כופרה – RANSOMWARE (חלק 4)

התמודדות עם מגפת הכופרה – "למתקדמים בלבד"
en.wikipedia.org

במאמרים קודמים בסדרה זו הסברתי מהי כופרה, פירטתי אמצעי התגוננות נגד כופרות והמלצתי על מערך הגנה בסיסי נגד כופרות. חלק רביעי זה נכתב, בין היתר, בעקבות התגברות הפרסומים על תקיפות של כופרות חדשות או משודרגות.

אתר המחשבים Bleeping Computer דיווח ב-24-06-16 על חמישה סוגי כופרה חדשים שנתגלו בשבוע האחרון http://bit.ly/290hrgA. הדיווח כלל גם קישור לאתר של חברת Emsisoft אשר פרסם ב-20-06-16 כיצד ניתן לפענח קבצים מוצפנים על ידיApocalypseVM Ransomware – http://bit.ly/290iwVC. לפני שבועיים דיווח Bleeping Computer על סוג חדש של כופרה המנצל סקריפט לביצוע ההצפנה. הדיווח שכותרתו: The new RAA Ransomware is created entirely using Javascript http://bit.ly/28Uvd0f כלל תיאור מפורט כיצד פועל הקובץ המזיק שמוכנס למחשב הקורבן כצרופה לאימייל.

ב-26-06-16 התפרסמה אזהרה: "זהירות: וירוס פייסבוק חדש מתחזה לחבר שמתייג אתכם" http://bit.ly/28WHnG8. "על פי ניתוח הקובץ מדובר בווירוס מסוג Ransomware – תוכנת כופר שמתוכננת להצפין את הקבצים החשובים ביותר של הקורבן, כך שייאבד גישה אליהם, אלא אם כן ישלם למפתחי הווירוס תשלום כלשהו" .המונח "וירוס" במאמר זה מתייחס על כן לכופרה – כפי שהוסבר במאמר הקודם בסדרה – אשר מתבססת על קובץ סקריפט מזיק לביצוע הנזק. הנחיות הזהירות דומות לאלו שפורסמו במאמר הראשון, אולם במקרה זה יש קושי בזיהוי.

במאמר הראשון המלצתי למנוע אפשרות של Windows לבצע סקריפטים מסוג זה. המלצה זו תקפה גם למקרה השני שתואר כאן ולסוגים נוספים של נוזקות המתוארים במאמר:50+ File Extensions That Are Potentially Dangerous on Windows. http://bit.ly/28WIAwZ.

הנחיה כיצד למנוע ביצוע סקריפטים כאלה תחת הכותרת How-To Disable Windows Script Host פורסמה על ידי חברת האבטחהF-Secure http://bit.ly/28YJMUt. להנחיות מצורפת המלצה בזו הלשון: Do yourself a favor and edit your Windows Registry to disable WSH. וזאת משום שמניעת יכולת ביצוע הסקריפט מהווה אמצעי הגנה בפני כמה סוגי נוזקות, לאו דווקא כופרות. חשוב לזכור שקובץ הרישום (registry) של windows רגיש מאוד וכל שינוי בו עלול לשבש את כל פעולת המחשב! משום כך הדגשתי כי המאמר הזה בסדרה הוא "למתקדמים בלבד".

על כל פנים, חשוב מאוד לגבות את קובץ הרישום לפני כל שינוי. יש כמה וכמה דרכים לגיבוי קובץ הרישום, למשל http://abt.cm/290lY2n. אך זו אינה בהכרח הדרך הטובה ביותר. מי שרוצה לבצע עדכון – ראוי שיבחר בדרך גיבוי מתאימה ונוחה לו.

בחלק השלישי המלצתי על תוכנה ייעודית למניעת הדבקה בכופרה WinAntiRansomware (היחידה מבין כל התוכנות שהמלצתי עליהן שאינה חינמית). תוכנה זו עודכנה בעצם הימים האלה והיא מגינה כעת בפני כל הכופרות מבוססות הסקריפט, כולל RAA Ransomware שהוזכרה לעיל. סרטוני וידיאו המדגימים את פעולת התוכנה ניתן למצוא בקישור להלן: http://bit.ly/291d3ua. מודל הרכישה שתיארתי בחלק השלישי – סכום חד פעמי ל"כל החיים" יתבטל ב 01-08-2016. גם ההנחה לישראלים שסידרתי כבר אינה תקפה. למרות זאת, תשלום חד פעמי של 29.90 דולר ל-5 מחשבים נראה לי זול מאד. חשוב במיוחד למי שאינו יודע לטפל קובץ הרישום של Windows.

