מהי מתקפת Cryptolockerשמצפינה קבצים חשובים ודורשת תשלום כופר עבור שחרורם? מדובר בתופעה של תוכנות כופר ( )ransomwareשמופצות על ידי ארגוני פשע בשנה האחרונה. הנוזקה מזוהה ע"י ESETבתור FileCoderוהיא פועלת באמצעות טכנולוגיה שנקראת Cryptolockerאשר מקודדת קבצים בקידוד 465ביט ,AESומגינה על מפתחות ההצפנה בקידוד ,RSA 4329מה שמונע פריצה של הקידוד באמצעים רגילים. הנוזקה מצפינה מסמכים ,תמונות ואופיס במחשב ,וברשתות היא מקודדת קבצים כנ"ל בתיקיות משותפות. לאחר מכן נשלחת הודעה למשתמש או למשתמשים עם דרישה לתשלום (סכום שנע בין מאות לאלפי דולרים) בתמורה למפתח ההצפנה שיאפשר שחזור של הקבצים. ראשית כל ,חשוב להבין שמדובר באיום שרק בחלק מהמקרים מגיע באמצעות וירוס .ההצפנה עצמה של הקבצים מתבצעת באמצע ות כלי חינמי וחוקי שמצפין את הקבצים עם מפתח הצפנה ששמור בשרת מרוחק עליו שולט התוקף .בחלק מהמקרים בהם נתקלנו לא היה מעורב וירוס בתקיפה ,אלא אך ורק חומת אש שאפשרה חיבור RDPשבאמצעותו התחבר התוקף למחשב והתקין את תוכנת ההצפנה בצורה ידנית. קומסקיור בע"מ ,נציגת ESETבישראלwww.eset.co.il ,30-5483926 , 1 איך למנוע התקפה של Cryptolockerאו תוכנת כופר? להלן 01כללי מפתח: .1 יש לוודא התקנה של אנטי וירוס מעודכן וחוקי במחשב או בכל התחנות ברשת. .4ברשתות של 6תחנות ומעלה חשוב להתקין ממשק ניהול לאנטי וירוס ,כדי להיות בבקרה על הנושא. .0עדכוני מיקרוסופט קריטיים אחרונים חובה. .2 חומת אש המובנית במערכות הפעלה מיקרוסופט אינה מספקת להתמודדות עם האיום הנ"ל. .aיש להשתמש בחומת אש מתקדמת של אחת החברות המובילות כדוגמת ESET Smart .Security .bלחברות מומלץ להשתמש בהתקן פיזי של חומת אש של אחת החברות המובילות כדוגמת .Fortinet .6יש לסגור את הפורט של ה Remote Desktopבחומת האש ,ולסגור את ה Serviceשלו במחשב או ברשת. במידה וחייבים להשתמש בו ,יש להחליף את פורט ברירת המחדל מ 8833לפורט במספר רנדומלי הגבוה מ .43,333 יש להגדיר סיסמת אבטחת מורכבת לחיבור מרחוק (באורך 9תווים לפחות ומכילה אותיות קטנות, גדולות ,מספרים ותווים מיוחדים) כדי למנוע פריצה של הסיסמא בהתקפה של .Brute Force .5גיבויים שבועיים או דו-שבועיים (מומלץ גיבוי אונליין ולא מקומי) של מידע חשוב בשרתים ובתחנות, ובדיקה תקופתית של שחזור הגיבויים כדי לוודא שהם תקינים. .7ניתן להגדיר גיבוי של מערכת ההפעלה לתיקיות חשובות או משותפות ב Shadow Copyכפי שמוסבר במאמר של מיקרוסופט. .9אין לאשר הרשאות Administratorלמשתמשים -משום שהתקפות מסוג זה מאתרות פרצות כאלה שמאפשרות להם לרוץ על הפרופיל המקומי ובאמצעותו להדביק את שאר הרשת. .8חיסמו סיומות EXEבתוכנת האנטי וירוס שסורקת את הדוא"ל -במקרים רבים מודבקים מחשבים באמצעות קובץ EXEשמצורף לאימייל .באופן כללי ,אין סיבה שקבצי הפעלה ישלחו למשתמשים ברשת ,ולכן מומלץ לאכוף מדיניות של חסימת סיומות של קבצי הפעלה ,ובמיוחד קבצי .EXE .13ניתן להשתמש בכלי חינמי שחוסם כתיבה לתיקיות שבהן משתמש התהליך שמפעיל את תוכנת ההצפנה .שימו לב שהכלי יגביל גם התקנה או עדכון של תוכנות לגיטימיות ,ויהיה צורך לאשר את השינוי בתיקיות/http://www.foolishit.com/vb6-projects/cryptoprevent : קומסקיור בע"מ ,נציגת ESETבישראלwww.eset.co.il ,30-5483926 , 4 כיצד להתמודד עם מחשב או תיקיה משותפת שהוצפנו בהם כבר קבצים? מומלץ שלא לשתף פעולה עם העבריינים הדורשים כופר – במקרים רבים גם לאחר תשלום הכופר לא מועבר מפתח ההצפנה ולא ניתן לפתוח את הקבצים .כמו כן ,הפעולה תעודד את העבריינים לתקוף את המחשב או הרשת בהמשך. לשחזר את הקבצים מגיבוי – לאחר ביצוע הפעולות המומלצות להתגוננות ,שמטרתן לוודא שלא קיים וירוס פעיל במחשב או ברשת ,ניתן לשחזר את הקבצים מהגיבוי. לשחזר את הקבצים מתוך ,shadow copyבמידה והיה פעיל באותה התיקייה ,בשימוש במדריך מיקרוסופט .גם כאן חשוב לבצע קודם לכן את הפעולות המומלצות להתגוננות. במקרה של קבצים שקודדו בתיקיה משותפת ,ניתן לבדוק מהו המחשב הנגוע שממנו הם קודדו על ידי בדיקה של ה ownershipשל הקבצים שקודדו ,ולנקות אותו על מנת שלא יקודד אותם שוב. ===================== ====================================================================================================================== בכל שאלה נשמח לעמוד לשירותכם קומסקיור – הנציגה הבלעדית של ESETבישראל 30-5483926שלוחה ,6ימים א-ה 38:33-19:33 www.eset.co.il/ticket | [email protected] =========================================================================================================================================== קומסקיור בע"מ ,נציגת ESETבישראלwww.eset.co.il ,30-5483926 , 0
© Copyright 2024