כופרה – RANSOMWARE (חלק 3)

מערך ההגנה נגד כופרות
תמונה:WiFiLeech commons.wikimedia.org

במאמרים קודמים בסדרה זו הסברתי מהי כופרה ופירטתי אמצעי התגוננות נגד כופרות. לפני שאפתח בחלק השלישי אענה כאן לשתי שאלות שעלו בתגובות ויש בהן עניין כללי:

תוכנות גיבוי: אני משתמש בתוכנת גיבוי "עתיקה" שפועלת היטב אבל אי אפשר להשיג אותה כבר שנים. יש כמה תוכנות גיבוי טובות, הנה קישור לאתר המציג ביקורות מפורטות מאוד על כמה תוכנות גיבוי, כולל דירוג והמלצות: http://bit.ly/1TxJq39. כל אחד יכול לבחור לפי ראות עיניו.

אפשר גם להשתמש בגיבוי Windows 10 – מצורפת כתובת של מאמר הדרכה: http://bit.ly/1X9Niga.

כעת אעבור למאמר עצמו, העוסק במערך ההגנה.

מערך ההגנה הבסיסי שאני ממליץ עליו כולל תוכנת אנטי-וירוס, תוכנה לבדיקת עדכניות תוכנות רגישות, תוסף דפדפן לבחינת רמת הסיכון באתרים, תוסף דפדפן למניעת פרסומות קופצות ותוכנה ייעודית להגנה בפני כופרות. נושאים אחרים, כגון פרטיות, לא יידונו כאן.

אדגיש שבשוק יש מגוון גדול של תוכנות מסחריות וחינמיות להגנה בפני מזיקים שונים, ובמאמר זה אין סקירה כוללת של כל האפשרויות.

תוכנת אנטי-וירוס: יש בשוק מגוון גדול של תוכנות מסחריות וחינמיות להגנה בפני מזיקים שונים באינטרנט, כאן אתייחס לתוכנות אנטי-וירוס בלבד. אני משתמש ב-Antivirus AVAST Free כבר כמה שנים ללא שום בעיה. גרסת 2016 של תוכנה זו היא הפופולרית ביותר באתר ההורדות download.com של CNET בחודשים האחרונים, עם מספר הורדות יותר מכפול מהבאה אחריה. ירחון המחשבים המפורסם PC Magazine דירג אותה כאחת מ"בחירות העורכים" בתחום תוכנות אנטי-וירוס חינמיות. המאמר ב-PC Magazine מתייחס רק לחלק מהתוכנות בשוק. חשוב לציין שהמבחר גדול ומומלץ שכל קורא יתקין תוכנת אנטי-וירוס לאחר בדיקה, לפי קריטריונים שמתאימים לו. השוואות מקיפות ועדכניות על ביצועים של תוכנות אנטי-וירוס שונות אפשר למצוא באתר AV Comparatives בכתובת: http://bit.ly/276EZX1.

AVAST מסוגלת לאתר כמה כופרות. מצורפת דוגמה: AVAST העלה הודעה על חסימת קובץ כופרה ששמו doc6 שהגיע כקובץ מצורף להודעת אימייל שקיבלתי, וזאת עוד לפני שנכנסתי להודעה עצמה:

כופרה 20

בדיקת עדכניות של תוכנות: כאמור, אחת הדרכים לחדור למחשבים היא באמצעות תוכנה לא עדכנית שאותרו בה פרצות. חברת האבטחה Secunia פיתחה תוכנה ייעודית ששמה Personal Software Inspector (PSI) לבדיקת עדכניות של תוכנות רגישות (כאלו שבדרך כלל משתמשים בפרצות שלהן לחדירה למחשבים). תוכנה זו סורקת את המחשב, מזהה תוכנות עם בעיות אבטחה ומסייעת בעדכונן. אתר המחשבים העוסק באבטחה Bleeping Computer מתייחס לתוכנה זו כאל משלים חיוני לתוכנות אנטי-וירוס. בהרצת התוכנה מתקבל דו"ח על התוכנות המותקנות במחשב, כולל דפדפנים. הדו"ח מצביע על התוכנות שזקוקות לעדכון. להלן קישור להורדה ולפירוט נוסף על התוכנה: http://bit.ly/1Qufe70.

