כופרה – RANSOMWARE (חלק 2)

כיצד להתגונן מכופרות וכיצד להתמודד עמן
ד"ר אלי מירון

במאמר קודם הסברתי מהי כופרה ופירטתי כמה סוגים של תוכנה מזיקה זו. כעת אפרט דרכי התגוננות והתמודדות.

האמצעי הבסיסי ביותר נגד כופרות הוא גיבוי – שמירת עותקים של הקבצים של המחשב האישי במקומות נוספים באופן שיאפשר שחזורם אחרי הצפנת הקבצים המקוריים. ניתן לשמור עותקים של הקבצים בכוננים הפנימיים של המחשב, בהתקני אחסון חיצוניים המחוברים ישירות למחשב, בהתקני אחסון חיצוניים, במחשבים אחרים הנמצאים באותה רשת ובאתרים חיצוניים באינטרנט. אסביר כל אחת מהשיטות.

שמירת הקבצים בכונן פנימי (בתוך המחשב) – כדי לשמור קבצים בכונן פנימי יש להשתמש בפונקציית שחזור המערכתsystem restore . לדוגמה, אם הקבצים שמורים בכונן D: צריך לבחור בכונן זה בעת הפעלת גיבוי המערכת, כמוצג בתמונת המסך להלן.

כופרה 5

הבעיות בגיבוי בשיטה זו: א. לעתים כופרות מצליחות למחוק את קובצי הגיבוי של שחזור המערכת; ב. אפשר לשחזר רק קבצים שנשמרו בגיבוי האחרון שבוצע; ג. הכופרה עלולה להשתלט גם על מערכת ההפעלה ולמנוע את את הפעלת פונקציית השחזור.

שמירת הקבצים באתר שנמצא מחוץ למחשב – יש שתי שיטות לשמור קבצים מחוץ למחשב: א. גיבוי – העתקת קבצים חדשים או מעודכנים לאתר אחסון חיצוני כל שהוא, או בזמן אמת או זמן מה לאחר היצירה או השינוי; ב. סינכרון – כל קובץ חדש או מעודכן מועתק אוטומטית לאתר החיצוני. נדגיש שסינכרון הוא דו-צדדי, דהיינו כל קובץ שמשתנה באתר האחסון החיצוני משתנה גם במחשב האישי.

בהיערכות לתקיפה של כופרה חייבים לדעת שתוכנות כופרה מצפינות לא רק את הקבצים במחשב הנגוע אלא גם את הקבצים בכוננים חיצוניים הקשורים למחשב ובמחשבים אחרים הנמצאים באותה רשת, לכן יש להיערך לכך ולאחסן את הקבצים באופן שהכופרה לא תצליח להצפין גם אותם.

אפשרויות אחסון חיצוני לקבצים: א. דיסק או התקן אחסון חיצוני שמחובר למחשב באופן קבוע; ב. דיסק חיצוני שמחובר למחשב באופן זמני רק לצורך ביצוע הגיבוי, ומנותק מיד לאחר סיום הגיבוי; ג. שרת רשת; ד. מחשב אחר בחיבור רשתי או אינטרנטי; ה. גיבוי באתר אינטרנט המאפשר אחסון קבצים ("ענן").

אתרי האחסון האינטרנטיים הידועים ביותר (מתוך אוסף גדול) הם Dropbox (2GB) ו-Google Drive (15GB). Dropbox ו-Google Drive פועלים בשיטת סינכרון, אבל אפשר להשתמש בהם כגיבוי בלבד אם לא מתקינים את האפליקציה במחשב. כמובן, בכך מפסידים את היתרון שבסינכרון אוטומטי – העלאה מיידית לענן של כל קובץ חדש או מעודכן.

