האקרים פיתחו תוכנת כופר מתוחכמת למק, אבל שכחו שני פרטים מאוד חשובים
הנוזקה הזאת מסתובבת כבר כמה שבועות ומדביקה לא מעט מקים מסביב לעולם, ולמרות שהיא מרושלת להפליא, הוא גם מסוכנת
יכול להיות ששמעתם פעם את המנטרה "אין וירוסים במק", ולמרות שבמשך שנים מחשבי המק באמת נהנו מפחות תשומת לב של האקרים, מדי פעם צצה לה עוד נוזקה עבור המחשבים היוקרתיים. הפעם, מדובר בתוכנת כופר "משודרגת" שמשלבת בתוכה עוד כלים מסוכנים למק. אולם, כמו שקורה לא פעם עם מוצר שהוא MVP, ההאקרים שפיתחו אותה פשוט התרשלו בעבודתם במקרה הטוב, או שיחררו אותה כשהיא לא מוכנה במקרה הרע.
מכתב הכופר לוקה בחסר, בלשון המעטה
תוכנת הכופר שצצה בשבועות האחרונים נקראת EvilQuest או ThiefQuest, והיא מסוגלת להצפין קבצים, לשלוח קבצים לשרת מרוחק ואפילו לבצע Keylogging ברקע, כך שהפורץ יוכל לעקוב אחר כל מה שאתם מקלידים.
חוקרים של חברת אבטחת המידע הישראלית SentinelOne החלו לחקור את הנוזקה, וגילו בה יותר מ-60 חזרות של המחרוזת "toidievitceffe", שהיפוך שלה מתגלה כ"EffectiveIdiot", מה שגרם לחוקרים לחשוד שההאקרים רצו שהם ימצאו את המחרוזת ואולי אפילו יקראו לנוזקה כך, או כדי להטעות אותם.
כמו כל תוכנת כופר, גם זו הגיעה עם דרישת כופר, אך בניגוד לתוכנות הכופר המוכרות, כאן ההאקרים דורשים סכום נמוך במיוחד של 50 דולר, ולא משאירים כל פרטים לתקשורת בינם לבין הקורבנות. ב-SentinelOne טוענים שחלק נכבד ממכתבי הכופר שבאמת מצליחים לשכנע את הקורבות לשלם, כוללים שילוב מוצלח של איומים ובטחונות. במקרה של Evil/ThiefQuest, התוקפים פשוט מאיימים ודורשים שהקורבנות יעבירו את הכסף מיד, בלי שהקורבנות אפילו יכולים ליידע אותם שהם שלחו את הכסף, או לקבל מהם את מפתח הפיענוח.
כל הטעויות האפשריות שבוצעו במהלך הזה, הובילו לכך שכתובת הארנק שמופיעה בכל מכתבי הכופר במחשבים שנדבקו בנוזקה, הובילה ל-0 עסקאות בדיוק. כן, אף לא אדם אחד נפל בפח, ומיד תבינו גם למה לא יהיו לנוזקה הזאת עוד קורבנות רבים.
החוקרים גילו כי ההאקרים השתמשו בהצפנה קריפטוגרפית שניסו לפתח בעצמם – במקום באלגוריתמים מוכרים – ובחרו במפתח הצפנה סימטרי. מה שאומר שאותו מפתח שמצפין את הקבצים, הוא אותו המפתח שגם מפענח אותם, והוא פשוט מוטמן בקובץ הנוזקה עצמו. על כן, ג'ון ריבס מ-SentinelOne יצר כלי מפענח שכל אחד יכול להשתמש בו, אם הוא בטעות מצא את עצמו בצד הלא נכון של הנוזקה.
בנוסף, גילו החוקרים כי מנגנון הפיענוח לא הכיל שום caller בקוד, מה שמשאיר שתי אפשרויות: או שההאקרים שיחררו את הנוזקה לפני שהם השלימו את הפיתוח שלה, או שהם מעולם לא תיכננו לאפשר פיענוח של הקבצים מרחוק.
ולמרות הטעויות הדי מביכות בחלק של הכופר, מדובר בסכנה
עם זאת, חוקרי האבטחה עדיין מתייחסים אל הנוזקה הזאת בתור "התקדמות משמעותית" לאור העובדה שמדובר בשילוב מסוכן של תוכנת כופר וכלי ריגול. כאמור, במקביל לפונקציית הכופר, ThiefQuest או EvilQuest מכילה גם פונקציות שליחת קבצים ו-Keylogging, וכל זאת בנוסף לעובדה שהתוכנה מאפשרת למשתמשים להמשיך להשתמש במחשב שלהם כרגיל, בתקווה שהם ידליפו מידע קריטי ברגעים שבהם הם מחפשים פתרון לנעילות הקבצים.
אם נדבקתם בנוזקה הזו, מומלץ לשחזר את מערכת ההפעלה מגיבוי קודם להדבקה. בנוסף, מומלץ לאפס סיסמאות ולאפס SSH, שיתכן ונחשפו במהלך ההדבקה. אם קבצים קריטיים שלכם הוצפנו על ידה, תוכלו להשתמש בכלי הפענוח החינמי הזה.
הגב
3 תגובות על "האקרים פיתחו תוכנת כופר מתוחכמת למק, אבל שכחו שני פרטים מאוד חשובים"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
בלינוקס וטייזן לא היה קורה
בלינוקס וטייזן זה לא היה 'קורא'
אפשרות שלישית..
הם עושים QA במימדים עצומים. לשחרר את הנוזקה בצורה לא מוגמרת, להקשיב לשיחות ברשת על הנוזקה (איך עשו לא טוב, איפה היה אפשר לשפר, איך היא לא מספיק טובה וכד') להמשיך את הפיתוח בשקט בשקט ולשחרר בבום את הנוזקה מחדש.