איום "תוכנות הכופר": ישראל תחת מתקפה
"סצינת תוכנות הכופר" ממשיכה להתחזק ולהשתכלל: 34% מהאיומים המכוונים כלפי ישראל הם מסוגים שונים של תוכנות כופר • הכירו את האיום החדש
- אלי שלזינגר
- ט' תמוז התשע"ו
pixabay
שוק תוכנות הכופר רק הולך ומתחזק – 34% מהאיומים על ישראל על פי נתוני חברת אבטחת המידע ESET הם מסוג נוזקות כופר, כאשר רק ביממה האחרונה נמצאה עלייה אף ל-40%. שוק תוכנות הכופר ממשיך להתפתח ובחברה עדים למספר תוכנות חדשות ומתוחכמות יותר בדרך פעולתן.
במהלך הימים האחרונים מפתחי תוכנת הכופר Locky הגבירו את פעילותם והפיצו למעלה מ-120 אלף מיילים המכילים קבצים זדוניים. כאשר הקובץ נפתח הוא מתקין גרסה חדשה של הנוזקה שיכולה לעבוד ללא חיבור לאינטרנט. בדומה ל"קמפיינים" קודמים של סוג תוכנת כופר זה, מדובר בשליחת קבצי ZIP שמכילים קובץ ג'אווה סקריפט המתקין את עצמו על המחשב.
הגרסה החדשה של Locky שונה מאוד מגרסאות קודמות שנזקקו לחיבור לאינטרנט כדי להתחיל את תהליך הצפנת הקבצים במחשב. מנהלי הרשת שידעו זאת כיבו את הגישה לאינטרנט כאשר הם גילו התחלה של תהליך זה ברשת. כך הם הצליחו לעצור את הפגיעה במחשבים נוספים. מפתחי הנוזקה מצאו כעת דרך לעקוף מגבלה זו באמצעות פעולה באופן בלתי מקוון. כמו כן, כעת המפתחים יכולים לדרוש כופר כספי גבוה מ"המקובל" לשחרור הצפנת הקבצים כיוון שהם יצליחו להדביק הרבה יותר מחשבים בארגונים.
כך נראה צילום מסך של מחשב שנפגע מתוכנת הכופר
תוכנת כופר חדשה נכנסה לשוק הנוזקות – תכירו את Ranscam – תוכנת כופר שלא מצפינה בדומה לתוכנות הכופר האחרות את הקבצים, אלא מוחקת אותם לצמיתות מן המחשב ואז דורשת כסף עבורם. בנוסף לכך תוכנת הכופר לא משחררת את הקבצים בחזרה גם לאחר תשלום, אז אין טעם לשלם את הכופר, הקבצים הולכים לטמיון.
התוכנה לא מכבדת את הכלל הבלתי כתוב של תוכנות כופר – להשיב בחזרה את מפתח ההצפנה או את הקבצים לאחר תשלום הכופר. אם כי ידוע שלא תמיד הכלל הזה מכובד באופן כללי על ידי פושעי הרשת. רבים כן מקפידים לתת את מפתח ההצפנה כדי לא לאבד את אמון הקורבנות בכך שתמורת התשלום הם יקבלו אותו. זה חלק מ"המודל הכלכלי שלהם". למרבה הצער, זה לא המקרה עם Ranscam, הקבצים נמחקים ותשלום הכופר לא יועיל.
Ranscam לא רק מוחק את הקבצים מן המחשב, אלא גם מסיר את הפיצ'ר שאחראי בווינדוס על תכונת שחזור המערכת, עותקי shadow וכמה מפתחות רישום שמקושרים עם מצב של אתחול במצב בטוח. בנוסף, תוכנת הכופר משנה מפתחות רישום בכוונה להשבית את מנהל המשימות וגם, לקינוח, משנה את מפת המקלדת.
"תוכנות הכופר מבטיחות הכנסה גבוהה וישירה לעבריינים במרחב הקיברנטי, ולכן הן משתלטות בשנים האחרונות על תחום הנוזקות", אומר אמיר כרמי מנהל טכנולוגיות בחברת ESET ישראל. "ההכנסה הגבוהה שהן מספקות לעבריינים מאפשרת להם להשקיע בפיתוח קוד ותשתית מתקדמים, וכך מודבקים ברחבי העולם עשרות אלפי מחשבים מידי יום. חשוב לגלות ערנות בעיקר בפתיחת קבצים מצורפים למיילים, שזו השיטה שבה 95% מהקורבנות נפגעים".