תוספי דפדפנים

1. התראה על אתרים חשודים. אני משתמש בתוסף WOT – Web Of Trust. ‪כאשר גולשים לאתר בעל מוניטין מפוקפק עולה אזהרה, כפי שנראה בתמונת המסך המצורפת. הגולש יכול לראות ביקורות על האתר ולהחליט אם להיכנס או לא.כופרה 21

2. חסימת פרסומות ואתרים קופצים. כופרות עלולות להיות מופצות באמצעות באנרים ופרסומות שנשתלו באתרים שנפרצו או שנראים דומים מאוד לאתרים אמתיים. אתרים מהגדולים בעולם, כמו MSN ו-BBC, נפרצו ושימשו להפצת נוזקות. כדי לחסום פרסומות וקישורים קופצים באתרים אני משתמש בתוסף הדפדפן AdBlockPlus (מומלץ על ידי LifeHacker), אבל יש לא מעט תוספים אחרים שהם בהחלט טובים, כולל חוסמי סקריפטים – script blockers. רצוי שכל אחד יבחן מה מתאים לו.

3. סיסמאות. מומלץ להשתמש בסיסמה שונה לכל אתר, כי אם אתר נפרץ אז לפורץ יש גישה לסיסמאות של המשתמשים הרשומים. לכן מומלץ לא להיכנס לאתר כלשהו עם הפייסבוק או הטוויטר שלכם אלא עם סיסמה נפרדת. אורך הסיסמה כן קובע – יש לייצר סיסמאות באורך שמונה תווים לפחות. שילוב של אותיות רגילות, אותיות גדולות, תווים מיוחדים וספרות מקשה את פיצוח הסיסמה. מומלץ להשתמש בתוכנת ניהול סיסמאות ואז צריך לזכור רק את הסיסמה הראשית (12 תווים מינימום). אני משתמש במנהל הסיסמאות LastPass (תוסף לכרום או לפיירפוקס). הערה: הגרסה החינמית אינה פועלת בטלפונים חכמים. כמובן יש גם מנהלי סיסמאות אחרים שאפשר לבחור. בכל מקרה, את הסיסמאות שקשורות לקניות או לכספים מומלץ לרשום על דף נייר ולשמור במגירה.

תוכנות הגנה ייעודיות: תוכנות אנטי-וירוס "מסורתיות" מתקשות להתמודד עם כופרות כי הן מסתמכות על בסיס נתונים של מזיקים ידועים וקצב השינוי של כופרות הוא גדול מאוד, כפי שמפורט במאמר How to deal with the rising threat of ransomware: http://tcrn.ch/276G6G4.

יש תוכנות ייעודיות להגנה בפני כופרות, רובן חינמיות. קראתי כמה סקירות טכניות על תוכנות אלו. בסקירה המפורטת כאן http://bit.ly/1QtHVAM בולטת תוכנה אחת – WinAntiRansom. לטענת כותבי המאמר, תוכנה זו היא היחידה שמונעת את כל הכופרות הידועות כיום (הניסוח במקור: "most if not all"). יש לה גם אמצעי הגנה על הקבצים ועל קובץ הרישום, כך שיש סיכוי טוב גם למניעה של כופרות חדשות לא מוכרות. מומלץ להפעיל את WinAntiRansom לא במקום האנטי-וירוס אלא נוסף לו.

תוכנה היא כמעט "התקן ושכח". אבל בהתחלה רצוי להגדיר תיקיות מוגנות – התיקיות שבהן נמצאים המסמכים החשובים.

