מפת האיומים: כל מה שלא ידעתם על תוכנות כופר

בעבר הלא רחוק, נחשף באתר החדשות של אשקלון, אשקלנייעס, שהמועצה האזורית חוף אשקלון שילמה כופר בביטקוין לאחר שהאקרים השתלטו על המערכות שלה.

קיבלנו למערכת מאמר שכדאי שכולם ייקראו:

תופעת תוכנות הכופר עדיין חיה ובועטת, בשנים האחרונות הפכה התקפת כופר (Ransomware) לחלק מסל האיומים עימו מתמודדים ארגונים בארץ ובעולם. זה עלול להיות הסיוט של כל אחד מאיתנו, קיבלנו מייל למחשב, הורדנו קובץ או חיברנו USB למחשב והדבקנו את המחשב באופן שמונע מהמשתמש גישה לקבצים או מערכות ליבה שברשותו, באמצעות הצפנת המידע ונעילת הגישה אליו.

מאת: אלי לוין, מנכ"ל ומייסד חברת Elpc Networks

רק בשנה האחרונה ישנה מגמה של עלייה מטאורית מבחינה היקף ההדבקות של תוכנות כופר על מחשבים ובחלק לא מבוטל מהמקרים אירוע אמת יכול להגיע לכדי תשלום כופר להאקר בצד השני במידה ונפלו כל מעגלי האבטחה והקבצים הוצפנו. 

לאחר הדבקות נדרש מהמשתמש לשלם דמי כופר בצורת מטבע וירטואלי כלשהו (לרוב ביטקויין) תמורת החזרת המידע.

על בית העסק לשנות ולהתאים את האסטרטגיה שלו על מנת לשפר את ההגנה ואת ניהול סיכוני הסייבר. תוכנות כופר אשר הדביקו מחשב בבית עסק עלולות להתפשט גם רוחבית בפני מחלקות נוספות או מערכות קריטיות וחשבונאיות חשובות.

באיזה אופן עלול לפרוץ למחשב האישי או לטלפון הנייד:

1. דואר אלקטרוני – רוב הפעילות העסקית המתבצעת בחברות כיום היא דרך האימייל, כך הפורצים יודעים כי לרוב המשתמש לא ישים לב למשהו חריג או קובץ שלכאורה נראה תמים ויפתח אותו.
2. הורדת קבצים למחשב – הורדות חינמיות של תוכנות או קבצים למחשב המציעים  בדיוק – את מה שחיפשת ובחינם ועל ידי כך מצליחים להחדיר את הנוזקה ע"י הרשאת התקנה.
3. חיבור באמצעות שולחן עבודה מרוחק – השתלטות באמצעות פרוטוקול RDP הפתוח לעולם ישירות לתחנות העבודה או השרתים יאפשרו סריקה רובוטית של המחשבים והשתלת הקבצים באותם התחנות הפתוחות. או אפילו העברת הנוזקה בין משתמשים בעובדים בצורת חיבור זו ללא ידיעת המשתמש כלל ביון שהוירוס "דוגר" באחד המחשבים וממתין להתפשטות.
4. קבצי PDF המכיליםJavaScript  או- VBS, אשר שותלים תוכנות זדוניות במסמכים ללא ידיעתנו.
5. שימוש בהתקנים חיצוניים מסוג USB של חברות או אנשים לא מוכרים.
6. הרבה לא יודעים אבל נוזקות כופר יכולים לפגוע גם בטלפונים ניידים, ניתן להידבק בקלות בוירוס כופר ע"י הורדת אפליקציות חינמיות או כאילו שהגיעו מפרסומות "מפתות" ומעבירות להורדת אפליקציות לא מורשות, או שלא מחנויות האפליקציה.

כיצד תדעו שכנראה נדבקתם בתוכנת כופר?

1. אין אפשרות לפתוח קבצים או תוכנות המותקנות על המחשב. כאשר תפתחו את התוכנה תקבלו הודעת שגיאה של אי הימצאות הקובץ או סיומת לא נכונה.
2. תמונת שולחן העבודה תשתנה לרקע אדום עם כיתוב שנדבקתם עם הנחיות לשחרור המידע.
3. קבצי מערכת או דפים חשבונאיים או מסמכים חשובים בתצורת WORD, EXCEL, PDF יופיעו עם אייקון לבן. המלל וסיומת הקובץ ישתנו למלל לא מוכר.
4. לא תוכלו להדליק את המחשב בטענה שאחד מקבצי המערכת נפגם.

במידה ונדבקתם מה מומלץ לעשות באופן מיידי?

