שמצפינה קבצים תקפת מ מהי Cryptolocker ? שחרורם עבור כופר

‫מהי מתקפת ‪ Cryptolocker‬שמצפינה קבצים‬
‫חשובים ודורשת תשלום כופר עבור שחרורם?‬
‫מדובר בתופעה של תוכנות כופר (‪ )ransomware‬שמופצות על ידי ארגוני פשע בשנה האחרונה‪.‬‬
‫הנוזקה מזוהה ע"י ‪ ESET‬בתור ‪ FileCoder‬והיא פועלת באמצעות טכנולוגיה שנקראת ‪ Cryptolocker‬אשר‬
‫מקודדת קבצים בקידוד ‪ 465‬ביט ‪ ,AES‬ומגינה על מפתחות ההצפנה בקידוד ‪ ,RSA 4329‬מה שמונע פריצה‬
‫של הקידוד באמצעים רגילים‪.‬‬
‫הנוזקה מצפינה מסמכים‪ ,‬תמונות ואופיס במחשב‪ ,‬וברשתות היא מקודדת קבצים כנ"ל בתיקיות משותפות‪.‬‬
‫לאחר מכן נשלחת הודעה למשתמש או למשתמשים עם דרישה לתשלום (סכום שנע בין מאות לאלפי דולרים)‬
‫בתמורה למפתח ההצפנה שיאפשר שחזור של הקבצים‪.‬‬
‫ראשית כל‪ ,‬חשוב להבין שמדובר באיום שרק בחלק מהמקרים מגיע באמצעות וירוס‪ .‬ההצפנה עצמה של‬
‫הקבצים מתבצעת באמצע ות כלי חינמי וחוקי שמצפין את הקבצים עם מפתח הצפנה ששמור בשרת מרוחק‬
‫עליו שולט התוקף‪ .‬בחלק מהמקרים בהם נתקלנו לא היה מעורב וירוס בתקיפה‪ ,‬אלא אך ורק חומת אש‬
‫שאפשרה חיבור ‪ RDP‬שבאמצעותו התחבר התוקף למחשב והתקין את תוכנת ההצפנה בצורה ידנית‪.‬‬
‫קומסקיור בע"מ‪ ,‬נציגת ‪ ESET‬בישראל‪www.eset.co.il ,30-5483926 ,‬‬
‫‪1‬‬
‫איך למנוע התקפה של ‪ Cryptolocker‬או‬
‫תוכנת כופר? להלן ‪ 01‬כללי מפתח‪:‬‬
‫‪.1‬‬
‫יש לוודא התקנה של אנטי וירוס מעודכן וחוקי במחשב או בכל התחנות ברשת‪.‬‬
‫‪ .4‬ברשתות של ‪ 6‬תחנות ומעלה חשוב להתקין ממשק ניהול לאנטי וירוס‪ ,‬כדי להיות בבקרה על‬
‫הנושא‪.‬‬
‫‪ .0‬עדכוני מיקרוסופט קריטיים אחרונים חובה‪.‬‬
‫‪.2‬‬
‫חומת אש המובנית במערכות הפעלה מיקרוסופט אינה מספקת להתמודדות עם האיום הנ"ל‪.‬‬
‫‪ .a‬יש להשתמש בחומת אש מתקדמת של אחת החברות המובילות כדוגמת ‪ESET Smart‬‬
‫‪.Security‬‬
‫‪ .b‬לחברות מומלץ להשתמש בהתקן פיזי של חומת אש של אחת החברות המובילות כדוגמת‬
‫‪.Fortinet‬‬
‫‪ .6‬יש לסגור את הפורט של ה ‪ Remote Desktop‬בחומת האש‪ ,‬ולסגור את ה ‪ Service‬שלו במחשב או‬
‫ברשת‪.‬‬
‫במידה וחייבים להשתמש בו‪ ,‬יש להחליף את פורט ברירת המחדל מ ‪ 8833‬לפורט במספר רנדומלי‬
‫הגבוה מ ‪.43,333‬‬
‫יש להגדיר סיסמת אבטחת מורכבת לחיבור מרחוק (באורך ‪ 9‬תווים לפחות ומכילה אותיות קטנות‪,‬‬
‫גדולות‪ ,‬מספרים ותווים מיוחדים) כדי למנוע פריצה של הסיסמא בהתקפה של ‪.Brute Force‬‬
‫‪ .5‬גיבויים שבועיים או דו‪-‬שבועיים (מומלץ גיבוי אונליין ולא מקומי) של מידע חשוב בשרתים ובתחנות‪,‬‬