כופרה 22

תוך כדי עבודה שגרתית במחשב אתם עשויים להפעיל תוכנה קיימת כלשהי שמאפייני ההתנהגות שלה תואמים לתוכנות כופר, ואז תופיע התראה. אם התוכנה מוכרת לכם ואתם רוצים שתפעל, כל שעליכם לעשות הוא לבחור allow פעם אחת בלבד. מניסיוני, מספר הפעמים שבהן זה קורה קטן. דוגמה מצורפת:

כופרה 23

פירוט של תוכנת WinAntiRansom וביצועיה – בכתובת המצורפת: http://bit.ly/21bEsid.

WinAntiRansom היא תוכנה בתשלום, לעומת שאר התוכנות המוזכרות בסקירה, שהן חינמיות. המחיר החד-פעמי לחמישה מחשבים, כולל עדכונים לכל החיים, הוא 29.95 דולר בלבד. על מחיר זה הצלחתי להשיג הנחה של 25% לישראלים. פנו לדף הרכישה: http://bit.ly/1VOeFNf. בעת הרכישה נא לציין שיש לכם קופון, ובתיבה coupon code לרשום Eli25. כתובת להורדת התוכנה: http://bit.ly/1TxLpV7.

עבור מי שמחליט לא לשלם את הכופר, הנה הנחיות לטיפול במחשב נגוע:

קודם כול, מומלץ מאוד להיעזר במומחה. כעת, שלבי הטיפול:

1. לנתק מהאינטרנט ומהרשת (אם מחוברים)

2. לנתק את כל הדיסקים ואת התקני האחסון החיצוניים

3. לצלם את הודעת הכופר בטלפון נייד

4. לרשום את סיומת הקבצים שהוצפנו, לדוגמה .exx (לא רלוונטי ל-Petya)

5. להוריד קובץ מוצפן אחד להתקן נייד קטן – disk on key – ריק (לא רלוונטי ל-Petya)

6. להיכנס לאתר http://bit.ly/1TxLIzj ולברר את סוג הכופרה באמצעות שליחת התמונה של הודעת הכופר

7. הנחיות פרטניות לטיפול בכופרות שונות

http://bit.ly/1WldMuG Coinvault and Bitcryptor

http://bit.ly/1WQktVV CryptoLocker

http://bit.ly/1Wle4Sf TeslaCrypt

http://bit.ly/1WQjMMi Locky

http://bit.ly/1WQjRzB CryptoWall

http://bit.ly/1WQknxD Petya – ניקוי Petya למשל מצריך את הוצאת הדיסק מהמחשב וחיבורו כדיסק חיצוני למחשב אחר

8. ההצלחה אינה ודאית גם אם פועלים בדיוק לפי ההנחיות – שמעתי על מקרים שבהם בוצעו פעולות הצלה על פי הנחיה מסוימת והן לא צלחו

9. לאחר ניקוי המחשב רצוי, אם אפשר, להתקין מחדש את מערכת ההפעלה

10. להעתיק את הקבצים מהגיבוי לאחר ניקוי המחשב

טלפון חכם: כצפוי, כופרות הגיעו גם לטלפונים חכמים ולטאבלטים. הכופרות מצפינות את הקבצים ולעתים מונעות כל שימוש בטלפון. דוגמה ידועה היא הודעה לכאורה מה-FBI שלפיה נעשה שימוש אסור בטלפון ולכן יש לשלם קנס.

כופרה 24

רצוי מאוד להגן גם על הטלפון החכם באמצעות תוכנת אנטי-וירוס ייעודית. הביקורות האחרונות שראיתי ממליצות על AVAST עבור טלפונים חכמים עם מערכת הפעלה אנדרואיד: http://bit.ly/1TxLBUd, http://bit.ly/1TxLCrf.

כמובן יש מאמרי ביקורת נוספים – מומלץ לכל אחד לבדוק בעצמו מה מתאים לו.

