הדור הבא של נוזקות הכופר כבר כאן
׳סצינת תוכנות הכופר׳ ממשיכה להתחזק ולהשתכלל. 34% מהאיומים המכוונים כלפי ישראל הם מסוגים שונים של תוכנות כופר, גרסה חדשה של Locky יכולה לפעול ללא חיבור לאינטרנט ותוכנת כופר חדשה לא מסתפקת בהצפנת הקבצים אלא מוחקת אותם לחלוטין ולא משיבה אותם תמורת תשלום הכופר
קרדיט תמונה: Getty Images Israel
מאת ענבל סינגר
שוק תוכנות הכופר רק הולך ומתחזק. 34% מהאיומים על ישראל על פי נתוני חברת אבטחת המידע ESET הם מסוג נוזקות כופר, כאשר רק ביממה האחרונה נמצאה עלייה אף ל-40%. במקביל שוק תוכנות הכופר גם ממשיך להתפתח ואנו עדים למספר תוכנות חדשות ומתוחכמות יותר בדרך פעולתן.
במהלך הימים האחרונים מפתחי תוכנת הכופר Locky הגבירו את פעילותם והפיצו למעלה מ-120 אלף מיילים המכילים קבצים זדוניים. כאשר הקובץ נפתח הוא מתקין גרסה חדשה של הנוזקה שיכולה לעבוד ללא חיבור לאינטרנט. בדומה ל”קמפיינים” קודמים של תוכנת הכופר הזו, מדובר בשליחת קבצי ZIP שמכילים קובץ ג’אווה סקריפט המתקין את עצמו על המחשב.
הגרסה החדשה של Locky שונה מאוד מגרסאות קודמות שנזקקו לחיבור לאינטרנט כדי להתחיל את תהליך הצפנת הקבצים במחשב. מנהלי הרשת שידעו זאת כיבו את הגישה לאינטרנט כאשר הם גילו התחלה של התהליך ברשת. כך הם הצליחו לעצור את הפגיעה במחשבים נוספים. מפתחי הנוזקה מצאו כעת דרך לעקוף מגבלה זו באמצעות פעולה באופן בלתי מקוון. כמו כן, כעת המפתחים יכולים לדרוש כופר כספי גבוה מ”המקובל” לשחרור הצפנת הקבצים כיוון שהם יצליחו להדביק הרבה יותר מחשבים בארגונים.
כך נראה צילום מסך של מחשב שנפגע מתוכנת הכופר:
תוכנת כופר חדשה נכנסה לשוק הנוזקות – תכירו את Ranscam – תוכנת כופר שלא מצפינה בדומה לתוכנות הכופר האחרות את הקבצים, אלא מוחקת אותם לצמיתות מן המחשב ואז דורשת כסף עבורם. בנוסף לכך תוכנת הכופר לא משחררת את הקבצים בחזרה גם לאחר תשלום, אז אין טעם לשלם את הכופר, הקבצים הולכים לטמיון. התוכנה לא מכבדת את הכלל הבלתי כתוב של תוכנות כופר – להשיב בחזרה את מפתח ההצפנה או את הקבצים לאחר תשלום הכופר. אם כי ידוע שלא תמיד הכלל הזה מכובד באופן כללי על ידי פושעי הרשת. רבים כן מקפידים לתת את מפתח ההצפנה כדי לא לאבד את אמון הקורבנות בכך שתמורת התשלום הם יקבלו אותו. זה חלק מ”המודל הכלכלי שלהם”. למרבה הצער, זה לא המקרה עם Ranscam, הקבצים נמחקים ותשלום הכופר לא יועיל.
Ranscam לא רק מוחק את הקבצים מן המחשב, אלא גם מסיר את הפיצ’ר שאחראי בווינדוס על תכונת שחזור המערכת, עותקי shadow וכמה מפתחות רישום שמקושרים עם מצב של אתחול במצב בטוח. בנוסף, תוכנת הכופר משנה מפתחות רישום בכוונה להשבית את מנהל המשימות וגם, לקינוח, משנה את מפת המקלדת.
כתב אורח
אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.
אל תפספסו:
הגב
10 תגובות על "הדור הבא של נוזקות הכופר כבר כאן"
* שימו לב: תגובות הכוללות מידע המפר את תנאי השימוש של Geektime, לרבות דברי הסתה, הוצאת דיבה וסגנון החורג מהטעם הטוב ו/או בניגוד לדין ימחקו. Geektime מחויבת לחופש הביטוי, אך לא פחות מכך לכללי דיון הולם, אתיקה, כבוד האדם והדין הישראלי.
כל כך הרבה פסיכופטים יש בעולם.
מתי יתחיל תהליך נקיון?
בדיוק היום נפלתי קורבן להתקפה כזאת
יש דרך לעקוף את זה ללא תשלום? אפשר לקבל המלצה על מישהו שיודע להציל את המחשב בסיטואציה הזאת
http://esupport.trendmicro.com/solution/en-US/1114221.aspx
איך להגן מפני וירוס קטלני כמו וירוס כופר http://udicomputerservices.com/%d7%90%d7%99%d7%9a-%d7%9c%d7%a0%d7%a7%d7%95%d7%aa-%d7%90%d7%aa-%d7%94%d7%9e%d7%97%d7%a9%d7%91-%d7%9e%d7%95%d7%99%d7%a8%d7%95%d7%a1-%d7%a7%d7%98%d7%9c%d7%a0%d7%99-%d7%9b%d7%9e%d7%95-%d7%95%d7%99%d7%a8/ בעברית. נשמח לעזור
ישן רגוע בלילה (לינוקס)
“מדובר בשליחת קבצי ZIP שמכילים קובץ ג’אווה סקריפט המתקין את עצמו על המחשב”,
אני מבין מדברכם שמי שלא מתקין Java על המחשב מוגן.
ג׳אווה סקריפט, לא ג׳אווה.זה לא אותו הדבר בדיוק כמו שעט ו עט-עיפרון (עיפרון חודים/שפיצים) זה שני כלי כתיבה שונים.
קבצי JavaScript לא מתקינים את עצמם על שום דבר… הם קבצים שדפדפן אינטרנט מריץ, לקוד JavaScript אין גישה למערכת הקבצים כך שהוא בטוח לא יכול להצפין קבצים על המחשב.
הורידו את חבילת האבטחה המתקדמת ללא כל התחייבות, סרקו את המחשב ותגלו עד כמה היה חשוף
com.הגנה.www
לאחר חודש: תרצו – תשלמו, לא תרצו – הרווחתם חודש חינם וניקיתם את המחשב.
לגבות באופן שוטף את כל הקבצים על דיסק חיצוני אותו מנתקים מהמחשב בתום הגיבוי.