‫ובדיקה תקופתית של שחזור הגיבויים כדי לוודא שהם תקינים‪.‬‬
‫‪ .7‬ניתן להגדיר גיבוי של מערכת ההפעלה לתיקיות חשובות או משותפות ב ‪ Shadow Copy‬כפי‬
‫שמוסבר במאמר של מיקרוסופט‪.‬‬
‫‪ .9‬אין לאשר הרשאות ‪ Administrator‬למשתמשים ‪ -‬משום שהתקפות מסוג זה מאתרות פרצות‬
‫כאלה שמאפשרות להם לרוץ על הפרופיל המקומי ובאמצעותו להדביק את שאר הרשת‪.‬‬
‫‪ .8‬חיסמו סיומות ‪ EXE‬בתוכנת האנטי וירוס שסורקת את הדוא"ל ‪ -‬במקרים רבים מודבקים‬
‫מחשבים באמצעות קובץ ‪ EXE‬שמצורף לאימייל‪ .‬באופן כללי‪ ,‬אין סיבה שקבצי הפעלה ישלחו‬
‫למשתמשים ברשת‪ ,‬ולכן מומלץ לאכוף מדיניות של חסימת סיומות של קבצי הפעלה‪ ,‬ובמיוחד קבצי‬
‫‪.EXE‬‬
‫‪ .13‬ניתן להשתמש בכלי חינמי שחוסם כתיבה לתיקיות שבהן משתמש התהליך שמפעיל את תוכנת‬
‫ההצפנה‪ .‬שימו לב שהכלי יגביל גם התקנה או עדכון של תוכנות לגיטימיות‪ ,‬ויהיה צורך לאשר את‬
‫השינוי בתיקיות‪/http://www.foolishit.com/vb6-projects/cryptoprevent :‬‬
‫קומסקיור בע"מ‪ ,‬נציגת ‪ ESET‬בישראל‪www.eset.co.il ,30-5483926 ,‬‬
‫‪4‬‬
‫כיצד להתמודד עם מחשב או תיקיה‬
‫משותפת שהוצפנו בהם כבר קבצים?‬
‫‪‬‬
‫מומלץ שלא לשתף פעולה עם העבריינים הדורשים כופר – במקרים רבים גם לאחר תשלום הכופר‬
‫לא מועבר מפתח ההצפנה ולא ניתן לפתוח את הקבצים‪ .‬כמו כן‪ ,‬הפעולה תעודד את העבריינים‬
‫לתקוף את המחשב או הרשת בהמשך‪.‬‬
‫‪‬‬
‫לשחזר את הקבצים מגיבוי – לאחר ביצוע הפעולות המומלצות להתגוננות‪ ,‬שמטרתן לוודא שלא‬
‫קיים וירוס פעיל במחשב או ברשת‪ ,‬ניתן לשחזר את הקבצים מהגיבוי‪.‬‬
‫‪‬‬
‫לשחזר את הקבצים מתוך ‪ ,shadow copy‬במידה והיה פעיל באותה התיקייה‪ ,‬בשימוש במדריך‬
‫מיקרוסופט‪ .‬גם כאן חשוב לבצע קודם לכן את הפעולות המומלצות להתגוננות‪.‬‬
‫‪‬‬
‫במקרה של קבצים שקודדו בתיקיה משותפת‪ ,‬ניתן לבדוק מהו המחשב הנגוע שממנו הם קודדו על‬
‫ידי בדיקה של ה ‪ ownership‬של הקבצים שקודדו‪ ,‬ולנקות אותו על מנת שלא יקודד אותם שוב‪.‬‬
‫===================== ======================================================================================================================‬
‫בכל שאלה נשמח לעמוד לשירותכם‬
‫קומסקיור – הנציגה הבלעדית של ‪ ESET‬בישראל‬
‫‪ 30-5483926‬שלוחה ‪ ,6‬ימים א‪-‬ה ‪38:33-19:33‬‬
‫‪www.eset.co.il/ticket | [email protected]‬‬
‫===========================================================================================================================================‬
‫קומסקיור בע"מ‪ ,‬נציגת ‪ ESET‬בישראל‪www.eset.co.il ,30-5483926 ,‬‬
‫‪0‬‬