טיפול בטלפון חכם נגוע: מוכרות לי שתי תוכנות ייעודיות להסרת כופרות מטלפונים (אנדרואיד):

1. Ransom Removal של Avast

כופרה 25

2. Simplelocker Cleaner של Cheetah Mobile

כופרה 26

לעתים יש קושי להוריד את התוכנות כאשר הטלפון "תפוס". במקרה זה צריך להפעיל את הטלפון במצב בטוח (Safe mode). במצב זה פועלות רק התוכנות המקוריות של מערכת ההפעלה ללא תוכנות צד ג'. ברוב הטלפונים, כדי להפעיל במצב בטוח יש לכבות את הטלפון ואז להפעיל מחדש כאשר כפתור עוצמת השמע לחוץ.

הערות כלליות לגבי התוכנות המוזכרות במאמר:

  1. אין בעולם קונצנזוס לגבי טיב תוכנות ההגנה ממזיקים, כולל תוכנות אנטי-וירוס. אתרים מקצועיים מכובדים מדרגים תוכנות אלו באופן שונה, וגם הדירוג הזה משתנה עם הזמן.
  2. קיימות הרבה תוכנות הגנה מסוגים שונים. במאמר הזכרתי רק חלק קטן מתוכנות אלו.
  3. לחלק ניכר מתוכנות ההגנה יש גם גרסאות חינמיות וגם גרסאות בתשלום עם פונקציונליות גדולה יותר.
  4. התוכנות שהזכרתי בפירוט הן תוכנות שאני משתמש בהן לשביעות רצוני. תוכנות אלו אינן בהכרח הטובות ביותר בתחומן.
  5. לא מן הנמנע שבמחשבים אחרים ובטלפונים אחרים תתנהגנה התוכנות באופן שונה מההתנהגות שלהן במחשב ובטלפון שלי, ואין לראות בהמלצות המובאות במאמר מתן אחריות כלשהי הן לתפקוד התוכנות כפי שמצופה והן לנזק כלשהו שעלול להיגרם כתוצאה מהתקנה של אחת מהתוכנות האלו.
  6. מי שחפץ להתקין במחשב שלו או בטלפון את אחת התוכנות המוזכרות במאמר עושה זאת על אחריותו האישית בלבד.
שיתוף ב facebook
Facebook
שיתוף ב twitter
Twitter
שיתוף ב linkedin
LinkedIn
שיתוף ב whatsapp
WhatsApp
שיתוף ב email
Email

31 תגובות

  1. איך זה שרשויות החוק בכל המדינות לא מצליחות לאתר את הסחטנים. הם לא עושים פעולה חד פעמית. הם מנהלים תהליך שלם מול הנסחט ואותו דבר עם הרבה נסחטים. איך זה ששיתוף פעולה בינלאומי לא עולה עליהם.

    1. פושעי מחשב פועלים שנים רבות ורשויות החוק מתקשות לעלות עליהם כי יש דרכים רבות להסתיר זהויות ומיקומים. בחלק הראשון סיפרתי על שיתוף פעולה חריג בין ארה"ב וקנדה כדי לנסות להילחם בתופעה.

  2. כמה מקרים?
    כמה סחטו?
    כמה כסף עושים אלה שכבר מוכרים אנטי כופרה שאליהם הפנית אותנו?

  3. וממה ששמעתי הוא שילם כופר. אחרת כל המידע של העסק שלו היה נעלם. עד שלא שומעים סיפור כזה חושבים שמדובר בסיכון תיאורטי.

  4. מר ספקנוביץ./ חשדנוביץ
    פרסמתי מאמר בשלושה חלקים. הראשון תאר את הבעייה, כולל קישורים למאמרים וידיעות שפורסמו בנושא. להלן קישור למאמר שפורסם ממש לאחרונה http ://bit.ly/1Th3YCX. אם כל זה לא מספק אותך אתה מוזמן לחפש בגוגל.

