילות אחרות. בהליך ההצפנה שמשלב בין RSA ל-AES, משתמשת Spora ב-Windows CryptoAPI. קודם כל היא תאתר ותבצע decrypt למפתח ההצפנה RSA הציבורי שמוטמע בקובץ ההפעלה של הנוזקה, באמצעות מפתח AES שהוא hard coded. ברגע שמפתח ההצפנה הציבורי מיובא, יוצרת Spora זוג מפתחות RSA נוספים ב-1024 bit, שהם ייחודיים לכל מחשב שמודבק. בנוסף תיצור הנוזקה מפתח AES ב-256 bit על מנת להצפין את מפתחות ה-RSA הייחודיים למחשב שהודבק, וברגע שאלה מוצפנים, מוצפן גם המפתח AES שהצפין אותם באמצעות מפתח ה-RSA הציבורי. כל המידע על כל ההצפנות מאוחסן בקובץ KEY שנשמר מקומית על המחשב.

ההליך המורכב הזה, שנראה עקום במבט ראשון, מאפשר ל-Spora ליצור רק מפתח הצפנה מקומי אחד, בניגוד למרבית נוזקות הכופר האחרות שלא יוצרות מפתח הצפנה מקומי ומפתח אונליין א-סימטריים ולא נוצר קשר עם שרת השליטה והבקרה (C&C) בשלב של הצפנת הקבצים. הסיבה שמרבית נוזקות הכופר משתמשות בשיטה הזו היא הלקחים שהפיקו מן העבר הלא רחוק, כאשר היה נוצר רק מפתח הצפנה אחד מקומי וחוקרי אבטחה הצליחו לפרוץ אותו. המשמעות היא ש-Spora יודעת לעבוד גם ללא חיבור אינטרנט וגם שהסריקות של מוצרי האבטחה וחומות האש שכבר מוגדרות לחפש תקשורות כאלה מול שרתי ה-C&C ולחסום אותן או את ההליך שיוצר את התקשורת, לא יאתרו את הנוזקה בדרך זו.

דבר נוסף שבו Spora יוצאת דופן הוא שהיא לא משנה את הסיומת של הקבצים המוצפנים (קיים מספר קטן של נוזקות כופר כאלה). עם סיום ההצפנה מתקבל מספר סידורי, שהוא מזהה ייחודי עבור אותה ההצפנה ונותן ליוצרים של Spora מידע על כמות וסוג הקבצים שהוצפנו ועל המדינה שבה נמצא הקורבן. הנתונים הללו מאפשרים לעבריינים לתת מחיר מותאם עבור כל קורבן. למשל, כאשר מוצפנים קבצים של משתמש ביתי סכום הכופר יהיה נמוך משמעותית מסכום הכופר שנדרש מעסק שקבצים חשובים לו הוצפנו.

שירות ללא תחרות

הדבר הבולט ביותר שנוגע ל-Spora, והוא גם זה שזיכה אותה בפרסומים הרבים עד כה, הוא הפורטל שבו ניתן לתקשר עם שירות הלקוחות שלה ולשלם את סכום הכופר. הפורטל מעוצב בצורה ידידותית ומעצבים גרפיים רבים היו שמחים ללמוד ממנו: כל הנתונים מוצגים בצורה ידידותית, כולל סכום הכופר, האולטימטום לתשלום, העברת הביטקוין וצ’אט עם שירות הלקוחות של Spora.

פורטל התשלום של Spora

כדי להיכנס לפורטל נדרש המשתמש לבצע כניסה באמצעות המספר הסידורי שנוצר עבורו בסיום ההצפנה, ולאחר מכן להעלות את מפתח ההצפנה שנוצר מקומית במחשב שלו. בגרסאות העדכניות של Spora משלושת השבועות האחרונים, קובץ ההצפנה כבר לא נוצר והמידע על אודות המחשב שהותקף מאוחסן בקובץ ה-HTML עם הוראות תשלום הכופר.

