מוצרי אבטחת מידע
מכת תוכנות הכופר: מי בראש דירוג הסיכונים? קבלו את הרשימה המלאה
בחודשים האחרונים אנחנו עדים להתגברות די מטרידה של מתקפות בתחום תוכנות הכופר המופצות למחשבים פרטיים ואף עסקיים. בחודש פברואר 2016 נשברו שיאים בתחום זה עם עליה עקבית של כ-30% חודשיים. היקף שמעריכים המומחים צפוי רק לעלות. לפי דיווחי חברת אבטחת המידע ESET רק 38% מהחברות בעולם בעלות יכולת לשחזר באופן מלא נתוני דאטה חיוניים אם יחוו מתקפת כופר, כאשר 13% מהחברות מודות שמתקפה כזו תשתק באופן כמעט מוחלט את פעילות העסק ותביא לאובדן קריטי של מידע. 49% מהחברות יוכלו במידת מה לשחזר חלק מהמידע שלהן במידה ולמחרת בבוקר תבוא עליהן הרעה.
ארז שטנג, ארכיטקט סייבר בכיר בחברת Secoz ממפה את וירוסי ותוכנות הכופר שמציפים את השוק העסקי ואפילו הפרטי בחודשים האחרונים ומספק מידע מקצועי ונגיש להתמודדות היעילה איתם:
"מלבד ההטרדה שבהדבקות באחד מוירוסי הכופר, מדובר בפגיעה ממשית במוניטין וביכולת לספק שירות ללקוחות עד כדי פגיעה בתפקוד ובהמשכיות העסקית של החברה", אומר שטנג.
"בנוסף, ניתן לציין כי הקבוצה הדומיננטית הפועלת כיום בתחום זה היא קבוצה בשם Armoda Collective שמזוהה בעיקר בהעברת דוא"ל עם דרישה לתשלום כופר שבוע לפני תחילת המתקפה עם איום ודרישה לתשלום. התקיפה מבוצעת ללא תלות במענה שמתקבל. בצורה זו בלבד הצליחה הקבוצה להשיג 27 מיליון דולר בין 14 לאוגוסט ל-דצמבר15.
הערכה היא כי מאחורי קבוצה זו עומדת מדינה, כשברקע פועלת קבוצה נוספת בשם ddub4 הדומה מאוד באופן פעילותה לקבוצת Armoda. בינואר האחרון נעצרו 2 פעילים המזוהים עם הקבוצה ולכן אין ודאות אם מדובר בקבוצה המקורית או בחיקוי\כיסוי אחר.
מספר תוכנות כופר נחשבות למובילות ולדומיננטיות כיום. שמות כמו:eslaCrypt, Locky, CryptoLockerהם כבר שמות נפוצים בשיח היום יומי של מנהלי אבטחת מידע ומנהלי מערכות מידע. תוכנות אלה עוברות שינויים ועדכונים כדי לשרוד ולהצליח להתחמק ממערכות הגנה שונות. זו מלחמה יום יומית בין חברות האנטי-וירוס, חברות אבטחת מידע נוספות בעולם ובין קבוצות או ארגונים הפועלים לטובת השגת רווח כספי מתוכנות אלה.
נכון להיום הארגונים המייצרים ומפעילים את מערכות ה- הצפנה-כופר הנ"ל מרוויחים סכומים אדירים בשנה והמודל שלהם מצליח מאוד. זו הסיבה שלא נראה שיש בעתיד הצפוי סיכוי כלשהו להפסקת פעילותם. להפך. המצב רק יחריף ויחמיר.
מניסיונה של חברת Secoz, ובהתאם להערכתה המקצועית גובשה הטבלה הזו הכוללת את רשימת האיומים ואת פוטנציאל הנזק שלהם:
| רמת סיכון | דרכי הדבקה | יעדי הדבקה | שם תוכנת הכופר | |
קריטיכלים אלו פעילים בימים אלו בארץ |
1.מסמכי office או PDF המצורפים לדוא"ל
2. מסמכי office נגועים להורדה מאתרים שנפרצו באינטרנט |
תחנות ושרתי windows |
Locky | |
| 1. דוא"ל המכיל קישורים לאתרי אינטרנט
2. אתרים נגועים או הכוללים פרסומות נגועות בגורם המדביק מחשבים הגולשים אל הנ"ל |
תחנות ושרתי windows |
TeslaCrypt 3.0 |
|
|
| גבוהה משפחה זו ותיקה באופן יחסי ורוב מוצרי האנטיוירוס ידעו לזהות אותה |
תחנות ושרתי windows |
CryptoLocker 4.0 | ||
| בינוני-נמוך
משפחה זו ותיקה באופן יחסי ורוב מוצרי האנטי-וירוס + anti-spam ידעו לזהות אותה |
1. דוא"ל המכיל קישורים לאתרי אינטרנט (SPAM) | תחנות ושרתי windows |
TorrentLocker |
|
| 1. דוא"ל המכיל קישורים לאתרי אינטרנט (SPAM) והורדת קבציZIP אל המחשב , ובהם הוירוס. |
תחנות ושרתי windows |
CTB-Locker | ||
| בינוני-נמוך
משפחה זו ותיקה באופן יחסי ורוב מוצרי האנטי-וירוס למכשירים סלולאריים ידעו לזהות ולהסיר אותה |
התקנת תוכנות נגועות ל-Android שלא דרך חנות האפליקציות הרשמית שלgoogle. | Android | SimpLocker | |
| גבוהה
אתרים עלולים להיחשף לסיכון זה לקראת אירוע: OpIsrael 2016 |
פריצה לאתרי אינטרנט לא מאובטחים והחלפת דף הבית Index.phpהמקורי בדף מיוחד המכיל את קוד ההצפנה |
אתרי אינטרנט התומכים בדפי PHP |
CTB-Locker for Websites | |
איך תדעו אם נדבקתם ?
