השתלטות וכופר על חלונות
סוס טרויאני חדש שמסתובב ברשת מסוגל להשתלט על מערכת החלונות שלכם, להצפין אותה, ואז לדרוש מכם כופר אם תרצו לקבל את הגישה אליה בחזרה.
תכירו את הטרויאנים החדשים (ישנים) שהחלו למצוא את דרכם ברחבי הרשת אל קורבנות תמימים – טרויאניי הכופר. מדובר בסוסים טרויאנים, אשר מאפשרים לגורמים זדוניים להשתלט לכם על המחשב ולדרוש כופר אם אתם רוצים שהם ישחררו את המידע שבו. מקומם, לא?
הרעיון של Ransomware אינו חדש, וקיים כבר כמה עשורים בגרסאות שונות. במובן הפשוט ביותר, מדובר במניעת גישה אל המחשבים או אל המידע שלנו, או אל שניהם, ודרישת כופר בתמורה לשחרור הגישה אל המידע. במקרה שנחשף הפעם, על-ידי החוקרים של מעבדת F-Secure, מצאו החוקרים סוס טרויאני שנועל את הגישה אל המחשב והמידע שבו כשהוא נעזר בטיעונים שונים.
על מסך כחול מופיעה ההודעה שמייצר הטרויאני החדש, ובה נכתב כי הקורבן מתבקש להתקשר לאחד מכמה מספרי טלפון בינלאומיים המופיעים על המסך. למרות שההודעה נחזית כאילו היא חלון רשמי של מיקרוסופט, הרי שבפועל אין שום קשר כמובן לענקית התוכנה, והיא איננה עומדת מאחורי הפרשה.
בחזרה להודעה. מי שמנסה להתקשר, יחוייב בתעריפים גבוהים של חיוג בינלאומי. מדובר במנגנון שהגורמים שמאחורי הטרויאני דאגו מראש לסדר ולהכין, כדי שיוכלו להנות מההכנסות הכלכליות שלהם על חשבון הקורבנות. האם במסגרת שיחת טלפון שכזו תצליחו להגיע למישהו שיוכל לעזור לכם לשחרר את המידע שלכם? כנראה שלא.
בעוד שבשלב זה טרם נחשף מי הגורמים העומדים מאחורי הטרויאני הזה, פעולתו עשויה לגרום לנזקים כלכליים עבור הנפגעים ממנו. ברגע שהסוס הטרויאני נכנס לפעולה, אחד הדברים שהוא עושה הוא להצפין את התכנים שבדיסק הקשיח ולהציג את המסך הכחול שתארנו. כך יוצא שהמידע שלכם, לכאורה עדיין קיים מאחורי מחסום ההצפנה, אבל הסיכוי שתקבלו מדורשי הכופר את האפשרות לנטרולה הוא נמוך מאוד, אם בכלל קיים.
מה אפשר לעשות?
כמה דברים שאפשר לעשות ברמת הארגון וגם ברמת הפרט, מתחילים, כמו במקרים רבים אחרים, בהכנת גיבויים תכופים למידע. באמצעות אותם גיבויים אפשר להתגבר על מקרה בו אין יותר גישה אל אחד המחשבים ולשחזר את המידע של המחשב. כך ניתן גם להמנע מהצורך עם תיקון הנזק שגרם הסוס הטרויאני למערכת, אם בכלל ניתן.
בנוסף, לאחר שחזור המידע והגישה אל המחשב מומלץ לעדכן את כל הגדרות האבטחה ואת רכיבי האבטחה של הארגון. לאחר מכן, כמובן כדאי לבצע סריקה/סריקות לבדוק את המחשב או מחשבים שנדבקו, כדי לוודא שהגורם שאיפשר את ההדבקה מלכתחילה איננו בנמצא.
אלה צעדים ראשוניים, ובוודאי לא מספקים לכשעצמם למנוע את ההדבקה מהמחשבים שלכם או של הארגון בו אתם עובדים. יש עוד מגוון של דברים שניתן לעשות, וכאן הבמה שלכם – נשמח אם תשתפו אותנו בתגובות איזה המלצות יש לכם לצמצום החשיפה לסוסים טרויאנים.
נדב דופמן-גור
עו"ד העוסק בתחומי דיני הטכנולוגיה, דיני פרטיות וקניין רוחני. מרצה ומנטור לסטארטאפים, ובעל ניסיון רב-שנים בפיתוח ווב (http://about.me/nadavdg).
הגב
17 תגובות על "השתלטות וכופר על חלונות"
* שימו לב: תגובות הכוללות מידע המפר את תנאי השימוש של Geektime, לרבות דברי הסתה, הוצאת דיבה וסגנון החורג מהטעם הטוב ו/או בניגוד לדין ימחקו. Geektime מחויבת לחופש הביטוי, אך לא פחות מכך לכללי דיון הולם, אתיקה, כבוד האדם והדין הישראלי.