יש עוד אתרי גיבוי רבים וטובים אולם יש לשים לב לנפחי הגיבוי המוגבלים המוצעים בחינם למשתמשים פרטיים. הנפח הגדול ביותר מוצע על ידי Degoo – 100GB. ברוב המקרים ניתן לשלם עבור נפח נוסף. מנויי בזק בארץ יכולים להשתמש בענן של בזק – Bezeq Cloud – שהוא חינמי בתנאי שיש להם גם קו טלפון וגם מינוי לאינטרנט המהיר של בזק. היתרון הגדול של ענן בזק הוא שאין בו הגבלה על נפח הקבצים המגובים. מומלץ להשתמש ביותר מגיבוי "מעונן" אחד, במיוחד אם משתמשים באתר חינמי, כי כללי המשחק עלולים להשתנות – כך קרה לאתר הגיבוי SugarSync, שהיה מעולה, אך יום אחד החליטה החברה שאין יותר "חינם", וגם לאתר OneDrive, כאשר מיקרוסופט הודיעה באופן חד-צדדי על הקטנת הנפח החופשי מ-15GB ל-5GB; גם Bezeq Cloud היה בתחילה חופשי לבעלי קו בזק בלבד ואחר כך נחסמה הגישה לבעלי קו בזק שאינם מנויים לאינטרנט המהיר של בזק. סקירה עדכנית מלאה על 22 אתרי אחסון חינמיים בענן הכוללת כמה קריטריונים נוסף לנפח אחסון תמצאו בכתובת: http://bit.ly/1pc9k40.

גיבוי עמיד לכופרה הוא אתר גיבוי בענן שרק מעתיקים אליו קבצים באופן ידני ומנתקים את הקשר בתום ההעתקה, או גיבוי ידני לדיסק או התקן אחסון חיצוני הנעשה בתדירות מסוימת בהתאם לצורך, כאשר בתום הגיבוי מנתקים את הדיסק מהמחשב. החיסרון הוא שקבצים חדשים יחסית שנוצרו או עודכנו אחרי הגיבוי האחרון אינם ניתנים לשחזור אם מסתמכים אך ורק על אתר הגיבוי או על הדיסק החיצוני הנתיק.

אם הדיסק החיצוני מספיק גדול (זה המצב בהרבה מקרים) רצוי לאחסן גם "תמונה" (Image) של דיסק מערכת ההפעלה לשימוש במקרה שהכופרה משתלטת על מערכת ההפעלה ומונעת הפעלת שחזור. במקרה כזה ניתן "לדרוס" את דיסק המערכת באמצעות שחזור העתק אחרון מהגיבוי החיצוני, וכך לחסוך תהליך שלם של התקנה מחדש של מערכת ההפעלה ושל כל התוכנות האחרות במחשב. יש מגוון תוכנות שירות חינמיות המייצרות אפשרויות לגיבוי ולשחזור מסוג זה.

נוסף לגיבוי, חשוב להשתמש באמצעי זהירות בסיסיים, ואפרט להלן.

הגבלת מספר משתמשים – המחשב שלך הוא שלך, לא של הילדים שלך ולא של הנכדים שלך. פעולה לא מבוקרת של משתמש אחר עלולה להכניס נוזקות למחשב.

שימוש בחשבונות מוגבלים של Windows – ניתן להגדיר שני סוגים של חשבונות: חשבון מנהל (אדמיניסטרטור), שבו למשתמש יש הרשאות להתקין תוכנות ולבצע שינויים במערכת, וחשבון מוגבל. אמצעי התראה נוסף שיש לשים אליו לב, גם כשעובדים עם הרשאת מנהל, הוא תכונה של Windows בשם בקרת חשבון משתמש – UAC = User Access Control – המציגה הודעה כאשר תוכנה מבצעת שינוי הדורש הרשאה ברמת המנהל. ברוב המקרים, אם עובדים בחשבון ללא הרשאת מנהל, גם כופרה שתצליח לעקוף את מנגנון בקרת המשתמש עדיין לא תוכל לפעול בגלל המגבלות של החשבון. הסבר מפורט יותר ניתן לקרוא כאן: http://bit.ly/1VBfRnG.

