המדריך

מתקפת כופר: איך זה נראה ומה לעשות אם לחצתם בטעות?

כ-450,000 מתקפות כופרה נרשמות בישראל מדי חודש, בעיקר באמצעות התוכנות Cryptowall ו-Loky. מה אפשר לעשות ברגע ההדבקה ואיך לנסות להתמודד לבד עם ההצפנה של המחשב או הסמארטפון שלכם? הטיפים האלה עשויים לסייע לכם ברגעי המשבר

אורן דותן
צילום מסך

תוכנות הכופר (ransomware) מופצות על ידי עברייני סייבר כבר כמה שנים ומשמשות לסחיטת כספים; בשנה האחרונה הן הפכו לפופולריות במיוחד בעולם וגם בישראל מדווחים מדי חודש על מאות אלפי תקיפות של מחשבים וסמארטפונים.

הכופרות מוגדרות כתוכנות FileCoder ובפועל הן מצפינות קבצים בקידודים שונים, תוך שהן מגינות על מפתח ההצפנה באמצעות קידוד נוסף, מה שמונע פריצה של הקידוד באמצעים רגילים. כדי להוסיף על הקושי בפריצת הכופרות, מאוחסנים מפתחות ההצפנה בשרתים מרוחקים.

התוכנות הזדוניות מצפינות מסמכים ותמונות בהתקנים שנפלו קורבן וחלקן אף מצפינות קבצים שגובו בכונן חיצוני או בענן, אם יש חיבור קבוע להתקן. לאחר מכן מופיעה הודעה על גבי שולחן העבודה, או בקובץ שנוצר בכל התיקיות המוצפנות, עם דרישה לתשלום סכום שנע בין מאות לאלפי דולרים בתמורה למפתח ההצפנה שמאפשר שחזור של הקבצים.

עוד בוואלה! NEWS

כשפופקורן דג פוגש את הדיקסי

רון יוחננוב
לכתבה המלאה

לדברי אמיר כרמי, מנהל הטכנולוגיות בחברת ESET ישראל, בכל מקרה מומלץ שלא לשתף פעולה עם העבריינים הדורשים כופר. "במקרים רבים, גם לאחר תשלום הכופר, לא מועבר מפתח ההצפנה ולא ניתן לפתוח את הקבצים. כמו כן, הפעולה תעודד את העבריינים לתקוף את המחשב או הרשת בהמשך".

במרבית המקרים המשתמשים מודבקים באמצעות מייל שמתחזה להודעת פקס, חבילה, הודעה קולית או חשבונית עם קובץ מצורף, ובעת ההפעלה הקובץ הזדוני מתחיל לפעול מאחורי הקלעים. הוא מוחק את עצמו, מצפין את הקבצים ומחליף את תמונת הדסקטופ.

בחלק מהמקרים ההדבקה מתבצעת באמצעות JAVA Script באתרי אינטרנט לגיטימיים שמודבקים, או מתוך אתרים נגועים שהמשתמשים מקבלים אליהם הפניה ממיילים או רשתות חברתיות.

במקרים פחות נפוצים לא מעורבת כלל נוזקה במתקפה, והיא מתבצעת דרך שולחן עבודה מרוחק (RDP); כשחיבור Remote Desktop פתוח ברשת עם סיסמה פשוטה יחסית, התוקפים בדרך כלל מסירים את תוכנת האנטי-וירוס ומריצים ידנית את תוכנת הכופר.

למי שמנסה להתמודד לבד עם המתקפה, חלק מנזקי תוכנות הכופר ניתנים לשחזור באמצעות כלים חינמיים של ESET; כרגע זמינים כלים להתמודדות עם שש משפחות של תוכנות Filecoder.

למה אתה עושה לי את זה?! (צילום מסך)

לדבריו מומלץ לנסות לשחזר את הקבצים מגיבוי לאחר שווידאתם שאין וירוס פעיל עדיין (כאמור, הכופרה מוחקת את עצמה לאחר ההצפנה). אפשרות נוספת היא לשחזר את הקבצים מתוך shadow copy, במידה והפעלתם את האפשרות הזו בווינדוס (מדריך).

אם אתם מזהים שהתחיל תהליך של הצפנת קבצים על המחשב, צריך לכבות אותו מיד בכוח (עם הכפתור הפיזי או ניתוק מהחשמל, ולא באופן מסודר דרך כפתור "התחל" בשולחן העבודה). זה קצת קשה יותר עם מחשב נייד, אבל בסמארטפון אפשר פשוט לשלוף את הסוללה אם האפשרות הזו קיימת בנייד שלכם.

"זה יעצור את תהליך ההצפנה של הקבצים וחשוב שלא להדליק את המחשב לאחר מכן, אלא להתייעץ עם מומחה כיצד לחלץ את שאר הקבצים שלא הוצפנו בלי העלאה רגילה של המחשב", מבהיר כרמי.

"יש כמה פעולות שניתן ליישם, במרבית המקרים, אבל צריך לקחת בחשבון שקיימים עשרות סוגים של תוכנות כופר כיום וכל אחת מהן פועלת בדרך שונה במקצת. בישראל הכופרות הכי פופולריות הן Cryptowall ו-Loky.

אל תשתפו פעולה עם התוקף ואל תשלמו את כופר הביטקוין. (צילום: ShutterStock)

בשלב הראשון אחרי ההצפנה חייבים להבין מאיזו משפחה של תוכנות כופר נפגע המחשב; את זה ניתן להסיק מהנוסח והעיצוב של הודעת הכופר. לאחר מכן צריך לבדוק מה הסיומות שמקבלים כל הקבצים שהוצפנו (פירוט לדוגמה בסוף הכתבה) - לפי זה ניתן להסיק באיזה ווריאנט מדויק נדבק המחשב, ולהבין אם ואיך ניתן לפצח את ההצפנה על ידי מומחה. חשוב להבהיר שלכל משפחת כופרות יש עשרות סיומות אפשריות ומתוקף היותם וירוסים, כל גרסה עוברת מוטציה קלה מהגרסה הקודמת.

חלק מהכופרות מוחקות את אפשרות השחזור אבל בחלק מהמקרים ניתן לשחזר את המחשב למצב שלפני ההצפנה עם system restore. קיימות גם תוכנות כופר המעתיקות את הקבצים המקוריים, מצפינות את העותק, ומוחקות את העותק המקורי - במקרים האלה ניתן להשתמש בתוכנות שחזור כדי לשחזר את המידע.

סיומות אפשריות רק של משפחת Cryptowall בגרסה 3.0:

sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg,.txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

טרם התפרסמו תגובות

הוסף תגובה חדשה

בשליחת תגובה אני מסכים/ה
    לוגו - פיקוד העורףפיקוד העורף

    התרעות פיקוד העורף

      walla_ssr_page_has_been_loaded_successfully