וירוס כופר

נפגעת מוירוס כופר? הגעת למקום הנכון!

​

וירוס כופר

בשנים האחרונות אנו עדים לצמיחה עצומה בכמויות התקיפות של וירוסי כופר שונים. תחילה, יש להבין כי לרוב מדובר בתקיפה לצורך כלכלי, כלומר התוקף לוקח את המידע הקיים ומצפין אותו ודורש מהמותקף תשלום כופר על מנת לשחרר את המידע.

 

אחד מלקוחותינו התקשר בבהילות לקוח ובלחץ רב (ובצדק): "תשמע, השתלטו לי על המחשב" הוא טען, "המידע שיש לי בכוננים רגיש. תוכל לעזור לי?". תוך מספר דקות נשלחה קריאה דחופה לצוות מהנדסי אבטחת המידע במעבדה. הצוות התחבר לשרתים והתחלנו בפרויקט ההצלה שניתן לו השם – מבצע שולמן". 

 

מהו וירוס כופר?

בדרך כלל, התוקפים חוקרים באופן ספציפי ומכוונים למטרה גם בהזמנה מראש. הקבצים הרגישים מוצפנים באמצעות וירוס כופר, ואז מגיעה הדרישה לכסף. הרבה כסף הם ידרשו כדי לשחזר את הקבצים. לתוקף יש בדרך כלל רשימה של סיומות קבצים או את מיקומי התיקיות וקוד הכופר ימקד את ההצפנה בדיוק למקום הכי רגיש בכונן. בשל ההצפנה של הקבצים, כמעט בלתי ניתן לבצע פעולות הנדסת הצפנה או פיצוח קבצים ללא מפתח ההצפנה המקורי - אשר רק לתוקפים יש את הגישה.

 

העצה הטובה ביותר למניעה ושמירה על הלקוחות היא להבטיח סודיות מידע והגבלת גישה רגישה על ידי מומחי המעבדה העוסקים בכך שנים ארוכות ומכירים את שוק הפצחנים מקרוב. רמת הסודיות כגובה ערך המידע, קבצים חשובים מגובים באופן מאובטח מרחוק, וללא גישה למתקן גיבוי או אחסון. כידוע וירוס הכופר רושם עצמו ימים אף חודשים לפני הפעלתו בפועל ומתפקד כסוכן רדום שניתן להפעיל בכל עת.
 

ישנם קודים המחלצים את המידע הרגיש מהשרתים הרבה לפני שהודאת דרישת הכופר קפצה למשתמש, ואז כבר מאוחר מדי. הקבצים ברשות הפורצים עוד לפני דרישת התשלום. ישנן שיטות שחזור שונות אך זו חלופה זמנית לפריצה ולא פתרון גורף הנותן גיבוי לפריצות עתידיות.

לכן חשוב מאוד לשמור על המידע בעזרת בעלי מקצוע מיומנים – המעבדה לשירותכם. מבצע שולמן נחל הצלחה וכל המידע הרגיש הוחזר לבעליו, בנוסף נבדקה המערכת ונאטמו כל פרצות האבטחה שדרכן הגיעו הפורצים – החומר נשמר והמערכת ננעלה.
המבצע נחל הצלחה !!

 

וירוס כופר - פרטים טכניים

במקרים מסוימים, כלי צד שלישי שמפורסם על ידי חברות אבטחה מסוימות מסוגלות לפענח קבצים עבור כמה משפחות כופרות במיוחד. בכך יוצרות כלים FireEye and Fox-IT אשר יכולים לעזור לשחזר קבצים מוצפנים.
 

כופר נפוץ בעיקר בשרתים של האיטלקים בחוף המזרחי בארצות הברית כך שלדעתי אם יש לכם שרתים שם טוב שתדעו. החל מסוף 2015 ועד לרגעים אלה ממש רואים את עליית Tescrypt בעולם אך בעיקר במדינות שציינתי. Crowti עדיין תמיד בחמישייה הפותחת, יפה לצוות הזה, אך גם Brolo ו FakeBsod, עשו ועדיין עושים 7'1 באגרסיביות מחתרתית נאה ביותר, מי שהתחילו לרדת וניראה גם להתרסק הם דווקא הצוות שחיבבתי במיוחד Reveton, לא נורא, זאת רשימת הקודים שהצלחנו לשחזר מידע לאחר התקפתם, זה לא פריצת הקוד עצמו, כי אם פתרון שנון המפשיט את מטרת הקוד וגרורותיו:

• Ransom:HTML/Tescrypt.E

• Ransom:HTML/Tescrypt.D

• Ransom:HTML/Locky.A

• Ransom:Win32/Locky

• Ransom:HTML/Crowti.A

• Ransom:HTML/Exxroute.A

• Ransom:Win32/Cerber.A

• Ransom:JS/FakeBsod.A

• Ransom:HTML/Cerber.A

• Ransom:JS/Brolo.C