מכת תוכנות הכופר: מי בראש דירוג הסיכונים? קבלו את הרשימה המלאה

Google+ Pinterest LinkedIn Tumblr +

 
ארז שטנג ארכיטקט ראשי ב-Secozבחודשים האחרונים אנחנו עדים להתגברות די מטרידה של מתקפות בתחום תוכנות הכופר המופצות למחשבים פרטיים ואף עסקיים. בחודש פברואר 2016 נשברו שיאים בתחום זה עם עליה עקבית של כ-30% חודשיים. היקף שמעריכים המומחים צפוי רק לעלות. לפי דיווחי חברת אבטחת המידע ESET רק 38% מהחברות בעולם בעלות יכולת לשחזר באופן מלא נתוני דאטה חיוניים אם יחוו מתקפת כופר, כאשר 13% מהחברות מודות שמתקפה כזו תשתק באופן כמעט מוחלט את פעילות העסק ותביא לאובדן קריטי של מידע. 49% מהחברות יוכלו במידת מה לשחזר חלק מהמידע שלהן במידה ולמחרת בבוקר תבוא עליהן הרעה.

ארז שטנג, ארכיטקט סייבר בכיר בחברת Secoz ממפה את וירוסי ותוכנות הכופר שמציפים את השוק העסקי ואפילו הפרטי בחודשים האחרונים ומספק מידע מקצועי ונגיש להתמודדות היעילה איתם:

"מלבד ההטרדה שבהדבקות באחד מוירוסי הכופר, מדובר בפגיעה ממשית במוניטין וביכולת לספק שירות ללקוחות עד כדי פגיעה בתפקוד ובהמשכיות העסקית של החברה", אומר שטנג.

"בנוסף, ניתן לציין כי הקבוצה הדומיננטית הפועלת כיום בתחום זה היא קבוצה בשם Armoda Collective שמזוהה בעיקר בהעברת דוא"ל עם דרישה לתשלום כופר שבוע לפני תחילת המתקפה עם איום ודרישה לתשלום. התקיפה מבוצעת ללא תלות במענה שמתקבל. בצורה זו בלבד הצליחה הקבוצה להשיג 27 מיליון דולר בין 14 לאוגוסט ל-דצמבר15.

הערכה היא כי מאחורי קבוצה זו עומדת מדינה, כשברקע פועלת קבוצה נוספת בשם ddub4  הדומה מאוד באופן פעילותה לקבוצת Armoda. בינואר האחרון נעצרו 2 פעילים המזוהים עם הקבוצה ולכן אין ודאות אם מדובר בקבוצה המקורית או בחיקוי\כיסוי אחר.

מספר תוכנות כופר נחשבות למובילות ולדומיננטיות כיום. שמות כמו:eslaCrypt, Locky, CryptoLockerהם כבר שמות נפוצים בשיח היום יומי של מנהלי אבטחת מידע ומנהלי מערכות מידע. תוכנות אלה עוברות שינויים ועדכונים כדי לשרוד ולהצליח להתחמק ממערכות הגנה שונות.  זו מלחמה יום יומית בין חברות האנטי-וירוס, חברות אבטחת מידע נוספות בעולם ובין קבוצות או ארגונים הפועלים לטובת השגת רווח כספי מתוכנות אלה.

נכון להיום הארגונים המייצרים ומפעילים את מערכות ה- הצפנה-כופר הנ"ל מרוויחים סכומים אדירים בשנה והמודל שלהם מצליח מאוד. זו הסיבה שלא נראה שיש בעתיד הצפוי סיכוי כלשהו להפסקת פעילותם. להפך. המצב רק יחריף ויחמיר.

מניסיונה של חברת Secoz, ובהתאם להערכתה המקצועית גובשה הטבלה הזו הכוללת את רשימת האיומים ואת פוטנציאל הנזק שלהם:

 

רמת סיכון דרכי הדבקה יעדי הדבקה שם תוכנת הכופר

קריטי
כלים אלו פעילים בימים אלו בארץ
1.מסמכי office או PDF המצורפים לדוא"ל

 

2.  מסמכי office נגועים להורדה מאתרים שנפרצו באינטרנט

תחנות ושרתי
windows
Locky
1. דוא"ל  המכיל קישורים לאתרי אינטרנט

2. אתרים נגועים או הכוללים פרסומות נגועות בגורם המדביק מחשבים הגולשים אל הנ"ל

תחנות ושרתי
windows
TeslaCrypt 3.0  

 

גבוהה

משפחה זו ותיקה באופן יחסי ורוב מוצרי האנטיוירוס ידעו לזהות אותה
תחנות ושרתי
windows
CryptoLocker 4.0
בינוני-נמוך

משפחה זו ותיקה באופן יחסי  ורוב מוצרי האנטי-וירוס + anti-spam ידעו לזהות אותה

1. דוא"ל  המכיל קישורים לאתרי אינטרנט (SPAM) תחנות ושרתי
windows
TorrentLocker  

 

 

 

1. דוא"ל  המכיל קישורים לאתרי אינטרנט (SPAM)
והורדת קבציZIP  אל המחשב , ובהם הוירוס.
תחנות ושרתי
windows
CTB-Locker
בינוני-נמוך

משפחה זו ותיקה באופן יחסי  ורוב מוצרי האנטי-וירוס למכשירים סלולאריים ידעו לזהות ולהסיר אותה

התקנת תוכנות נגועות ל-Android שלא דרך חנות האפליקציות הרשמית שלgoogle. Android SimpLocker
גבוהה

 

אתרים עלולים להיחשף לסיכון זה לקראת אירוע:

OpIsrael 2016
המתוכנן ל- 7 לאפריל

פריצה לאתרי אינטרנט לא מאובטחים והחלפת דף הבית
Index.phpהמקורי בדף מיוחד המכיל את קוד ההצפנה
אתרי אינטרנט התומכים בדפי
PHP
CTB-Locker for Websites

איך תדעו אם נדבקתם ?