כשמקבלים מחשב חדש הוא מוגדר למשתמש (user) יחיד ולחשבון זה יש הרשאות אדמיניסטרטור. מומלץ לפתוח מיד חשבון נוסף מוגבל ולעבוד אתו בשגרה, גם אם יש אך ורק משתמש אחד. לצורך זה אפשר לנצל את חשבון האורח, שבדרך כלל קיים אך אינו מופעל. לשני החשבונות רצוי מאוד להגדיר סיסמת כניסה. הגדרת החשבונות נעשית דרך לוח הבקרה – control panel, כפי שמודגם בצילום המסך:

כופרה 6

כאשר מוסיפים חשבון מוגבל למחשב אחרי שעובדים פרק זמן מסוים עם חשבון יחיד ברמת מנהל, מומלץ להעביר קבצים מהתיקיות הבסיסיות הקיימות לתיקיות החדשות – לכל משתמש מוגדרות ארבע תיקיות בסיסיות בנפרד: מסמכים, תמונות, מוסיקה ווידאו. גם הורדות מועברות לתיקייה נפרדת לכל משתמש. כמו כן מומלץ להעתיק את תוכן תיקיית דסקטופ (desktop) של המשתמש הקיים לתיקייה המקבילה של המשתמש החדש, כדי לשמור על הארגון של החלון הראשי. בשעת התקנה של תוכנה חדשה חשוב לשים לב להנגיש אותה לכל המשתמשים.

אם מתעקשים לתת גישה לילדים או לנכדים חייבים להגדיר להם חשבון מוגבל.

הגדרות מאקרו ב-Office – יש כופרות כגון Locky ששולחות הודעה במייל ובה מתבקש הקורבן להפעיל מאקרו כדי לראות הודעת מייל. מאקרו הוא סט פקודות של אופיס שמופעל אוטומטית. חשוב לוודא שהגדרת ברירת המחדל היא מאקרו מושבת. אפשר להגיע להגדרות המאקרו דרך תפריט קובץ => מרכז יחסי אמון, כפי שמודגם בצילום המסך להלן:

כופרה 7

מניעת השתלטות מרחוק – יש לוודא שלא קיימת יכולת הפעלה מרחוק. כך עושים זאת: א. יש להיכנס ללוח הבקרה; ב. לבחור system and security; ג. ללחוץ על allow remote desktop בקבוצת system; ד. לוודא שההגדרות הן כמו בתמונת המסך:

כופרה 8

במקרה שמזמינים השתלטות מרחוק על ידי גורם ידוע, למשל כדי לבצע תיקון המחשב מרחוק על ידי טכנאי, יש לבצע הפעלה מחדש של המחשב בתום התיקון כדי לוודא שלא נותר קישור חיצוני אל המחשב.

עדכונים – לעתים השתלטות על מחשבים נעשית באמצעות ניצול פרצות במערכת ההפעלה עצמה או בתוכנות שמותקנות במחשב, כגון Acrobat Reader. חייבים להקפיד על עדכון מתמיד של מערכת ההפעלה, של התוכנות ושל הדפדפנים. לאחרונה פורסמה "קריאה דחופה" להסיר את תוכנת QuickTime של Apple (ראו: http://blog.trendmicro.com/urgent-call-action-uninstall-quicktime-windows-today/), מאחר שהחברה הפסיקה לתמוך בה ובאחת המעבדות נמצאו בה פרצות המאפשרות השתלטות עוינת על המחשב.

בתמונת המסך להלן מוצגת ההגדרה המומלצת לעדכונים של מערכת ההפעלה. ניתן להגיע אליה דרך לוח הבקרה כמודגם או בהקשת windows update על סמל החלונות למטה (מימין או משמאל, תלוי בשפה הראשית).

