פרויקט No More Ransom משבש את פעילות תוכנת הכופר ה-WildFire
מאת:
מערכת Telecom News, 24.8.16, 20:58
כלי שחרור ההצפנה של WildFire כבר זמין בחינם. לכידת מפתחות ההצפנה של WildFiire מוכיחה, שלחימה בפשיעת סייבר ובעיקר בתוכנות כופר, היא מוצלחת יותר באמצעות שיתוף פעולה.
בחודש שעבר עלה לאוויר פרויקט
No More Ransom – פורטל מקוון למלחמה בכלי כופר, - יוזמה של משטרת הולנד, היורופול, אינטל סקיוריטי ומעבדת קספרסקי. בפורטל זמינים כלים לפתיחת הצפנה עבור סוגים שונים של תוכנות כופר. ניתן למצוא בפורטל גם מידע רב אודות הפעילות של תוכנות כופר ואמצעי זהירות שיש לנקוט כדי להימנע מפגיעתם.
הרושם הוא, ששיתוף הפעולה משתלם: מעבדת קספרסקי סייעה למשטרה ולמשרד התובע הלאומי לאתר את שרת הפיקוד והשליטה של
Wildfire, שהושבת בעקבות כך ע"י המשטרה ומשרד התובע. בפעולה זו הוחרמו כמעט 1,600 מפתחות הצפנה של הדבקות, שהתבצעו בעיקר בהולנד. כלי פתיחת ההצפנה, שפותחו במיוחד לשם כך ע"י מעבדת קספרסקי ואינטל סקיוריטי מסייעים לקורבנות לשחרר את הקבצים המוצפנים שלהם מבלי לשלם דמי כופר. צפוי, שיותר מפתחות יתווספו לכלי בקרוב.
WildFire
לאור העובדה, ש-90% מההדבקות נרשמו בהולנד, נראה, שכלי הכופר
WildFire מתמקד בעיקר בהולנד. אפיק ההתקפה של
WildFire דומה ל-
Zyklon ו-
GNLocker: הודעת ספאם בדואר אלקטרוני המגיעה בשם חברת תובלה נשלחת משרתים שנפרצו. ההודעה מציינת, שנכשל משלוח, והנמען מתבקש, באמצעות קובץ וורד להורדה, לתאם זמן חדש למשלוח. ברגע שהנמען פותח את קובץ הוורד, פונקציית מקרו מופעלת, הקוד הזדוני יורד למכשיר ומותקן ולאחר מכן
WildFire מצפין את הקבצים במחשב. דרישת הכופר מתחילה בסביבות 300 דולרים לקורבן, אבל אם הוא לא משולם תוך 8 ימים הסכום מוכפל.
במקביל, משטרת הולנד ומשרד התובע הלאומי פעלו להפלת שרת
WildFire כדי שקורבנות חדשים לא יפלו בפח. משלב זה, מחשבים, שהודבקו ב-
,WildFire כבר אינם מסוגלים להתחבר לשרתי העבריינים, ובמקום זאת הם יקבלו הודעה, שהדומיין הזדוני נתפס ע"י משטרת הולנד ושניתן לבקר ב-
NoMoreRansom.org כדי להוריד את הכלי לפתיחת ההצפנה ולשחרר את הנתונים ללא תשלום דמי כופר.
פורטל
No More Ransom כבר מכיל כמעט 1,600 מפתחות זמינים עבור קורבנות
WildFire, ומפתחות נוספים צפויים כאמור להתווסף לכלי בקרוב. הפורטל גם מכיל 5 כלים נוספים לפתיחת הצפנה של תוכנות כופר מסוגים אחרים, כשהאחרון שבהם פותח ביולי 2016 נגד
Shade ו-
Chimera.
ג'ון פוקר, מתאם הצוות הדיגיטלי ביחידת פשעי ההייטק הלאומית בהולנד: "לכידת מפתחות ההצפנה של
WildFiire מוכיחה פעם נוספת, שלחימה בפשיעת סייבר, ובעיקר בתוכנות כופר, היא מוצלחת יותר באמצעות שיתוף פעולה. משטרת הולנד שואפת לסייע לקורבנות התקפות כופר באמצעות חקירת מקרי כופר, הפלת תשתיות של הפושעים והפצת המפתחות לשחרור ההצפנה. עם זאת, גיבוי של קבצים אישיים הוא עדיין האסטרטגיה הטובה ביותר כנגד מתקפות כופר".
יורנט ואן דר וויל, חוקר אבטחת מידע בצוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי: "ישנה חשיבות גדולה לכך, ששותפים רבים ככל האפשר ישלבו כוחות כדי לדכא סוג זה של תוכנות כופר. אנו מתקדמים היטב, אבל זו רק ההתחלה, ובאמצעות שיתוף פעולה הדוק נוכל להשיג הרבה יותר".
לינק לכלי שחרור ההצפנה - https://www.nomoreransom.org/decryption-tools.html