כל אחת ואחת מתוכנות הכופר משאירה אחריה קבצים מוצפנים ודפי הנחייה למשתמש כיצד לשלם את הכופר לצורך שחזור המידע. ההמלצה היא לבצע חיפוש אקטיבי ואוטומטי כדי לזהות מבעוד מועד השתלטות של אחת התוכנות והפעלת ההצפנה.

_H_e_l_p_RECOVER_INSTRUCTIONS*.* *.mp3 DecryptAllFiles*.txt
recover_file_*.txt .locky AllFilesAreLocked*.bmp
_Locky_recover*.* *.ctbl2 .encrypted
DECRYPT_INSTRUCTIONS.html *.ctbl HELP_RECOVER_INSTRUCTIONS*.*
INSTRUCCIONES_DESCIFRADO.html *.VSCRYPT How_Decrypt.*
ISTRUZIONI_DECRITTAZIONE.html .vvv HowDecrypt.txt
ENTSCHLUSSELN_HINWEISE.html .exx *.kraken
ONTSLEUTELINGS_INSTRUCTIES.html .ezz *.darkness
INSTRUCTIONS_DE_DECRYPTAGE.html .ecc *.nochance
SIFRE_COZME_TALIMATI.html .ccc *.oshit
DESIFROVANI_POKYNY.html .xyz *.oplata@qq_com
*.BLOC .zzz *.relock@qq_com
*.KORREKTOR  .aaa *.crypt
*.INFECTED .abc *.helpdecrypt@ukr.ne
*.KORREKTOR .abcor *.pizda@qq_com
.xxx .micro recover_file_*.*
.ttt

 

מידע נוסף להתמודדות עם Locky

  • בתוכנת האנטי-וירוס הארגונית – מומלץ לוודא שניתן לסרוק ולנטרל מסמכים המכילים MARCO. בחלק ממוצרי האנטי-וירוס ישנה התייחסות ייעודית לנושא  office documents macro security.
  • החידוש הייחודי כיום הוא עם התפרצותו של Locky, שבניגוד לקודמים שידעו להתחבר לכונני רשת בתחנות המשתמשים ומשם להצפין קבצים בשרתים,  Locky יודע גם להתחבר ל: " unmapped network shares "  שיתופי רשת שאינם מקושרים למחשב העובד, כך שהיקפו ויכולת גרימת הנזק שלו גדול מאוד.
  • המלצות נוספות באתר Microsoft

https://blogs.technet.microsoft.com/mmpc/2016/02/24/locky-malware-lucky-to-avoid-it/

 טיפים להתמודדות והתגוננות

  • בצעו גיבוי לקבצים באופן סדיר ואמין

o        ודאו שמערכות האנטי-וירוס הארגוניות, מערכות סינון הגלישה וסינון הדוא"ל, מוגדרות היטב.

o        ודאו שהגיבויים למידע שלכם תקינים ועדכניים.

o        בדקו שניתן בפועל להשתמש בגיבוי לצורך שחזור מידע.

o        שמרו עותקי גיבוי על מדיה חיצונית.

 

  • בצעו עדכוני תוכנה באופן סדיר

הקפידו לעדכן את תחנות העבודה בעדכוני התכנה האחרונים של Microsoft וכן של תוכנות נלוות שהותקנו.

o        קיימים כיום כלי עזר שיכולים לסייע במשימה זו, כמו למשל patchmypc הניתנת להורדה בחינם ויכולה לסייע לכל מחשב, בבית ובמשרד בעדכוני תוכנות צד ג'.

 

  • הגבירו את המודעות, הימנעו מפתיחת קישורים לאתרים המופיעים בדואר אלקטרוני

קיבלתם דוא"ל חריג? מופיע בדוא"ל קישור למבצע או קופון מיוחד? קיבלתם חשבונית או קבלה לתשלום שנראית לכם חריגה או שמגיעה ממקור שאיתו אין לכם התקשרות עסקית? אז כן. התגברו על הסקרנות ואל תפתחו את הלינק. או הקובץ.

 

  • הגנו על סביבת Microsoft Office

בטלו יכולות ActiveX ו- Macro בתוך מסמכי office

 

  • השתמשו בכלי הגנה נוספים היכן שניתן    **** מומלץ מאוד ****

ניתן להוסיף רמת הגנה נוספת על מחשבים גם למשרד וגם לבית
(לא מזיק – ואולי אפילו יעזור).

קיימים כיום 2 כלים שניתן להתקין בחינם ויתנו "עוד שכבת הגנה" על תחנות עבודה בבית ובמשרד.

o        CryptoPrevent

o        Malwarebytes Anti-Ransomware

בתמונה: ארז שטנג, ארכיטקט סייבר ראשי ב-Secoz

שתף.

.