האקרים פיתחו תוכנת כופר מתוחכמת למק, אבל שכחו שני פרטים מאוד חשובים

הנוזקה הזאת מסתובבת כבר כמה שבועות ומדביקה לא מעט מקים מסביב לעולם, ולמרות שהיא מרושלת להפליא, הוא גם מסוכנת

תמונה: Pixabay

יכול להיות ששמעתם פעם את המנטרה “אין וירוסים במק”, ולמרות שבמשך שנים מחשבי המק באמת נהנו מפחות תשומת לב של האקרים, מדי פעם צצה לה עוד נוזקה עבור המחשבים היוקרתיים. הפעם, מדובר בתוכנת כופר “משודרגת” שמשלבת בתוכה עוד כלים מסוכנים למק. אולם, כמו שקורה לא פעם עם מוצר שהוא MVP, ההאקרים שפיתחו אותה פשוט התרשלו בעבודתם במקרה הטוב, או שיחררו אותה כשהיא לא מוכנה במקרה הרע.

מכתב הכופר לוקה בחסר, בלשון המעטה

תוכנת הכופר שצצה בשבועות האחרונים נקראת EvilQuest או ThiefQuest, והיא מסוגלת להצפין קבצים, לשלוח קבצים לשרת מרוחק ואפילו לבצע Keylogging ברקע, כך שהפורץ יוכל לעקוב אחר כל מה שאתם מקלידים.

חוקרים של חברת אבטחת המידע הישראלית SentinelOne החלו לחקור את הנוזקה, וגילו בה יותר מ-60 חזרות של המחרוזת “toidievitceffe”, שהיפוך שלה מתגלה כ”EffectiveIdiot”, מה שגרם לחוקרים לחשוד שההאקרים רצו שהם ימצאו את המחרוזת ואולי אפילו יקראו לנוזקה כך, או כדי להטעות אותם.

כמו כל תוכנת כופר, גם זו הגיעה עם דרישת כופר, אך בניגוד לתוכנות הכופר המוכרות, כאן ההאקרים דורשים סכום נמוך במיוחד של 50 דולר, ולא משאירים כל פרטים לתקשורת בינם לבין הקורבנות. ב-SentinelOne טוענים שחלק נכבד ממכתבי הכופר שבאמת מצליחים לשכנע את הקורבות לשלם, כוללים שילוב מוצלח של איומים ובטחונות. במקרה של Evil/ThiefQuest, התוקפים פשוט מאיימים ודורשים שהקורבנות יעבירו את הכסף מיד, בלי שהקורבנות אפילו יכולים ליידע אותם שהם שלחו את הכסף, או לקבל מהם את מפתח הפיענוח.

ההודעה שאתם לא רוצים לראות על המסך | מקור: SentinelOne

כל הטעויות האפשריות שבוצעו במהלך הזה, הובילו לכך שכתובת הארנק שמופיעה בכל מכתבי הכופר במחשבים שנדבקו בנוזקה, הובילה ל-0 עסקאות בדיוק. כן, אף לא אדם אחד נפל בפח, ומיד תבינו גם למה לא יהיו לנוזקה הזאת עוד קורבנות רבים.

החוקרים גילו כי ההאקרים השתמשו בהצפנה קריפטוגרפית שניסו לפתח בעצמם – במקום באלגוריתמים מוכרים – ובחרו במפתח הצפנה סימטרי. מה שאומר שאותו מפתח שמצפין את הקבצים, הוא אותו המפתח שגם מפענח אותם, והוא פשוט מוטמן בקובץ הנוזקה עצמו. על כן, ג’ון ריבס מ-SentinelOne יצר כלי מפענח שכל אחד יכול להשתמש בו, אם הוא בטעות מצא את עצמו בצד הלא נכון של הנוזקה.

בנוסף, גילו החוקרים כי מנגנון הפיענוח לא הכיל שום caller בקוד, מה שמשאיר שתי אפשרויות: או שההאקרים שיחררו את הנוזקה לפני שהם השלימו את הפיתוח שלה, או שהם מעולם לא תיכננו לאפשר פיענוח של הקבצים מרחוק.

ולמרות הטעויות הדי מביכות בחלק של הכופר, מדובר בסכנה

עם זאת, חוקרי האבטחה עדיין מתייחסים אל הנוזקה הזאת בתור “התקדמות משמעותית” לאור העובדה שמדובר בשילוב מסוכן של תוכנת כופר וכלי ריגול. כאמור, במקביל לפונקציית הכופר, ThiefQuest או EvilQuest מכילה גם פונקציות שליחת קבצים ו-Keylogging, וכל זאת בנוסף לעובדה שהתוכנה מאפשרת למשתמשים להמשיך להשתמש במחשב שלהם כרגיל, בתקווה שהם ידליפו מידע קריטי ברגעים שבהם הם מחפשים פתרון לנעילות הקבצים.

אם נדבקתם בנוזקה הזו, מומלץ לשחזר את מערכת ההפעלה מגיבוי קודם להדבקה. בנוסף, מומלץ לאפס סיסמאות ולאפס SSH, שיתכן ונחשפו במהלך ההדבקה. אם קבצים קריטיים שלכם הוצפנו על ידה, תוכלו להשתמש בכלי הפענוח החינמי הזה.

Geektime Code

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

3 תגובות על "האקרים פיתחו תוכנת כופר מתוחכמת למק, אבל שכחו שני פרטים מאוד חשובים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אהרון
Guest

בלינוקס וטייזן לא היה קורה

אנונימי
Guest

בלינוקס וטייזן זה לא היה ‘קורא’

אחד מפשוטי העם
Guest
אחד מפשוטי העם

אפשרות שלישית..
הם עושים QA במימדים עצומים. לשחרר את הנוזקה בצורה לא מוגמרת, להקשיב לשיחות ברשת על הנוזקה (איך עשו לא טוב, איפה היה אפשר לשפר, איך היא לא מספיק טובה וכד’) להמשיך את הפיתוח בשקט בשקט ולשחרר בבום את הנוזקה מחדש.

wpDiscuz

תגיות לכתבה: