שתי תוכנות כופר מוכרות עושות קאמבק
מאת:
מערכת Telecom News, 20.8.17, 14:39
הן חזרו עם גרסאות חדשות ומזיקות יותר מאי פעם. פגיעות תועדו גם בישראל. למרבה הצער, בשלב זה אין אפשרות לשחזר את הקבצים המוצפנים. איך מתגוננים?
תוכנות הכופר נמצאות איתנו כבר כמה שנים, אבל לאחרונה הפכו לאיום ממשי עבור עסקים גדולים, מוסדות פיננסיים, בתי חולים וגם מחשבים פרטיים ברחבי העולם. בינתיים, פושעי הסייבר מרוויחים מיליוני דולרים.
רק בחודשים האחרונים, ראינו גל של התקפות כופר כולל
, WannaCryPetya, שגרמו לכאוס ברחבי העולם ע"י השבתת בתי חולים, תעשיות ייצור הרכב, תקשורת, בנקים ועסקים רבים.
לפני
WannaCry ו-
Petya, היתה
,Mamba שהצפינה באופן מלא את הדיסק קשיח ואת נוזקת הכופר
,Locky שעשתה כאוס ברחבי העולם בשנה שעברה. החדשות הרעות עכשיו הן, שנוזקות הכופר האלו חזרו עם גרסאות חדשות ומזיקות יותר מאי פעם.
תוכנת הכופר Locky
בתחילת 2016,
Locky נפוצה בישראל וברחבי העולם והייתה לנוזקת הכופר עם התפוצה הגדולה ביותר בקרב עסקים.זאת, ע"י פיתוי קורבנות להוריד קובץ זדוני, שהופץ במייל.
Locky הצפינה כמעט את כל סוגי הקבצים במחשב וברשת וכדי לשחררם דרשו התוקפים סכום כופר בביטקוין. מאז עשתה נוזקת הכופר המפורסמת מספר קאמבקים, שהופצו בסוגים שונים.
כעת, חוקרי אבטחה זיהו
קמפיין ספאם חדש המפיץ את הגרסה החדשה של נוזקת הכופר המוכרת
Locky, ונקראת בגרסתה החדשה בשם
Diablo6. רוב ההתקפות התמקדו בארה"ב ועדויות לנפגעים מהגרסה החדשה של הנוזקה תועדו גם ב
ישראל. כך, עפ"י חברת אבטחה המידע
ESET.
חוקר אבטחה עצמאי, המשתמש בכינוי המקוון
Racco42,
זיהה לראשונה את הגרסה החדשה של
Locky, שמקודדת קבצים במחשבים נגועים ומציינת את סיומת הקובץ .
diablo6.
כמו בגרסאות הקודמות, הגרסה החדשה מגיעה בהודעת דוא"ל המכילה קובץ
Word מצורף, כאשר פותחים אותו, נוזקת הכופר מצפינה את הקבצים. על המחשב הנגוע מופיעה הודעה המנחה את הקורבנות לבקר באתר של התוקפים לקבלת הוראות ותשלומים נוספים.
הדרישה מהקורבנות היא סכום של 0.49
ביטקוין (כ-2,079 דולרים) כדי לקבל את הקבצים שלהם בחזרה.
למרבה הצער, בשלב זה אין אפשרות לשחזר את הקבצים המוצפנים. כך, שמשתמשים צריכים לנקוט משנה זהירות בעת פתיחת קבצים מצורפים דוא"ל.
גרסה חדשה לתוכנת הכופר Locky, מתוך: thehackernews.com
תוכנת הכופר Mamba
Mamba היא סוג אחר של נוזקת כופר המצפינה את הדיסק הקשיח כולו במקום את הקבצים. המשמעות של הצפנת הדיסק הקשיח היא השבתה כוללת של המחשבים (בניגוד להצפנת קבצים, אז המחשב ממשיך לתפקד ורק הקבצים לא נגישים) אלא אם ישולם כופר.
טכניקות דומות היו בשימוש ע"י התקפות כופר אחרות, כולל
Petya ו-
WannaCry, אבל נוזקת הכופר
Mamba תוכננה ממש להרס של תאגידים ו
ארגונים גדולים, ולא רק כדי לסחוט ביטקוין.
בשנה שעברה למשל,
Mamba הדביקה את רשת מערכת התחבורה העירונית של סן פרנסיסקו (
MUNI) במהלך סוף השבוע של חג ההודיה, וגרמה לעיכובים גדולים ברכבת והכריחה גורמים רשמיים לסגור מכונות כרטיסים ולפתוח שערים בתחנות מסוימות בחינם.
עכשיו, חוקרי אבטחה
זיהו קמפיין חדש של הפצת Mamba, שמתמקד ברשתות ארגוניות של מדינות, בעיקר בברזיל וערב הסעודית.
אמנם לא ברור איך הגרסה החדשה מוצאת את דרכה לרשת ארגונית, אך החוקרים מאמינים, שכמו רוב הווריאנטים הקודמים של
Mamba, הנוזקה חודרת באמצעות אתרים פגומים או זדוניים או באמצעות קבצים מצורפים זדוניים, שנשלחו באמצעות דוא"ל.
הודעת דרישת הכופר לא מופיעה מיד עם ההצפנה. ההודעה, שמוצגת על מסך המחשב הנגוע, מודיעה, שהכונן הקשיח של הקורבן הוצפן ומציעה 2 כתובות דוא"ל ומספר מזהה ייחודי כדי לפתוח את ההצפנה.
Mamba תקפה את מערכת התחבורה בסן פרנסיסקו. מתוך: thehackernews.com
כך מתגוננים ממתקפת כופר
תוכנות כופר הפכו לאחד האיומים הגדולים ביותר על אנשים פרטיים וארגונים כאשר בחודשים האחרונים היו כמה התפרצויות רחבות שלהן ברחבי העולם.
נכון לעכשיו, אין מפתחות הצפנה זמינים לשחרר את הקבצים, שהוצפנו ע"י
Locky או לשחרר את הדיסק הקשיח, שהוצפן ע"י
Mamba . כדי להימנע ממקרים אלה, מומלץ למשתמשים לבצע מספר פעולות:
- היזהרו מהודעות פישינג בדוא"ל - תמיד חשדו במסמכים מצורפים, שנשלחו בדוא"ל ואל תלחצו על קישורים בתוך מסמכים אלה, אלא אם אתם מזהים את המקור, ששלח אותם.
- גבו באופן קבוע - כדי שתהיה שליטה על כל הקבצים והמסמכים החשובים, הקפידו על שגרת גיבוי טובה, העבירו את עותק הגיבוי שלכם להתקן אחסון חיצוני, שאינו מחובר באופן קבוע למחשב.
- עדכנו את תוכנת האנטי-וירוס ומערכת ההפעלה שלכם - שמרו תמיד את תוכנת האנטי-וירוס ומערכות האבטחה מעודכנות כדי להגן מפני האיומים החדשים ביותר.