1. ניתוק מיידי של המחשב מכל מדיה המאפשרת את פיזור המידע אל מחוץ למחשב: כבל רשת, כרטיס/התקן BT, אמצעי אינטרנט אלחוטי, התקן חיצוני USB, תיקיות משותפות, אחסון בענן ובדיקה אם האמצעים המשותפים נדבקו גם כן.
2. הימנעות מעבודה על המחשב הנגוע וניסיון פתיחה או מחיקת קבצים או סריקת וירוסים.
3. להבין את היקף הפגיעה – האם רק המחשב שלכם נפגע, האם עוד מחשבים במשרד, להבין מה היה במחשב ומה יכול היה להידבק.
4. נסו לברר את שם וירוס הכופר – לרוב השם יהיה הסיומת של הקובץ שנפגע ולחפש מידע אודותיו ודרכי התמודדות, לרוב יהיה מידע על הוירוסים אלא אם מדובר עם ZeroDay.
5. החליטו מה עושים הלאה ואיך ממזערים נזקים וחוזרים לשגרה במהירות האפשרית.

אלו אפשרויות העומדות בפניכם:

1. שחזור מגיבוי – בין אם זה גיבוי ענן או גיבוי מקומי, יש לבדוק את תאריך השחזור האחרון הקיים לכם ולבצע בדיקה האם הקבצים שם תקינים במלואה. בנוסף קיימת במערכות הפעלה מערך גיבוי מקומית (במידה והופעלה מבעוד מועד)הנקראתShadow Copy, אשר שומרת את קבצי המערכת שלכם מוצפנים וניתן לשחזר משם את כלל הקבצים. כמו כן, ניתן לבצע שחזור לנקודת גיבוי אחרונה Restore Point של כלל המחשב.
2. נסיון לפתוח את ההצפנה על ידי תוכנות ייעודיות או שירותים חיצוניים.
3. לא לבצע כלום – לשמור את הכונן הקשיח שנדבק "בצד" ולנסות לפענח ולשחזור ממנו קבצים בהמשך, בינתיים להחליף את אמצעי האחסון לחדש ולבצע התקנה חדשה של מערכת ההפעלה.
   
   במידה והצלחתם למחוק את הוירוס ולשחזור את הקבצים. עדיף לא להמשיך להשתמש באותו אמצעי אחסון אשר היה נגוע אלא שימוש בהתקן חדש. יש לזהות ולחקור את מקור הכניסה ולחסום אותו למניעת תקיפה חוזרת.

המלצות למניעה והתגוננות מתקיפת וירוס כופר:

1. יש להתקין את כל העדכונים האחרונים אשר מוצעים ע"י מערכת ההפעלה והתוכנות שאנו משתמשים בהם במהלך היום.
2. מומלץ לא להתקין תוכנות חינמיות לניקוי מחשבים וייעול מערכות אלא לבצע ניקוי וייעול מערכות עצמאי.
3. יש להתקין תוכנת אנטי וירוס מאחת הספקיות המוכרות המציעות הגנת כופרה ווירוסים.
4. יש להשתמש בציוד הגנת רשת מסוג Firewall  אשר יאתר וימנע באמצעות חתימות DB את כניסתם של וירוסים או נסיונות חדירה.
5. לבצע גיבוי אוטומטי יומי של כלל המידע אל מדיה חיצונית / ענן.
6. במידה וניתן, יש למנוע חיבור להתקני USB או STORAGE בכדי להקטין אפשרויות הדבקה
7. לבצע הגבלות גישה פיזיות או לוגיות בין משתמשים לבין שרתים בחברה.
8. מומלץ לבחון פתיחת קישורים המגיעים באמצעות האימייל המציעים הצעות "מפתות", מבצעים, איפוסי סיסמא וכו'.
9. לבצע נעילת גישה למשתמשים או התקנים לא מורשים ולא מוכרים על מנת למנוע התקפה מכוונת ברשת.
10. יש להפעיל Shadow Copy  ו- Restore Point במחשבים על מנת לבצע שחזור במידת הצורך.
11. מומלץ לא לאפשר למשתמשים לעבוד במצב ADMIN.
12. במידה וישנו צורך בהתחברות מרחוק של עובדים או ספקים למשרד, יש לוודא כי משתמשים באמצעי VPN מוסדר המשתמש במנגנוני הזדהות.
13. מומלץ לבצע תקופתית נסיונות שחזור קבצים קריטיים לארגון על מנת לדמות התקפה מסוג זה.
14. יש למנות אחראי אבטחת מידע במשרד אשר ירענן נהלי אבטחת מידע באופן תקופתי לעובדים.

Elpc Networks הינה חברה למתן שירותי מחשוב ותקשורת, המספקת פתרון IT מקיף ומקצועי  IT as a service. המתמחה בייעוץ והקמת תשתיות, IT  ניהול פרוייקטים, מחשוב ענן, הקמת מערכי מחשוב ותקשורת, מתן שירותי מחשוב למגזר העסקי והמוסדי, הקמה וניהול תשתיות תקשורת