בשבועות האחרונים אנחנו נתקלים בשינוי קטן ומהותי שמתרחש בארגונים השונים. עד היום היו התקפות וירוסים על מחשבי הארגון, על שרתי הארגון ורובם אם לא כולם נעצרו הן ברמת הכניסה לארגון עוד לפני הכניסה לרשת הארגונית או שזוהו על ידי האנטי וירוס בתחנות העבודה של המשתמשים.
בשבועות האחרונים המגמה משתנה. ה”וירוסים” שחודרים לארגונים הם תוכנות כופר או בשמם המקצועי Ransomwar, אלו תוכנות כופר הבאות לשבש את המחשבים בארגון, לשנות קבצים ולקחת את הקבצים בארגון ככופר ורק תמורת תשלום ניתן יהיה לשחזר את המידע.
ישנם כמה סוגי תוכנות כופר שהמוכרת נקראת Locky. תוכנת הכופר הזו לוקחת את הקבצים במחשב כ”בני ערובה” על ידי הצפנת הקבצים. המשתמשים רואים שינוי בשמם של הקבצים למספרים ואותיות (כל קובץ מקבל מספר ייחודי) עם סיומת לקובץ בשם Locky.
בדרך כלל תוכנת הכופר מגיעה בדואר האלקטרוני, במייל למשתמש בצורת קובץ מצורף כוורד או אקסל ובתוכו מושתל קוד JavaScript היודעת לנצל את החולשה של מערכות האבטחה הקיימות במחשב. ברגע הפתיחה של הקובץ תוכנת הכופר פועלת במחשב ומצפינה את הקבצים בו.
ישנן מספר משפחות של נוזקות, Ransomwar מסוג זה
- Cryptolocker
- PrisonLocker Cryptowall
- CTB-Locker
- Teslacrypt
- CoinVault
בחלק מהנוזקות ישנה אפשרות לשחזר באופן את מפתחות ההצפנה ולפענח את הקבצים הנגועים ובאחרות רק לתוקפים ישנה את האפשרות לשחזר ולשחרר את ההצפנה של הקבצים הנגועים.
הודעת הכופר מנוסחת בצורה מאוד פשוטה וברורה ובדרך כלל מגיעה בקובץ טקסט בשם _Locky_recover_instructions.txt
במסמך ניתן לראות קישורים להסבר על כך שהקבצים מוצפנים ומוגנים מפני פריצות ברמה הכי גבוהה שיש. לאחר מכן ישנם קישורים להתחבר למערכת של התוקפים, לשלם את הכופר ולקבל את המפתח האישי לפתיחת הקבצים. ברוב המקרים מחיר ה”שחרור” של הקבצים עומד על 250 ₪ עד 800 ₪ ויותר, אולם היו מקרים שלאחר התשלום, נפתחו חלק מהקבצים ואז הגיעה עוד דרישת תשלום הרבה יותר גבוהה.
ברוב המקרים אין דרך לדעת מי עומד מאחורי ההפצה הזו. בדרך כלל התשלום מתבצע במטבע וירטואלי ביטקויין שאינו ניתן למעקב. ישנן חברות מסחר בביטקויין בארץ שעוזרות בתהליך התשלום, אם בכל זאת החלטתם לשלם לפושעים.
מחשב שכבר נגוע ומפיץ את תוכנת הכופר לכל הארגון חייב להיות מכובה כמה שיותר מהר, על מנת שלא ימשיך להריץ את תוכנת הכופר ויעצור את ההדבקה. ישנן תוכנות כופר שגם משנות קבצים ברגיסטרי של המחשב, משנים את תמונת הרקע של המחשב להודעת הכופר ולכן המלצה שלי לא להדליק את המחשב הנגוע בכלל, למחוק אותו ולהתקין אותו מחדש.
כללים ופתרונות
– לא לפתוח קבצים שלא מכירים את השולח.
– גיבוי של כל המידע הארגוני באופן מסודר, שיאפשר שחזור מהיר של כל המידע.
– להתקין תוכנת אבטחה אנטי וירוס מוכרת וטובה (ורצוי לא חינמית) שתותקן על המחשב ועל השרתים בארגון. מערכות אלו יודעות לזהות את השינוי בצורה העבודה של המשתמשים ולחסום פעילויות שכאלה. למי שקיימת מערכת. למי שקיימת מערכת לבדוק שקבצי החתימות מעודכנות.
– לבדוק שבכל המחשבים מעודכנות גרסאות התוכנה האחרונות. אם בעדכוני אבטחה של מיקורסופט, אם בעדכוני תוכנות שונות וגרסאות מעודכנות של דפדפני האינטרנט.
– עדכון גרסת ה- Mail Relay , עדכון חתימות אחרון של יצרן התוכנה
– התקנת מערכת proxy בכניסת האינטרנט לארגון
– לחסום כניסה והפעלה של קבצים בסיומת EXE, SCR, CAB, MSI, ZIP וכדומה המגיעים כצרופה דרך הודעות דואר אלקטרוני
– מניעה של הרצת קבצים מתיקיית TMP ותיקיית Download וכדומה – ניתן להגדיר באמצעות ה GPO
– עלאת רמת האבטחה של מנגנון UAC – User Access Control במחשב – ניתן להגדיר באמצעות ה GPO
– להתקין מערכת הלבנת מידע, מערכת זו יודעת לנקות מהקבצים הנכנסים לארגון הן בזיכרון נייד והן מהדואר האלקטרוני את כל הקישורים, את כל הסקריפטים וכל הדברים שלא צריכים להיות בקובץ
לכל מידע נוסף ניתן להשאיר פרטים בטופס בצד או לצלצל
לחברת צ’ק פוינט יש מוצר חדש יחסית להלבנת מידע הנכנס לארגון – Threat Extraction
כיום אנו רואים יותר ויותר פתרונות להלבנת מידע. אולם רובם לא יודעים להגן על כלל כניסת מידע לארגון ולהלבין אותו במהירות.