ממשק ההעלאה של קובץ ההצפנה עם סיומת KEY שנוצר במחשב שנפגע

אחת האפשרויות שקיימות בנוזקות הכופר המובילות היא שחזור של 2 קבצים בחינם על מנת להדגים לקורבן שהקבצים שלו אכן ניתנים לשחזור. בנוסף, קיימות עוד 4 אפשרויות בתשלום, והייחודית שבהן היא “חסינות” – סוג של ביטוח שמבטיח למשתמש שהוא לא ייפגע בעתיד על ידי Spora.

אפשרויות תשלום מגוונות

קורבנות שנפגעו והחליטו לשלם נתקלים בקושי לשלם את התשלום במטבע ביטקוין. אך גם כאן הפורטל הידידותי של נוזקת הכופר מציע שירות צ’אט ידידותי שמתוחזק על ידי צוות מקצועי ושירותי. רבים מהקורבנות התרשמו לטובה מהעיצוב והשירות של הפורטל, ולמרות ששילמו את הכופר שלחו תודה לעבריינים שסחטו אותם.

“לקוחות” מרוצים של Spora

בנוסף, בחלק מהמקרים שבהם מוצפנים מספר מחשבים או תיקיות משותפות, מוצע לקורבנות להשאיר ביקורות חיוביות על תהליך תשלום הכופר ובתמורה לקבל זיכוי בביטקוין.

זיכוי תמורת ביקורת חיובית

הצ’אט מאפשר לכל משתמש בשירות לשלוח עד 5 הודעות, על מנת למנוע ספאם ועודף קללות בפורטל של קורבנות מתוסכלים, וגם כנראה כדי להתגונן בפני התקפות DDOS שפעמים רבות מכוונות גם כלפי שירותים של עבריינים. בתחילת חודש מרץ הופלו זמנית מספר דומיינים של הפורטלים של Spora כך שכנראה שהאמצעים שננקטו הם מוצדקים. האירוניה היא שהפלה של פורטל התשלום של Spora פוגעת בעיקר בקורבנות שרוצים לשלם ולא ביוצרי הנוזקה.

הכתבה בחסות ESET

ESET היא חברת האנטי וירוס ואבטחת מידע ה-5 בגודלה בעולם, המגנה על יותר מ-100 מיליון משתמשים מפני מגוון איומים: נוזקות, גניבת זהויות ופישינג, והתקפות של האקרים. האנטי וירוס הביתי של ESET הוא הנמכר ביותר בישראל ומוצרי החברה מובילים גם בשוק העסקי. הצטרפו אלינו בפייסבוק ותהיו תמיד מעודכנים באיומי הרשת.

אמיר כרמי

לוחם בווירוסים ופשע מקוון בלילה ופותר למשתמשים בעיות ביום. מומחה אבטחת מידע ורוקר מושבע. מנהל הטכנולוגיות בחברת קומסקיור, הנציגה הבלעדית בישראל של חברת ESET, מפתחת האנטי וירוס ESET NOD32 וחבילת האבטחה ESET Internet Security

הגב

8 Comments on "נוזקת הכופר שגרמה לנסחטים שלה לומר לה תודה"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
ככככככ
Guest

ממש תודה לך שדפקת לי את המחשב ואת הקבצים שלי..
ברוך השם עוד לא נפלתי לנוזקה…

בזבזני
Guest

JScript זה Javascript ? :|

fesdfdf
Guest

כן

ערן
Guest

תסמונת שטוקהולם

Asaf Shelly
Guest

תודה למיקרוסופט על ה- backdoor

משתמש אובונטו
Guest
משתמש אובונטו

מה זה קובץ EXE ומה גורם לו לרוץ מעצמו ותחת איזה הרשאות?

חומוסציפססלט
Guest
חומוסציפססלט

כתבה מקצועית!

נתן
Guest

הקישור למאמר של קווין דאגלס לא נכון.

wpDiscuz

תגיות לכתבה: