מהו וירוס כופר?
וירוס כופר הוא בעצם קובץ ((Script שמכיל בתוכו פקודות אוטומטיות, וברגע שאנחנו מכניסים אותו למחשב שלנו ופותחים אותו אנחנו מריצים את הפקודות האוטומטיות שנכתבו בו מראש לפלטפורמת חלונות ו\או לינוקס וכו’. כך בעצם וירוס הכופר משתמש ביכולות של מערכת ההפעלה שלנו כדי להצפין לנו את הקבצים.
האם יש כמה סוגים של וירוס כופר?
קיימים אלפי סוגים של וירוס כופר אך דפוס הפעולה והמטרה הסופית זהים לכולם. כל אדם עם ידע לא עמוק מדיי באבטחת מידע יכול לכתוב וירוס כופר “מוצלח” וגם ” פחות מוצלח”. הווירוסים היותר נפוצים והיותר הרסניים הם אלו שתכנתו אותם בקפדנות רבה במטרה ברורה על מנת לגזול את כספכם. לאחר ההדבקה וההצפנה יפתח הדפדפן, יסביר לכם מה קרה לכם וגם יציע לכם לשלם על המידע שלפני רגע היה שלכם.
מדוע וירוס כופר קיבל את השם הזה?
וירוס כופר, באנגלית Ransomware | כשמו כן הוא – מצפין לכת את המידע הכי יקר וחשוב לכם במחשב האישי שלכם, במגרש הביתי שלכם, היכן שנדמה לכם שאתם בטוחים. חודר לכם לפרטיות בצורה הכי בוטה ומביכה שיכולה להיות ולאחר מכן דורש כופר בדרכים שונות ומגוונות.
כיצד וירוס הכופר פועל, וכיצד פוגע לנו בכל המיידעים החשובים שלנו?
כמו שכבר הבנו וירוס כופר הוא בעצם קובץ ((Script שמכיל בתוכו פקודות אוטומטיות.
וירוס כופר לא “המציא” את הצפנת הקבצים. הוא בעצם מנצל את היכולות שממילא יש למערכת ההפעלה להצפין קבצים וזה מה שהוא עושה, והוא מצפין ברמה הגבוהה ביותר, לא רק זה – הוא מצפין את הקבצים בכמה רמות. ברמת הקובץ עצמו ולאחר מכן ברמת המחיצה כולה. הסיכוי להשיב את המידע ללא מפתחות ההצפנה המקוריים הוא הרבה מתחת לאפס – אלא אם כן דאגתם לגיבוי הולם.
באילו דרכים וירוס כופר עשוי להגיע למחשבים ו\או לשרתים שלנו?
שאלת השאלות, איך הוירוס מגיע אלינו? הרי אנחנו אלו שבסוף צריכים להכניס אותו אלינו למחשב….בדרך כלל הוא לא מגיע בכוחות עצמו לתוך המחשב שלנו – אנחנו אלו שמכניסים אותו.
אז איך בכל זאת הוא מצליח לשטות בנו ולגרום לנו להכניס אותו אלינו?
בעידן של היום, כשכולם מחוברים וכולם עובדים מול כולם ללא הגבלה של מרחק או מקום, המידע שלנו חשוף. אפילו מידע שכביכול נראה לנו סתמי ואם מישהו ידע עליו זה לא אמור להזיק לנו, המפעילים של וירוס הכופר משתמשים במידע הזה כדי לשטות בכם.
למשל אם אדם עוסק בראיית חשבון ובכתובת המייל שלו יש את צרוף האותיות CPA שזה בעצם רואה חשבון…המפעילים של וירוס הכופר ידעו לזהות את זה באמצעות סריקה שהגדירו מראש ולשלוח לאותה כתובת דוא”ל איזשהו מייל שבתוכו קובץ ששמו INVOICE (חשבונית). בדרך כלל מה שעושים כשפותחים דוא”ל זה לבדוק אם יש קבצים מצורפים ומיד פותחים אותם מבלי לבדוק ממי הגיעו ולמה הגיעו. לכן צריכים לדאוג לאבטחה מרבית בכל הקשור לדואר אלקטרוני- משם מתבצעת רוב הפעילות של וירוס הכופר ומשם אחוזי ההצלחה שלו מסחררים.
דוגמה נוספת ומפחידה במיוחד – Facebook! איך הוירוס מגיע אלינו למחשב מתוך Facebook?
מכירים את זה שתוך כדי גלישה אתם פוגשים פוסט של חבר שבו כתוב “גלה עד כמה אנשים אוהבים אותך”…..כולנו רוצים לדעת על עצמנו כמה ומדוע אוהבים אותנו, אז אנחנו לוחצים. וכשלוחצים האפליקציה שעליה לחצנו מבקשת מאיתנו הרשאות לנהוג בחשבון שלנו כרצונה – ואנחנו מאשרים, העיקר שנדע כמה אוהבים אותנו J אותה אפליקציה יושבת לה בשקט בשקט בפרופיל שלכם ואוספת אלפי סקרנים נוספים וביום בהיר אחד המפעיל שלה פועל…….