שיתוף ב facebook
Facebook
שיתוף ב twitter
Twitter
שיתוף ב linkedin
LinkedIn
שיתוף ב whatsapp
WhatsApp
שיתוף ב email
Email

16 תגובות

  1. אם מעתיקים את כל הנתונים של הארגון, כמו שעשו ללאומי קרד ודורשים כופר כדי לא לפרסם זה כופרה או לא? יש אצלנו ויכוח.

    1. ההגדרה שאני מכיר היא שכופרה מצפינה את הנתונים או מונעת גישה למחשב. צריך לשלם כופר כדי לשחרר את ההצפנה או את הגישה למחשב. ראה http ://symc.ly/29fW5YL

      על פי ההגדרה הזו המקרה שאתה מתאר אינו כופרה

  2. מרכז סיוע בתשלום, שפועל 24 שעות ביממה, לעזרה למי שהותקף בכופרה.

  3. אלא שרוב האנשים נוהגים בחוסר אחריות כתוצאה מחוסר ידע
    צריך בכל קורס מתחילים צריך להתחיל באמצעי המניעה וההתגוננות

    1. לשפי,

      כנראה שלא שמת לב שקראת את החלק הרביעי.
      החלק הראשון עסק הסבר של ההתנהגות הנכונה – איך לא לעשות שטויות, החלק השני עסק בגיבויים והחלק השלישי באמצעי התגוננות.
      מציע שתקרא

    1. לאהוד שלום,

      מצטער שכך הבנת.
      כוונתי היתה להזהיר את הקוראים מפני סיכונים ביישום ההמלצות לגבי השינוי בקובץ הרישום.

  4. הדיווחים בכל המקומות על מאות אלפי מחשבים שהותקפו בכופרה שפורסמו בכל המדיה נראים על פניו מאד מוגזמים וכנראה שמלבים אותם בעלי עניין או כותבים שרוצים להרשים

  5. ממש מבהיל ודוקא עסקים קטנים ובינוניים שיתקשו להתמודד

  6. הבעיה חלפה או שאני יכולה להבין שפשוט לא באפנה והפסיקו והתעניין

  7. את כנראה לא חשופה לכתבות הרלבנטיות. יש פעילות רבה בעולם.

  8. או רק אם זה נעשה בשיטה של הצפנת הנתונים
    יש לנו ויכוח פנימי אצלנו

    1. כופרה זה השתלטות על מחשב או שרת, הפיכתו לבתי זמין (כולו או בחלקו) ודרישה לתשלום (כופר) עבור השחרור.
      ברוב הגדול של המקרים רק קבצי נתונים הופכים לבלתי זמינים על ידי הצפנה. במקרים אחרים, כגון Petya, הכופרה הופכת את קובץ ההתנעה הראשי – Master Boot Record – ללא זמין ואז אי אפשר בכלל להתניע את המחשב.

  9. תלוי את מי שואלים.

    התחזיות בסך הכל לא טובות. יש כבר מקרים של תקיפת טלוויזיות חכמות
    http ://bit.ly/2mvLB2V

כתיבת תגובה

האימייל לא יוצג באתר.

פרסום תגובה מהווה הסכמה לתנאי השימוש באתר.
התגובות יפורסמו לפי שיקול דעת העורך.

עשוי לעניין אותך

שרטוט סמלי בית

מהי חברת ניהול נכסים?

שירותים נרחבים לבניינים על מנת שהמבנה יישאר מטופח וישמור על ערכו

שאול אייזנברג

שכונה

פיטורי המאמן במכבי תל אביב

פיצוץ אטומי

על הסף

חידוש הסכם הגרעין עם איראן – תרחישים אפשריים