מפת האיומים: כל מה שלא ידעתם על תוכנות כופר

תופעת תוכנות הכופר עדיין חיה ובועטת, ובשנים האחרונות הפכה התקפת כופר (Ransomware) לחלק מסל האיומים עימו מתמודדים ארגונים בארץ ובעולם. זה עלול להיות הסיוט של כל אחד מאיתנו. קיבלנו מייל למחשב, הורדנו קובץ או חיברנו USB למחשב והדבקנו את המחשב באופן שמונע מהמשתמש גישה לקבצים או למערכות ליבה שברשותו, באמצעות הצפנת המידע ונעילת הגישה אליו.

רק בשנה האחרונה ישנה מגמה של עלייה מטאורית מבחינה היקף ההדבקות של תוכנות כופר על מחשבים ובחלק לא מבוטל מהמקרים אירוע אמת יכול להגיע לכדי תשלום כופר להאקר בצד השני אם נפלו כל מעגלי האבטחה והקבצים הוצפנו. לאחר הדבקות נדרש מהמשתמש לשלם דמי כופר בצורת מטבע וירטואלי כלשהו (לרוב ביטקויין) תמורת החזרת המידע.

על בית העסק לשנות ולהתאים את האסטרטגיה שלו על-מנת לשפר את ההגנה ואת ניהול סיכוני הסייבר. תוכנות כופר אשר הדביקו מחשב בבית עסק עלולות להתפשט גם רוחבית במחלקות נוספות או במערכות קריטיות וחשבונאיות חשובות.

באיזה אופן עלול לפרוץ למחשב האישי או לטלפון הנייד:

1. דואר אלקטרוני - רוב הפעילות העסקית המתבצעת בחברות כיום היא דרך האימייל, כך הפורצים יודעים כי לרוב המשתמש לא ישים לב למשהו חריג או לקובץ שלכאורה נראה תמים ויפתח אותו.

2. הורדת קבצים למחשב - הורדות חינמיות של תוכנות או קבצים למחשב המציעים בדיוק את מה שחיפשת ובחינם ועל-ידי כך מצליחים להחדיר את הנוזקה על-ידי הרשאת התקנה.

3. חיבור באמצעות שולחן עבודה מרוחק - השתלטות באמצעות פרוטוקול RDP הפתוח לעולם ישירות לתחנות העבודה או לשרתים יאפשרו סריקה רובוטית של המחשבים והשתלת הקבצים באותם התחנות הפתוחות. או אפילו העברת הנוזקה בין משתמשים בעובדים בצורת חיבור זו ללא ידיעת המשתמש כלל כיוון שהווירוס "דוגר" באחד המחשבים וממתין להתפשטות.

4. קבצי PDF המכילים JavaScript או- VBS, אשר שותלים תוכנות זדוניות במסמכים ללא ידיעתנו.

5. שימוש בהתקנים חיצוניים מסוג USB של חברות או של אנשים לא מוכרים.

6. הרבה לא יודעים אבל נוזקות כופר יכולים לפגוע גם בטלפונים ניידים. ניתן להידבק בקלות בווירוס כופר על-ידי הורדת אפליקציות חינמיות או כאילו שהגיעו מפרסומות "מפתות" ומעבירות להורדת אפליקציות לא מורשות, או שלא מחנויות האפליקציה.

כיצד תדעו שכנראה נדבקתם בתוכנת כופר?

1. אין אפשרות לפתוח קבצים או תוכנות המותקנות על המחשב. כאשר תפתחו את התוכנה תקבלו הודעת שגיאה של אי-הימצאות הקובץ או סיומת לא נכונה.

2. תמונת שולחן העבודה תשתנה לרקע אדום עם כיתוב שנדבקתם ועם הנחיות לשחרור המידע.

3. קבצי מערכת או דפים חשבונאיים או מסמכים חשובים בתצורת WORD, EXCEL, PDF יופיעו עם אייקון לבן. המלל וסיומת הקובץ ישתנו למלל לא מוכר.

4. לא תוכלו להדליק את המחשב בטענה שאחד מקבצי המערכת נפגם.

אם נדבקתם מה מומלץ לעשות באופן מיידי?

1. ניתוק מיידי של המחשב מכל מדיה המאפשרת את פיזור המידע אל מחוץ למחשב: כבל רשת, כרטיס/התקן BT, אמצעי אינטרנט אלחוטי, התקן חיצוני USB, תיקיות משותפות, אחסון בענן ובדיקה אם האמצעים המשותפים נדבקו גם כן.

2. הימנעות מעבודה על המחשב הנגוע וניסיון פתיחה או מחיקת קבצים או סריקת וירוסים.