ההבנה בקרב החברות הגדולות, כמו גוגל, זה שלא ניתן אף פעם להגן באמת ובצורה מוחלטת על המידע הרגיש ביותר בחברה, כל עוד יש שימוש במערכת הפעלה חלונות. גוגל החליטה שנה שעברה להעיף את חלונות מקרבם, החלטה שלדעתי היא לא רק פוליטית או תרגיל של יח”צ, זאת החלטה שמגיעה ממקום של אבטחה בעיקר.
הרוסים, הרומנים, ואפילו האיראניים נמצאים בתוך ג’ימייל כבר כמה שנים למשל, ואף אחד לא מדבר על זה, אבל המייל שלכם לא בטוח, ואני לא ממליץ לאף אחד לשים נתונים חשובים במערכות של גוגל, לפחות לא עד שהם משלימים את המעבר ומעיפים מקרבם כל זכר של טכנולוגייה שמגיעה ממיקרוסופט.
אם היית טורח לראות את הוידאו שמצורף לכתבה היית מציין שיש מספר וירוסים כאלה אבל גם שקוד השיחרור של הספציפי שמתחזה להודעה של מיקרוסוט זהה בכולם (ומסופק אחרי שמתקשרים למספר המצויין, בעלות גבוהה כמובן) הקוד הוא 1351236 למקרה שמישהו הגיע לעמוד אחרי שנפגע.
אור, לא בדקתי את הנתונים שאתה מציג, אבל גם אם הם מדוייקים אז עדיין אני לא רואה שום סיבה שהאקרים יפנו למק.
מה שקורה זה שכל האקר מגיע, מסתכל על הסטטיסטיקה ושואל את עצמו איזו פלטפורמה לתקוף, האם להגיע לקהל של 7% או להגיע לקהל פוטנציאלי של מעל ל-90% מהמחשבים בעולם. אף האקר, אלא אם הוא יזהה יתרון משמעותי בתקיפת המשתמשים של מק או בפיתוח וירוס למק, לא יבחר באופציה הראשונה.
מסכים ולוקח בחזרה את מה שאמרתי. זה רק מחזק את מה שאני טוען.
דווקא במיקרוסופט מתקנים פרצות אבטחה מיד כשהן מתגלות ובלינוקס זה הרבה יותר מורכב. (כי יש הרבה חברות שמפתחות והרבה הפצות שונות)
למיקרוסופט לוקח בממוצע בין שישה לתשעה חודשים לסגור פרצה.
אולי הם מתחילים לטפל בזה “מיד”, למרות שאני לא בטוח שגם זה המצב, אבל הסגירה היא ממש לא מיידית.
אני לא נכנס לאיכות מערכת ההפעלה ולאופי ההגנה שלה. שכל אחד יעשה מה שטוב לו.
מה שאתה אומר תומך בנקודה שלי. כעובדה, לחלונות יש יותר וירוסים וסוסים טרויאנים.
בסוף הפוסט שואלים איך היינו מצמצמים את יכולת החשיפה למזיקים. גם אם זה לא מוצא חן בעיני אוהדי חלונות, שימוש במערכת הפעלה שנכתבו אליה פחות מזיקים (משמעותית) מצמצמת את יכולת החשיפה למזיקים, משמעותית.
משתמשים פשוטים לא בוחרים להשתמש במערכת פריצה, הם פשוט לא מכירים שום דבר אחר ורגילים להשתמש במערכת שמחייבת שימוש באנטיוירוס פעיל. סיפורים כמו שלך על ויסטה אני שומע תמיד, זה לא נוגד את המציאות.
המציאות שאני מכיר היא שעם Windows עדכני (XP מעודכן לא תופס בעיני) בהגדרות הבסיסיות ביותר ועם אנטי-וירוס חינמי של מיקרוסופט, הוירוס הזה לא היה מוצא את דרכו לתוך מחשב מיקרוסופטי ללא אישור משתמש. וכן, אתה צודק – החלפת מערכת הפעלה למערכת שנכתבים אליה פחות וירוסים משמעותית מקטינה את הסיכוי שתדבק באחד. מצד שני מעבר למערכת לינוקסאית או אפל יש לה גם את המחירים שלה. סתם בשביל ההבהרה – אני לא איזה חסיד גדול של מיקרוסופט. אני כן מכיר את המערכת טוב טוב, ובסיכומו של עניין – אני חושב שעושים ממנה הרבה יותר גרועה ממה שהיא באמת…
המציאות שאתה מכיר היא לא המציאות בשטח. גם Windows 7 וגם Internet Explorer 9 סבלו כבר מבעיות אבטחה שאיפשרו תקיפה מרחוק. האמת שאפילו כרגע יש בעיית אבטחה מוכרת שמיקרוסופט עוד לא הספיקה לסגור והיא תסגר לכל המוקדם רק בעוד חודש.
אתה מוזמן להסתכל על עדכוני האבטחה שקבוצת האבטחה של מיקרוסופט (ה-MSRC) מפרסמת כל חודש ולראות בעצמך.
מאיפה אתה מביא את כל זה?