09/03/2016
בהמשך לפוסט מינואר, חברת ESET ישראל משחררת היום אזהרה נוספת כלפי הוירוס, הכוללת הסברים ודרכי התמודדות. בבקשה שתפו!! כשזה פוגע במחשב שלכם - זה כואב!
===========================
מהן מתקפות Ransomeware שמצפינות קבצים חשובים ודורשות תשלום כופר עבור שחרורם – ואיך תתמודדו איתן?
מדובר בתופעה של תוכנות כופר (ransomware) שמופצות על ידי ארגוני פשע בשנים האחרונות כאשר משפחת הנוזקות הנ"ל מזוהה בתור FileCoder והיא פועלת באמצעות טכנולוגיה אשר מקודדת קבצים בקידודים שונים, ומגינה על מפתחות ההצפנה בקידוד נוסף, מה שמונע פריצה של הקידוד באמצעים רגילים. כדי להוסיף על הקושי בפריצת הקידוד, מאוחסנים מפתחות ההצפנה בשרתים מרוחקים.
הנוזקות מצפינות מסמכי אופיס, PDF ותמונות במחשב, וברשתות היא מקודדת קבצים כנ"ל בתיקיות משותפות שיש אליהן גישה והרשאות כתיבה מהתחנה שנפגעה. אם מתבצע גיבוי לכונן חיצוני או לשיתוף קבצים בענן, גם קבצים אלה יוצפנו. לאחר מכן מופיעה הודעה למשתמש או למשתמשים על גבי שולחן העבודה, או בקובץ שנוצר בכל התיקיות שמוצפנות, עם דרישה לתשלום (סכום שנע בין מאות לאלפי דולרים) בתמורה למפתח ההצפנה שיאפשר שחזור של הקבצים. במרבית המקרים המשתמשים מודבקים באמצעות אימייל שמתחזה להודעת פקס, חבילה, הודעה קולית או חשבונית עם קובץ מצורף, שברגע שהוא מופעל, הוא מוריד גרסה עדכנית של Filecoder ומפעיל אותה.
בחלק מהמקרים ההדבקה מתבצעת באמצעות JAVA Script באתרי אינטרנט לגיטימיים שמודבקים, או מתוך אתרים נגועים שהמשתמשים מקבלים אליהם הפניה מאימיילים או רשתות חברתיות.
במספר מועט של מקרים לא מעורבת כלל נוזקה בהתקפה, והיא מתבצעת דרך RDP כאשר חיבור Remote Desktop פתוח ברשת עם סיסמה פשוטה יחסית, ואז התוקפים בדר"כ מסירים את האנטי וירוס ומריצים ידנית את תוכנת הכופר.
כללי מפתח למניעת התקפות כופר:
1. יש לוודא התקנה של אנטי וירוס מעודכן וחוקי במחשב או בכל התחנות ברשת.
2. לבצע עדכוני מיקרוסופט קריטיים בשרתים ובתחנות.
3. להשתמש בחומת אש המייצרת שכבת הגנה חיונית מפני תוכנות הכופר.
4. לסגור את הפורט של ה-Remote Desktop (3389) בחומת האש, ולסגור את ה Service שלו במחשב או ברשת.
5. לבצע גיבויים שבועיים או דו-שבועיים (מומלץ גיבוי אונליין ולא מקומי).
6. לחסום סיומות EXE ו-SCR בתוכנת האנטי וירוס שסורקת את הדוא"ל.
כיצד להתמודד עם מחשב או תיקיות משותפות שהוצפנו בהם כבר קבצים?
1. חלק מהסוגים של תוכנות הכופר ניתנים לשחזור באמצעות כלים חינמיים של ESET (כרגע קיימים כלים עבור 6 משפחות של Filecoder). רשימת הסוגים והכלים המתאימים זמינה באתר ESET: /http://www.eset.com/int/download/utilities
2. מומלץ שלא לשתף פעולה עם העבריינים הדורשים כופר – במקרים רבים גם לאחר תשלום הכופר לא מועבר מפתח ההצפנה ולא ניתן לפתוח את הקבצים. כמו כן, הפעולה תעודד את העבריינים לתקוף את המחשב או הרשת בהמשך.
3. לשחזר את הקבצים מגיבוי – לאחר ביצוע הפעולות המומלצות להתגוננות, שמטרתן לוודא שלא קיים וירוס פעיל במחשב או ברשת, ניתן לשחזר את הקבצים מהגיבוי.
בכל שאלה נוספת, אני כאן :-)
ESET software provides advanced proactive antivirus protection. Download the award-winning ESET NOD32 Antivirus or ESET Smart Security now!