    בחלק זה גם תיארתי את השיטות בהן משתמשים הפושעים לחדור למחשב כדי שהקראים ידעו ממה להיזהר.
    החלק השני עסק באופני גיבוי (חינמיים) ובהגדרות המחשב.
    החלק השלישי עסק בתוכנות הגנה. פירטתי אך ורק תוכנות הגנה בהן אני משתמש אישית. כולן, למעט אחת, חינמיות. לתוכנה הלא-חינמית יש תכונות ייחודיות כפי שמתואר במאמר הביקורת שצירפתי קישור אליו.
    הרמיזה שלך שאני קשור בצורה כלשהי לחברה שפיתחה ומוכרת את התוכנה לא ראויה לתגובה.

  5. כופרה הנה מעשה פלילי מעיקרו ואם כולם יודיעו על כך לרשויות יהיה הרבה יותר קל להתמודד. המשטרה גם תוכל לתת הנחיות בדיוק כיצד לנהוג מה שיעזור לה ביתר קלות לאתר את הפושעים.

  6. לפני כשנתיים ויותר איימו על לאומיקארד כי אם לא ישלם סכום ענק יחשפו כל המידע עליו. והממונה על הבנקים בבנק ישראל המליץ שישלמו את הכופר. כלומר שמי שמגנה את הנכנעים לסחיטה לא בהכרח באמת טועה.

    1. ההמלצה שלי היא קודם כל לנסות לפתור את הבעייה על ידי פיצוח ההצפנה. המלצתי גם להיעזר במומחה אם הנפגע לא ממש בקי במחשבים.
      השאלה מה עושים אם לא מצליחים: כאן זה תלוי במידת הנזק. במקרים שאין ברירה משלמים, בידיעה שאין ביטחון במאה אחוז שאחרי התשלום יתקבל קוד שחרור ההצפנה. יש כאלה שטוענים שבשום אופן לא צריך לשלם.
      אני לא נוקט עמדה ומשאיר את ההחלטה בידי הנפגע.

  7. בעזרת כלי אחד בתשלום ACRONIS קונים שקט להגנה כפולה:
    נגד כופרה ונגד נפילת המחשב מכל סיבה אחרת
    המחיר סביר ויורד אם רוכשים 3 א 5 רשיונות
    לטעמי זה איזון בין המון התקנות (למי שאינו מיודד עם הרשימה שציינת)
    התקנת אקרונית + מיומנות אישית ממוצעת בפתיחת קבצים חשודים היא המיגון הסביר
    וכאמור מגבה את מע ההפעלה באותה הזדמנות

  8. ACRONIS היא תוכנת גיבוי מעולה אבל לא יותר מזה. מחירה 49 דולר למחשב יחיד לכל החיים. ייתכן שאפשר להשיג הנחת כמות.

    לדעתי אסור להסתמך אך ורק על גיבויים. רוב הכופרות יודעות גם להצפין את הקבצים בגיבוי.
    בחלק 2 דיברתי על גיבויים והפניתי את הקוראים לסקירות השוואתיות כדי לבחור תוכנת גיבוי.
    הרשימה הקצרה שהצעתי כללה אמצעים משלימים להגנה, רובם חינמיים למעט תוכנה פשוטה אחת שעלותה 4.5 דולר למחשב לכל החיים

  9. שאלה עקרונית- האם כל מאמרי ההפחדה אינם כדי לייצר שוק למוצרים, ושוק למחקרים ולעבודות אקדמיות? ככל שמלהיבים את דעת הקהל, ולא חשוב באיזה נושא מפחיד, הרי יותר ויותר פרשנים ודרשנים כותבים, עיתונאים חוקרים, טלויזיה מפרסמת והביצה רותחת…

    1. למפ-

      מדובר בבעייה מוכרת בעולם שגרמה עד היום נזקים כבדים. האם אתה ממליץ להתעלם ???