כופרה 9

נוסף לכל אמצעי הזהירות שננקטים באמצעות הגדרות נכונות של מערכת ההפעלה, ניתן להתקין מגוון תוכנות ותוספי דפדפן להגנה. בחלק השלישי של המאמר אציג כמה אמצעי הגנה חיצוניים כנגד מתקפות כופרה והכוונות לטיפול במחשב שנפגע.

שיתוף ב facebook
Facebook
שיתוף ב twitter
Twitter
שיתוף ב linkedin
LinkedIn
שיתוף ב whatsapp
WhatsApp
שיתוף ב email
Email

16 תגובות

  1. יש לי כונן חיצוני המחובר באופן קבוע עם המחשב עם איזו תכנה חינמית מומלץ לעבוד לצורך גיבוי הנתונים?

    1. אני משתדל להמליץ רק על תוכנות שאני אישית משתמש בהן. לגבי תוכנת גיבוי יש לי משהו "עתיק" שעובד יפה ואי אפשר למצוא אותו בשום מקום.
      אביא בהמשך המלצות לתוכנות גיבוי בהסתייגות שאין לי ניסיון אישי אתן

  2. מאמר מצויין. כתוב בצורה בהירה לכל. אולי אפשר להוסיף התייחסות ל"חלונות 10" והאם יש בה תכונות מובנות נגד נוזקות שניתן להפעיל.

  3. עוד מעט לא נוכל להתנהל בלי יועץ אבטחת מידע לכל מחשב ביתי.

  4. היו מקרים שהתפרסמו על כך שהאקרים גנבו או העתיקו או לקחו ואחר כך מחקו. ואז פנו לאתר והודיעו שהחומר הרגיש יפורסם אם לא ישלמו להם כופר. זאת גם כופרה?

    1. ההגדרה של כופרה היא תוכנה שמשתלטת על המחשב ומצפינה את הקבצים. המקרה שאתה מתאר לא מוכר לי אבל אפשר לשייך אותו.

  5. אני מצפה למאמרים כאלה שעוזרים לך מעשית בנושאים רלוונטיים.

  6. נוזקה שחודרת למחשב ודרכו עוברת לגיבויים שנעשים ואז עושה נזק רק בגיבויים כך שאף אחד לא יוגע או שם לב ואז כאשר נועלים המחדב בשלב השני הגיהויים לא עוזרים

    1. אפשרות זו קיימת והצגתי אותה.
      אם יש הרבה קבצים וגיבויים במספר מקומות, כולל בענו ייתכן שהכופרה לא תספיק להצפין את כולן לפני שנוכחותה תתגלה.
      בכל מקרה שים לב שהמלצתי לבצע גיבויים ידניים לכונן חיצוני ולנתק אותו מהמחשב בתום הגיבוי. גיבןיים כאלה עוזרים לשחזור הנתונים בדיוק במצב בו אתה מתאר.

  7. הם גם לא קוראים מאמרים כאלה ולא שמעו על הבעיות ולא נוקטים בשום אמצעי זהיאות אפילו לא אנטי וירוס

  8. ולא מתקפות של תוכנות זדוניות.המנהלים לא מבינים על איזה פצצות זמן הם יושבים מול העובדים שלהם שלהם כמעט הכל פתוח.

  9. סדרת המאמרים מכוונת לאנשים פרטיים.
    בחברות יש הרבה פרצות ניהוליות ובהחלט מומלץ לחברות וארגונים לפנות לגוף מקצועי מוכר ומסמך לייעוץ.

כתיבת תגובה

האימייל לא יוצג באתר.

פרסום תגובה מהווה הסכמה לתנאי השימוש באתר.
התגובות יפורסמו לפי שיקול דעת העורך.

עשוי לעניין אותך

שרטוט סמלי בית

מהי חברת ניהול נכסים?

שירותים נרחבים לבניינים על מנת שהמבנה יישאר מטופח וישמור על ערכו

שאול אייזנברג

שכונה

פיטורי המאמן במכבי תל אביב

פיצוץ אטומי

על הסף

חידוש הסכם הגרעין עם איראן – תרחישים אפשריים