כיצד התוכנה הזדונית RansomWare יכולה להזיק לנו ואיך ניתן להימנע מנזקיה

30 בOctober 2013

תגיות:
אין תגובות

היום אני אעניין אתכם בתוכנה זדונית אחת מני רבות אשר תפסה את תשומת ליבי. 
Ransomware – תוכנה זדונית שמנסה לסחוט מאתנו כסף. איך? בכמה דרכים.
דוגמה לפעולה נבזית אחת היא:CryptoLocker מה שהיא עושה בעצם זה לוקחת את הקבצים שלנו כ”בני ערובה” על ידי הצפנה של המידע, ומחזיקה אותם ככופר, מה שמכריח אותנו לשלם מאות דולרים כדי להחזיר את הגישה אליהם.
מי מייצר את התוכנות הזדוניות האלו? אם חשבתם שמדובר בבני נוער שמחפשים לעשות בלאגן, טעיתם. מדובר בארגוני פשע שבצורה מאוד מקורית מייצרים הכנסה.

אז איך RansomWare בעצם עובדת?

לא כל מפגע RansomWare עובד באופן זהה, אבל הרעיון העיקרי הוא שהיא מנסה לסחוט מאתנו כסף באופן ישיר.

איך ניתן לזהות שמדובר בRansomWare ?

חלק מסוגיRansomware עשויות להיות מוסוות . זה יכול לתפקד כ"ScareWare", – תוכנה זדונית אשר מופיעה כאנטיוירוס – ומקפיצה חלון הפחדה שמספר לנו שהמחשב נגוע בוירוסים, וכדי למחוק את הוירוסים יש לשלם כסף לתוכנת האנטיוירוס.
דוגמה נוספת לScareWare, היא הודעה רשמית שזוהה כי יש שימוש בקבצים לא חוקיים במחשב, ואנו צריכים לשלם קנס על העבירה.

clip_image001
במצבים אחרים, RansomWare עשויה להתחבר עמוק לתוך קבצי המערכת שלנו, בהצגת הודעה האומרת כי היא תעלם רק כאשר תשלם כסף ליוצרים שלה. את סוג התוכנה הזדונית הזאת ניתן לעקוף באמצעות כלים להסרת תוכנות זדוניות או פשוט על ידי ההתקנה מחדש של מערכת ההפעלה.
למרבה הצער, Ransomware הופכת ליותר ויותר מתוחכמת. אחת הדוגמאות האחרונות היא הCrypto Locker, שברגע שהיא זוכה לגישה למערכת שלנו, היא מתחילה בהצפנת הקבצים האישיים שלנו עם מפתח הצפנה שיש רק ליוצרים שלה, ומונעת מאיתנו גישה.

clip_image002
לאחר מכן, Crypto Locker תציג הודעה שמיידעת אותנו שהקבצים שלנו כבר מוצפנים ושיש לנו מס’ ימים כדי לשלם ושרק אם נשלם להם (לדוגמה 300$), הם יעבירו לנו את מפתח ההצפנה שאיתו נוכל לשחזר את הקבצים שלנו. לאחר בחירת סוג התשלום, ולאחר שנשלם, נראה כי הפושעים יתנו לנו בעצם את המפתח שבו נוכל להשתמש כדי "לשחרר” את הקבצים.

ההודעה אמורה להראות כך:

clip_image003
אנחנו אף פעם לא נוכל להיות בטוחים שהעבריינים יעמדו במילה שלהם, ולא ניתן ללכת לשלטון החוק משום שאנו מסתכנים באיבוד המידע שלנו. כמובן, גם תשלום כרוך בסיכון, משום שיתכן שהסחיטה לא תגמר בזה שנשלם. מצד שני, עסקים\אנשים שמאבדים את העותק היחיד הקריטי שלהם עלולים להתפתות ולקחת את הסיכון -וזה קשה להאשים אותם.

איך נגן על הקבצים שלנו מRansomWare?

סוג זה של תוכנה זדונית היא דוגמה טובה נוספת לכך שגיבויים הם חיוניים וקריטיים. יש לגבות באופן קבוע קבצים לדיסק קשיח חיצוני או שרת אחסון קבצים מרוחק. אם כל העותקים של הקבצים שלנו נמצאים במחשב (לא משנה עם במחיצה אחרת), מספיק תוכנה זדונית אחת שתדביק את כל המחשב, ותצפין את כל הקבצים, תגביל את הגישה אליהם – או אפילו תמחק אותם לחלוטין.