      ברשותך אתייחס אך ורק לסדרת המאמרים שלי:

      1. החלק הראשון עסק ביצירת מודעות לבעייה, לאופני התקיפה וכיצד להיזהר ולהימנע מנזק.
      2. החלק השני עסק בדרכי גיבוי. כל ההמלצות שניתנו היו לאמצעים חינמיים (למעט דיסק גיבוי שזה מומלץ בכל מקרה).
      3. החלק השלישי עסק בתוכנות הגנה. כמעט כל ההמלצות שלי היו לאמצעים חינמיים, למעט המלצה אחת חריגה לתוכנה שעלותה פעוטה.

  10. שלושת המאמרים מציגים את הנושא בצורה בהירה. העצה החשובה והקלה ביותר לביצוע היא לשמור גיבויים על אמצעי איחסון שאינו מחובר למחשב כל הזמן, אלא רק בשעת הגיבוי – פעם ביום.
    אבל למה כל הקישורים במאמרים הם אותיות בלבד, ולא קישורים של ממש, כנהוג בכל אתר.

    1. עניין הקישורים הוא תוצאה של מדיניות האתר. אשמח אם העורך יגיב.

      1. בכל האתרים שאני מכיר יש מדיניות שדווקא הופכת כל סטרינג שמתחיל ב-http מייד לקישור. זה כדי לא לטרטר את הקוראים שיצטרכו לעשות העתק, לעבור לדפדפן, לפתוח טאב חדש, לעשות "הדבק" ואז ENTER. שיקול נוסף הוא שגוגל סופר את הקישורים, ומחליט על חשיבותם לפי מספר הקישורים לכל אתר. במדיניות שלכם אתם מסתירים את האתר, שאליו יש קישור, מן הגוגל. אז למה?

        1. כנראה כדי להשאיר כמה שיותר גולשים באתר עצמו, בצודה כזאת מי שבאמת מעוניין להעשיר את הידע שלו יעשה מאמץ נוסף וישכיל, והאתר זוכה לשמור על יותר גולשים בתחומו.

  11. לת.
    האמצעים שתיארתי טובים נגד רוב הנוזקות.

    חלק רביעי המיועד בעיקר למתקדמים נכתב בעקבות זן חדש של נוזקות.

    אשקול בחיוב פרסום משלים.

  12. חבל שה URLs לא לחיצים. האם זה בעיה בדפדפן שלי? ניווט כזה מקשה מאוד על הקריאה.

    1. גלעד,

      אני מסכים במאה אחוז !!.
      אני לא מכיר אף עתון מקוון שבו הקישורים אינם "לחיצים".

      מאד מקווה שמערכת האתר תשנה את מדיניותה.

  13. מצער מאד שהקישורים לא לחיצים

    עלבון מקצועי לכותבים ולקוראים
    וגם פחיתות כבוד לפרסום

    בברכה,

    עמי סלנט
    מידען

  14. כתבה מאוד מעניינת אבל מרגיז שאין אפשרות להפעיל את הקישורים ? כדאי לתקן כי לא נח להעתיק את הכתובות וגם לא מתאים לאתר רציני היום לחסום קישורים .

  15. אבל שמתם לב שהגל הגדול של רעש סביב הכופרה עבר וכבר פתאום שכחו מהסכנה?

    1. לפי הפרסומים בעולם המצב רק הולך ומחמיר.

      מה אתה מציע לעשות ?

כתיבת תגובה

האימייל לא יוצג באתר.

פרסום תגובה מהווה הסכמה לתנאי השימוש באתר.
התגובות יפורסמו לפי שיקול דעת העורך.

עשוי לעניין אותך

שרטוט סמלי בית

מהי חברת ניהול נכסים?

שירותים נרחבים לבניינים על מנת שהמבנה יישאר מטופח וישמור על ערכו

שאול אייזנברג

שכונה

פיטורי המאמן במכבי תל אביב

פיצוץ אטומי

על הסף

חידוש הסכם הגרעין עם איראן – תרחישים אפשריים