3. להבין את היקף הפגיעה - האם רק המחשב שלכם נפגע, האם עוד מחשבים במשרד, להבין מה היה במחשב ומה יכול היה להידבק.

4. נסו לברר את שם וירוס הכופר - לרוב השם יהיה הסיומת של הקובץ שנפגע - וחפשו מידע על-אודותיו ועל דרכי התמודדות. לרוב יהיה מידע על הווירוסים אלא אם מדובר ב-eroDay.

5. החליטו מה עושים הלאה ואיך ממזערים נזקים וחוזרים לשגרה במהירות האפשרית.

אלו אפשרויות העומדות בפניכם:

1. שחזור מגיבוי - בין אם זה גיבוי ענן ובין אם גיבוי מקומי, יש לבדוק את תאריך השחזור האחרון הקיים ולבצע בדיקה האם הקבצים שם תקינים במלואה. בנוסף, קיים במערכות הפעלה מערך גיבוי מקומי (אם הופעל מבעוד מועד) הנקרא Shadow Copy, אשר שומר את קבצי המערכת שלכם מוצפנים, וניתן לשחזר משם את כלל הקבצים. כמו-כן, ניתן לבצע שחזור לנקודת גיבוי אחרונה Restore Point של כלל המחשב.

2. נסיון לפתוח את ההצפנה על-ידי תוכנות ייעודיות או שירותים חיצוניים.

3. לא לבצע כלום - לשמור את הכונן הקשיח שנדבק "בצד" ולנסות לפענח ולשחזור ממנו קבצים בהמשך. בינתיים להחליף את אמצעי האחסון לחדש ולבצע התקנה חדשה של מערכת ההפעלה. אם הצלחתם למחוק את הווירוס ולשחזור את הקבצים. עדיף לא להמשיך להשתמש באותו אמצעי אחסון אשר היה נגוע אלא להשתמש בהתקן חדש. יש לזהות ולחקור את מקור הכניסה ולחסום אותו למניעת תקיפה חוזרת.

המלצות למניעה והתגוננות מתקיפת וירוס כופר:

1. יש להתקין את כל העידכונים האחרונים אשר מוצעים על-ידי מערכת ההפעלה והתוכנות שאנו משתמשים בהם במהלך היום.

2. מומלץ לא להתקין תוכנות חינמיות לניקוי מחשבים וייעול מערכות אלא לבצע ניקוי וייעול מערכות עצמאי.

3. יש להתקין תוכנת אנטי וירוס מאחת הספקיות המוכרות המציעות הגנת כופרה ווירוסים.

4. יש להשתמש בציוד הגנת רשת מסוג Firewall אשר יאתר וימנע באמצעות חתימות DB את כניסתם של וירוסים או נסיונות חדירה.

5. יש לבצע גיבוי אוטומטי יומי של כלל המידע אל מדיה חיצונית / ענן.

6. אם ניתן, יש למנוע חיבור להתקני USB או STORAGE בכדי להקטין אפשרויות הדבקה.

7. לבצע הגבלות גישה פיזיות או לוגיות בין משתמשים לבין שרתים בחברה.

8. מומלץ לבחון פתיחת קישורים המגיעים באמצעות האימייל המציעים הצעות "מפתות", מבצעים, איפוסי סיסמה וכו'.

9. לבצע נעילת גישה למשתמשים או התקנים לא מורשים ולא מוכרים על-מנת למנוע התקפה מכוונת ברשת.

10. יש להפעיל Shadow Copy ו-Restore Point במחשבים על-מנת לבצע שחזור במידת הצורך.

11. מומלץ לא לאפשר למשתמשים לעבוד במצב ADMIN.

12. אם ישנו צורך בהתחברות מרחוק של עובדים או ספקים למשרד, יש לוודא כי משתמשים באמצעי VPN מוסדר המשתמש במנגנוני הזדהות.

13. מומלץ לבצע תקופתית נסיונות שחזור קבצים קריטיים לארגון על-מנת לדמות התקפה מסוג זה.

14. יש למנות אחראי אבטחת מידע במשרד אשר ירענן נהלי אבטחת מידע באופן תקופתי לעובדים.

Elpc Networks הינה חברה למתן שירותי מחשוב ותקשורת, המספקת פתרון IT מקיף ומקצועי IT as a service. המתמחה בייעוץ והקמת תשתיות, IT ניהול פרויקטים, מחשוב ענן, הקמת מערכי מחשוב ותקשורת, מתן שירותי מחשוב למגזר העסקי והמוסדי, הקמה וניהול תשתיות תקשורת.