כל אחת ואחת מתוכנות הכופר משאירה אחריה קבצים מוצפנים ודפי הנחייה למשתמש כיצד לשלם את הכופר לצורך שחזור המידע. ההמלצה היא לבצע חיפוש אקטיבי ואוטומטי כדי לזהות מבעוד מועד השתלטות של אחת התוכנות והפעלת ההצפנה.
| _H_e_l_p_RECOVER_INSTRUCTIONS*.* | *.mp3 | DecryptAllFiles*.txt |
| recover_file_*.txt | .locky | AllFilesAreLocked*.bmp |
| _Locky_recover*.* | *.ctbl2 | .encrypted |
| DECRYPT_INSTRUCTIONS.html | *.ctbl | HELP_RECOVER_INSTRUCTIONS*.* |
| INSTRUCCIONES_DESCIFRADO.html | *.VSCRYPT | How_Decrypt.* |
| ISTRUZIONI_DECRITTAZIONE.html | .vvv | HowDecrypt.txt |
| ENTSCHLUSSELN_HINWEISE.html | .exx | *.kraken |
| ONTSLEUTELINGS_INSTRUCTIES.html | .ezz | *.darkness |
| INSTRUCTIONS_DE_DECRYPTAGE.html | .ecc | *.nochance |
| SIFRE_COZME_TALIMATI.html | .ccc | *.oshit |
| DESIFROVANI_POKYNY.html | .xyz | *.oplata@qq_com |
| *.BLOC | .zzz | *.relock@qq_com |
| *.KORREKTOR | .aaa | *.crypt |
| *.INFECTED | .abc | *.helpdecrypt@ukr.ne |
| *.KORREKTOR | .abcor | *.pizda@qq_com |
| .xxx | .micro | recover_file_*.* |
| .ttt |
מידע נוסף להתמודדות עם Locky
- בתוכנת האנטי-וירוס הארגונית – מומלץ לוודא שניתן לסרוק ולנטרל מסמכים המכילים MARCO. בחלק ממוצרי האנטי-וירוס ישנה התייחסות ייעודית לנושא office documents macro security.
- החידוש הייחודי כיום הוא עם התפרצותו של Locky, שבניגוד לקודמים שידעו להתחבר לכונני רשת בתחנות המשתמשים ומשם להצפין קבצים בשרתים, Locky יודע גם להתחבר ל: " unmapped network shares " שיתופי רשת שאינם מקושרים למחשב העובד, כך שהיקפו ויכולת גרימת הנזק שלו גדול מאוד.
- המלצות נוספות באתר Microsoft
https://blogs.technet.microsoft.com/mmpc/2016/02/24/locky-malware-lucky-to-avoid-it/
טיפים להתמודדות והתגוננות
- בצעו גיבוי לקבצים באופן סדיר ואמין
o ודאו שמערכות האנטי-וירוס הארגוניות, מערכות סינון הגלישה וסינון הדוא"ל, מוגדרות היטב.
o ודאו שהגיבויים למידע שלכם תקינים ועדכניים.
o בדקו שניתן בפועל להשתמש בגיבוי לצורך שחזור מידע.
o שמרו עותקי גיבוי על מדיה חיצונית.
- בצעו עדכוני תוכנה באופן סדיר
הקפידו לעדכן את תחנות העבודה בעדכוני התכנה האחרונים של Microsoft וכן של תוכנות נלוות שהותקנו.
o קיימים כיום כלי עזר שיכולים לסייע במשימה זו, כמו למשל patchmypc הניתנת להורדה בחינם ויכולה לסייע לכל מחשב, בבית ובמשרד בעדכוני תוכנות צד ג'.
- הגבירו את המודעות, הימנעו מפתיחת קישורים לאתרים המופיעים בדואר אלקטרוני
קיבלתם דוא"ל חריג? מופיע בדוא"ל קישור למבצע או קופון מיוחד? קיבלתם חשבונית או קבלה לתשלום שנראית לכם חריגה או שמגיעה ממקור שאיתו אין לכם התקשרות עסקית? אז כן. התגברו על הסקרנות ואל תפתחו את הלינק. או הקובץ.
- הגנו על סביבת Microsoft Office
בטלו יכולות ActiveX ו- Macro בתוך מסמכי office.
- השתמשו בכלי הגנה נוספים היכן שניתן **** מומלץ מאוד ****
ניתן להוסיף רמת הגנה נוספת על מחשבים גם למשרד וגם לבית
(לא מזיק – ואולי אפילו יעזור).
קיימים כיום 2 כלים שניתן להתקין בחינם ויתנו "עוד שכבת הגנה" על תחנות עבודה בבית ובמשרד.
o Malwarebytes Anti-Ransomware
בתמונה: ארז שטנג, ארכיטקט סייבר ראשי ב-Secoz