כאשר מבצעים גיבויים, חייבים להקפד לגבות את הקבצים החשובים שלנו למיקום שבו לא ניתן יהיה לשנות או למחוק אותם. לדוגמה, למקם אותם על כונן קשיח נשלף (שמחובר רק לצורך גיבוי) או להעלות אותם לשירות גיבוי מרוחק,לתחנן מעין CrashPlan שיאפשר לנו לחזור לגירסאות הקודמות של קבצים. לא מספיק רק לאחסן את הגיבויים שלנו בכונן קשיח פנימי או משותף ברשת שיש לנו גישת כתיבה אליהם. 
Ransomware יכול להצפין את הקבצים בכונן הגיבוי המחובר שלנו או במיקום רשת משותף אליה מחובר המחשב שלנו, אם יש לנו גישת כתיבה מלאה אליהם. 
לכן גיבויים לעתים תכופות מאוד חשובים. לא היינו רוצים לאבד שווי עבודה של שבוע בגלל ששכחנו לגבות את הקבצים שלנו בכל שבוע (או כול יום אם הקבצים מאוד קריטיים). זה חלק מהסיבה לכך שפתרוני גיבוי אוטומטיים מאוד נוחים.

אם הקבצים שלנו ננעלו ע”י RansomWare ואין לנו את הגיבויים המתאימים, אנחנו יכולים לנסות לשחזר אותם עם ShadowExplorer . כלי חינמי שניגש ל"Shadow Copies", המשמש את Windows Vista\7\8עבור שחזור מערכת – אשר לעתים קרובות יכול להכיל כמה קבצים אישיים. עם זאת, הוא בשום אופן לא מהווה תחליף לגיבויים!

בדוגמה זו תוכלו לראות את התאריכים שבהם אני יכול לנסות לשחזר קבצים מתיקיית הורדות שלי:

clip_image004


כיצד נמנע מRansomWare?

מלבד שימוש באסטרטגיית גיבוי נכונה, אנחנו יכולים להימנע מRansomWare באותה הדרך שנוכל להימנע מצורות אחרות של תוכנות זדוניות כמו, CryptoLocker שאומת כי הוא מגיע באמצעות קבצים מצורפים לדוא"ל, באמצעות Java Plug-in או באמצעות קובץ שהותקן במחשבים שבהם יש חלק מ Zeus botnet (סוס טרויאני שנועד לגנוב מידע בנקאי).

  • ניתן להצטייד באנטיוירוס טוב שינסה לעצור את מסלולי הRansomWare. תוכנות אנטיוירוס הן אף פעם לא מושלמות, ואנחנו עדיין יכולים להיפגע גם אם נפעיל אחת מצוינת, אבל זה מצרך חשוב של הגנה.
  • ניתן להימנע מהפעלת קבצים חשודים כמגיעים מגורם לא מוכר. RansomWare יכולה להגיע כקובץexe המצורף להודעות דוא"ל, מאתרים בלתי חוקיים המכילים תוכנות גנובות, או בכל מקום אחר שמגיעות תוכנות זדוניות. צריך להיות ערניים ולנקוט באמצעי זהירות על קבצים שאנחנו מורידים אשר דורשים התקנה (מומלץ כמובן לבצע סריקה על קבצים שהורדנו).
  • חשוב כמובן להקפיד לעדכן את התוכנות שלנו (בעיקר את תוכנות האבטחה). שימוש בגרסה ישנה של דפדפן האינטרנט, מערכת הפעלה, או תוסף לדפדפן יכולה לאפשר לתוכנות זדוניות חורי אבטחה פתוחים. אם יש לכם Java מותקן, ואתם לא חייבים אותו מומלץ להסירו או כמובן לעדכן את הגרסה באופן שוטף.

בכל אופן, RansomWare – CryptoLocker "יעילה באופן אכזרי" ו"חכמה". היא פשוט מופעלת על מטרה מסוימת (למשל העסק שלך) ולוקחת ממך כסף בכך שהיא מחזיקה את הקבצים שלך "כבני ערובה" ובדרך יעילה מונעת הסרה שלה ע"י תוכנות האבטחה שלנו (לאחר שהיא מותקנת). שימו לב שבמידה ויש גיבויים שוטפים למידע, תוכנת הCrypto Locker הרבה פחות מפחידה.

סוג תוכנה זדונית זו מדגימה את החשיבות של הגיבויים וכמו כן את רמת האבטחה המתאימה. למרבה הצער CryptoLocker היא סימן למה שעלול לבוא בהמשך – זה סוג של תוכנה זדונית שיש סיכוי טוב שנתקל בה בעתיד, במיוחד אם יש לנו עסק מצליח ללא רמת אבטחה מתאימה.

מקווה שאף אחד לא יתקל בה או באחת מחברותיה.

הוסף תגובה
facebook linkedin twitter email

Leave a Reply

Your email address will not be published. Required fields are marked *