אתם רואים Notification חדש מחבר מוכר ואהוב שלכם שכתב עליכם משהו, אתם לוחצים מבלי בכלל לדעת על מה, קובץ יורד אליכם למחשב והופה! נדבקתם בוירוס כופר.
ענקיות האינטרנט Google ו Facebook ודומיהן עושות המון על מנת להגן עלינו מפני וירוס הכופר, אבל בכל פעם מחדש המפעילים של הוירוס מערימים על האחרונות.
לאחרונה קרה דבר מדאיג מאוד – קיימים שירותי דיוור של דואר אלקטרוני ברמה עולמית…חברות כמו Sendgrid ו Mailchimp שלהם יש TRUST (אמון) מול Google לדוגמה, שמפעילה מאות מיליוני חשבונות Gmail .
רמת סינון הדוא”ל של Gmail ו Google Apps לעסקים היא ללא ספק הגבוהה והחזקה ביותר בעולם אך גם לשם חדר הכופר באין מפריע באמצעות שירותי הדיוור הנ”ל עליהם Google סומכת באופן עיוור. מה עשו המפעילים? שלחו וירוס כופר באמצעות שירותי הדיוור Sendgrid מה שהביא את הדוא”ל הנגוע ישירות לתיבת הדואר הנכנס ומפה הדרך להידבק בוירוס כופר קצרה מדיי.
הדבר דומה לקבלה של מוצר זדוני מבן משפחה עליו אנחנו סומכים ב-100% – לא נחשוד לרגע שבן משפחה קרוב ירצה להזיק לנו. זאת אותה מערכת יחסים בין Google לשירותי הדיוור העולמיים המוכרים דוגמת Sendgrid ו Mailchimp . לקחים כמובן הופקו, אך המפעילים תמיד צעד אחד לפנינו.
מי מפעיל את וירוס הכופר וכיצד עושים זאת מבלי להיתפס?
המפעילים של וירוס הכופר הם האקרים, האקרים בעלי ידע נרחב שמחפשים לעשות כסף קל – והם גם מצליחים. הם משקיעים כמה שעות בכתיבת תוכנת כופר על כל שלביה. חושבים כיצד לפתות אותנו ולדביק אותנו בתוכנת הכופר שלהם. לאחר מכן חושבים כיצד יידעו אותנו שכך עשו לנו ובסוף דואגים לדרך בה יוכלו לקחת לנו את אותו הכופר המדובר. הרי אנחנו לא יודעים מי הם, וכמובן שהם לא יבקשו לפוגש אותנו באיזו סמטת רחוב עם תיק מלא במזומנים. אז איך בכל זאת הם מצליחים לקחת מאיתנו כסף בהמון מקרים מבלי להיתפס?
עולם הרשת בנוי ממיליארדי שרתים. אותם האקרים יוצרים איתנו קשר באמצעות רשתות ה “Dark net” . המסר שהם העבירו לנו עבר דרך 1000 או 2000 או 50,000 שרתים שונים ממדינות שונות מכתובות IP שונות…..להתחקות אחר דבר כזה זה בלתי אפשרי, מה גם שאותם שרתים פתאום משתנים והרצף נקטע ואז טכנית בלתי ניתן להתחקות אחר אותם האקרים.
והכסף? איך הם דורשים את הכסף? ואיך הם מצפים שנאמין להם שנקבל את המידע חזרה?
הם מכניסים אותנו לתוך קישור מסוים, קישור עמוק בתוך רשת ה “”Dark Net ושם כותבים לנו להעביר להם תשלום באמצעות מטבע וירטואלי Bitcoin. ועל מנת שנאמין הם יתנו לנו מפתח לכמה מהקבצים שלנו על מנת שנאמין שבידיהם המפתח לכל השאר. לעיתים הם כותבים “קודם הכסף לאחר מכן המפתח”……..לפעמים הם נותנים מפתח ולפעמים לא. ברוב המקרים לא L. כל זה יכול להימנע. קראו בהמשך…..
מהם הדרכים להימנע מוירוס כופר?
הדרכים הבטוחות ביותר להימנע מוירוס כופר הם בראש ובראשונה אנטי וירוס מכובד – ולא חינמי!
דוגמאות : Eset Nod32 | Mcafee | Kaspersky | Norton – אנחנו ממליצים על ESET NOD32 .
מאחר וכבר הבנו שוירוס שמפעיליו של וירוס כופר מרכזים את רוב הפעילות שלו סביב דואר אלקטרוני- דאגו לכתובת דואר ארגוני תחת דומיין מסודר ותחת שירות דואר מסונן ומאובטח ברמה גבוהה כמו Google Apps .