במהלך הימים האחרונים מפתחי תוכנת הכופר Locky הגבירו את פעילותם והפיצו למעלה מ-120 אלף מיילים המכילים קבצים זדוניים. כאשר הקובץ נפתח הוא מתקין גרסה חדשה של הנוזקה שיכולה לעבוד ללא חיבור לאינטרנט. בדומה ל"קמפיינים" קודמים של סוג תוכנת כופר זה, מדובר בשליחת קבצי ZIP שמכילים קובץ ג'אווה סקריפט המתקין את עצמו על המחשב.
הגרסה החדשה של Locky שונה מאוד מגרסאות קודמות שנזקקו לחיבור לאינטרנט כדי להתחיל את תהליך הצפנת הקבצים במחשב. מנהלי הרשת שידעו זאת כיבו את הגישה לאינטרנט כאשר הם גילו התחלה של תהליך זה ברשת. כך הם הצליחו לעצור את הפגיעה במחשבים נוספים. מפתחי הנוזקה מצאו כעת דרך לעקוף מגבלה זו באמצעות פעולה באופן בלתי מקוון. כמו כן, כעת המפתחים יכולים לדרוש כופר כספי גבוה מ"המקובל" לשחרור הצפנת הקבצים כיוון שהם יצליחו להדביק הרבה יותר מחשבים בארגונים.
כך נראה צילום מסך של מחשב שנפגע מתוכנת הכופר
תוכנת כופר חדשה נכנסה לשוק הנוזקות – תכירו את Ranscam – תוכנת כופר שלא מצפינה בדומה לתוכנות הכופר האחרות את הקבצים, אלא מוחקת אותם לצמיתות מן המחשב ואז דורשת כסף עבורם. בנוסף לכך תוכנת הכופר לא משחררת את הקבצים בחזרה גם לאחר תשלום, אז אין טעם לשלם את הכופר, הקבצים הולכים לטמיון.
התוכנה לא מכבדת את הכלל הבלתי כתוב של תוכנות כופר – להשיב בחזרה את מפתח ההצפנה או את הקבצים לאחר תשלום הכופר. אם כי ידוע שלא תמיד הכלל הזה מכובד באופן כללי על ידי פושעי הרשת. רבים כן מקפידים לתת את מפתח ההצפנה כדי לא לאבד את אמון הקורבנות בכך שתמורת התשלום הם יקבלו אותו. זה חלק מ"המודל הכלכלי שלהם". למרבה הצער, זה לא המקרה עם Ranscam, הקבצים נמחקים ותשלום הכופר לא יועיל.
Ranscam לא רק מוחק את הקבצים מן המחשב, אלא גם מסיר את הפיצ'ר שאחראי בווינדוס על תכונת שחזור המערכת, עותקי shadow וכמה מפתחות רישום שמקושרים עם מצב של אתחול במצב בטוח. בנוסף, תוכנת הכופר משנה מפתחות רישום בכוונה להשבית את מנהל המשימות וגם, לקינוח, משנה את מפת המקלדת.
"תוכנות הכופר מבטיחות הכנסה גבוהה וישירה לעבריינים במרחב הקיברנטי, ולכן הן משתלטות בשנים האחרונות על תחום הנוזקות", אומר אמיר כרמי מנהל טכנולוגיות בחברת ESET ישראל. "ההכנסה הגבוהה שהן מספקות לעבריינים מאפשרת להם להשקיע בפיתוח קוד ותשתית מתקדמים, וכך מודבקים ברחבי העולם עשרות אלפי מחשבים מידי יום. חשוב לגלות ערנות בעיקר בפתיחת קבצים מצורפים למיילים, שזו השיטה שבה 95% מהקורבנות נפגעים".
תגובות
{{ comment.number }}.
הגב לתגובה זו
{{ comment.date_parsed }}
{{ comment.num_likes }}
{{ comment.num_dislikes }}
{{ reply.date_parsed }}
{{ reply.num_likes }}
{{ reply.num_dislikes }}
הוספת תגובה
לכתבה זו טרם התפרסמו תגובות