הושק כלי לשחרור קבצים מוצפנים על ידי תוכנת הכופר Polyglot
מאת:
מערכת Telecom News, 11.10.16, 14:31
תוכנת כופר חדשה זו נראית דומה לתוכנת הכופר CTBN-Locker הידועה לשמצה. עם זאת, לא נמצא דמיון בקוד הזדוני של השתיים.
משתמשים, שנפגעו מתוכנת הכופר
Polyglot, שידועה גם כ-
MarsJoke, יכולים כעת לאחזר את הקבצים שלהם הודות
לכלי לשחרור הצפנה, שפותח ע"י מומחי מעבדת קספרסקי.
הטרויאני
Polyglot מופץ באמצעות הודעות דואר זבל המכילות קובץ הארוז בארכיב מסוג
RAR. במהלך תהליך ההצפנה, הטרויאני אינו משנה את שמות הקבצים על המכונה הנגועה, ובמקום זאת חוסם גישה אליהם. לאחר שההצפנה הושלמה, רקע שולחן העבודה במסך הקורבן מוחלף בדרישת כופר. עברייני הסייבר דורשים את הכופר שלהם בביטקוין, ואם התשלום אינו מתבצע בזמן, הטרויאני מוחק עצמו מהמכשיר הנגוע כשהוא משאיר את כל הקבצים מוצפנים.
תוכנת כופר חדשה זו דומה לתוכנת
הכופר CTB-Locker הידועה לשמצה. עם זאת, לאחר בחינה מקיפה, מומחי מעבדת קספרסקי לא מצאו שום דמיון בקוד הזדוני של השתיים.
Polyglot מחקה את
CTB-Locker כמעט בכל צורה. יש לה ממשק גרפי זהה, רצף פעולות זהה הנדרש כדי להשיג את מפתח ההצפנה, ואותו עמוד תשלום, רקע לשולחן עבודה ועוד. היוצרים של
Polyglot חשבו כנראה, שע"י התחזות ל
- CTB-Locker הם יוכלו להטעות משתמשים ולגרום להם לחשוב, שהם סובלים מאותו קוד זדוני עקשני, שלא מותיר להם אפשרות אחרת מלבד תשלום לעבריינים.
מומחי מעבדת קספרסקי בחנו את מנגנון ההצפנה של
Polyglot ומצאו, כי בשונה מ-
CTB-Locker, הוא משתמש ביוצר מפתחות הצפנה חלש. ניתן לבצע חיפוש
brute-force של כל טווח אפשרויות מפתחות ההצפנה של
Polyglot בפחות מדקה על גבי מחשב אישי רגיל.
חשיפת חולשה זו אפשרה למומחי החברה לפתח כלי, שיסייע לשחרר את נתוני המשתמש.
מעבדת קספרסקי מזהה כלי כופר זה כ-
Trojan-Ransom.Win32.Polyglot ו-
PDM:Trojan.Win32.Generic.
תיאור נרחב ביותר, שכולל צילומי השוואות בין CTB-Locker ל-Polyglot ופרטים טכניים רבים נוספים ניתן לקרוא – כאן.
כלים נוספים לשחרור הצפנה ניתן למצוא באתר
No More Ransom. היעד המרכזי של
פרויקט "No More Ransom". הוא לסייע לקורבנות של תוכנות כופר לאחזר את הנתונים שלהם מבלי לשלם כופר לעבריינים.
נעם פרוימוביץ, מנכ"ל קספרסקי ישראל: "מקרה זה מלמד אותנו לא לוותר לעולם: כלי כופר הופכים לבעיה קשה עבור כל המשתמשים, אבל לעיתים ניתן למצוא פתרון. במקרה זה, כותבי הקוד הזדוני ביצעו טעות בהטמעה כשאפשרו פריצה להצפנה. עם זאת, משתמשים לא צריכים לסמוך על המזל בכל הנוגע לתוכנות כופר. מקרה זה הוא יוצא מן הכלל ולא הכלל. לכן, אנו ממליצים לכל המשתמשים להגן על המכשירים שלהם באופן אקטיבי באמצעות פתרון אבטחה אמין ווידוא, שכל הטכנולוגיות נגד הצפנה מופעלות".