במידה וקיים שרת דואר במשרד – חובה להעביר את הדואר סינון דרך כלי סינון מקצועי שמתעדכן ברמה שעתית + לדאוג לרשומת SPF (דרוש ידע נרחב ב-DNS על מנת לעשות זאת נכון)
בעלי תיבות בספקיות אינטרנט עם סיומות 013net.net | netvision.net.il | 012.net.il | bezeqint.net ובעלי תיבות pop3 שמאוחסנות תחת חשבונות אחסון אתרים – אתם ברמת הסיכון הגבוהה ביותר לקבלה של וירוס כופר במייל. המידע שלכם חשוף, הדואר שלכם פריץ מאין כמותו והפרוטוקול איתו אתם עובדים POP3\IMAP מיושן ובעייתי.
לנקוט משנה זהירות – הוירוס מגיע בקבצי RAR או ZIP (מכווץ). לא לפתוח קבצים מיד, לראות מאיזו כתובת הגיע המייל. גם אם פותחים את קובץ ה RAR עדין אל נדבקתם. אפשר לראות בתוכו את הקובץ האמיתי. אם הוא בפורמט JS או BAT או EXE או MSI כנראה שמדובר בכופר – למחוק מיד! ולאחר שמחקתם לשאול את עצמכם מה הקובץ עשה לכם ב INBOX ? שירותי דואר מאובטחים לא היו נותנים לו להגיע לשם.
לא להתפתות לכל מיני פוסטים ברשתות החברתיות בסגנון “מה אנשים חושבים עלי” או “איזו מכונית הייתי אם הייתי מכונית”, לא למהר לאשר כל אפליקציה. וגם אם נהגתם כך בעבר ודבר עוד לא קרה ניתן לגשת לאפליקציות שאתם מנויים עליהן בחשבונות שלכם ברשתות החברתיות ולהסירן מהפרופיל.
כשמורידים מהאינטרנט, אם התכוננתם להוריד שיר תדעו שפורמט של שיר אמור להיות mp3 או wav וכמובן שלא exe או js – לשים לב לזה!
חמשת הדברים שאתם מוכרחים לבצע במחשב בבית ובעסק – כן, לפני שהכופר מגיע!
- גיבוי מקומי מקיף של קבצים לחודש ומערכות ההפעלה לחוד + גיבוי בענן מתקדם המאפשר לשחזר גרסאות של המידע שלכם אחורנית.
מדוע Google Drive ו Dropbox ו OneDrive לא רלוונטיים עבור וירוס כופר? תוכלו לקרוא כאן את ההבדל בין גיבוי לבין שרידות – כאן תבינו מדוע כל אחד מהשירותים הנ”ל לא ייתן מענה בעת הדבקה בוירוס כופר, בדיוק להיפך. - אנחנו קוראים לו הקוסם – Shadow Copy . דאגו ל Shadow Copy מתוזמן על השרתים שלכם. השירות הזה הוא חינמי והוא חלק ממערכת ההפעלה של השרת, הכונן מצלם את עצמו מתי שתגידו לו, עם כל הקבצים והמסמכים בפנים, מימים שונים ומשעות שונות שהגדרתם לו- וירוס הכופר לא יודע להצפין את ה Shadow Copy . במידה ונדבקתם בכופר תוכלו לשחזר את המידע ב-2 לחיצות באמצעות ה Shadow Copy .
- דאגו לדואר ארגוני מאובטח עם שירותי אנטי וירוס ואנטי ספאם מתקדמים – אנחנו ממליצים על Google לעסקים.
- שקלו ברצינות רבה (אל תשקלו-פשוט עשו זאת!) מעבר לווירטואליזציה, בין אם במשרד עצמו או בענן. שרתים וירטואליים חזקים יותר, דינאמיים יותר, לא תלויים בחומרה, מגובים בצורה הרבה יותר קלה. חזרת לשגרה מאסון כופר או מכשל חומרה היא עניין של דקות, מקסימום שעות.
- הכי חשוב! – חושדים שנדבקתם? חושדים שהרגע פתחתם וירוס כופר ועדין לא קרה דבר? יתכן מאוד שמשהו מפריע לוירוס לרוץ – אבל הוא מחכה להפעלה מחדש של המחשב. אל תפעילו את המחשב מחדש! זה מה שיפעיל את ההצפנה על הקבצים. הוירוס פרש קבצים ב START UP וב-REGISTERY של במחשב או השרת ומחכה להפעלה מחדש על מנת להריץ את ההצפנה…..! חושדים? שמרו הכל לפני.
כל הזכויות על המאמרים המקצועיים המתפרסמים באתר זה שמורות לפי.סי פאנצ’ מחשבים ותקשורת.