בשבועיים האחרונים פנו אלי ארבעה אנשים שונים שנפגעו מRANSOMWARE שהצפינה להם את המסמכים האישיים ודרשה מהם ₪1,956 כדי לשחררם. כמות הדיווחים בתקשורת גם היא מרמזת על עלייה בשכיחות המתקפות בארץ ובחו"ל. בדיון זה אנסה לרכז את העובדות הידועות על סוג מתקפה זו והדרכים להתגונן.

 

הסבר על שיטת הפעולה של הנוזקות הנ"ל - כאשר המחשב נדבק הנוזקה יוצרת קשר עם שרתי המפתחים ומקבלת מהם מפתח הצפנה ייחודי למחשב הנגוע. כאשר היא מקבלת אותו היא מתחילה להצפין את הקבצים בעזרת המפתח הנ"ל. כמו כן התוכנה מוחקת SHADOW COPIES של קבצים, נקודות שחזור וכו'. בשלב זה המחשב ממשיך לעבוד כרגיל אא"כ אתה מנסה ישירות לפתוח קובץ שכבר הוצפן ואז מתקבלת הודעת שגיאה. כאשר התוכנה מסיימת להצפין את הקבצים מופיעה הודעה למשתמש הדורשת לשלם סכום מסויים בביטקוין על מנת לקבל את מפתח ההצפנה. ברוב התוכנות יש זמן מוגבל לפני שמחיר שחרור הקבצים מוכפל או אף בלתי אפשרי לחלוטין. כאשר המשתמש משלם יוצרי הנוזקה שולחים לו את מפתח ההצפנה לשחרור הקבצים. מלבד גיבוי נקי (פירוט בהמשך) או תשלום למפתחים בד"כ אין אפשרות לשחזר את הקבצים. עד כאן פירוט כללי של פעולת הנוזקה.

 

התחכום במתקפה זו הוא המרכיב האנושי - מפתחי הנוזקה בוחרים סכום שמשתלם לרוב האנשים לשלם על מסמכים חשובים, תמונות וכו'. לעומת זאת כאשר הם מזהים מטרה משתלמת הם לא מהססים לדרוש סכומים גבוהים יותר. ישנם דיווחים על על מוסדות (בתי חולים, תשתיות ועוד) ששילמו סכומים גבוהים בהרבה. מדובר על נוזקה שמכניסה ישירות כסף למפתחים ולכן יש חשש שנראה את כמות המתקפות בסגנון האלו עולה ובתחכום גובר. השימוש בביטקוין הופך את המעקב אחרי הכסף ע"י רשויות החוק לכמעט בלתי אפשרי.

 

דרכי התגוננות:

1. לפני הכל - שכל ישר. לדעת לאיזה אתרים נכנסים ומה להוריד ולהפעיל. 99% מהנוזקות ניתנות לבלימה בדרך זו. לצערנו זה לא תמיד מספיק. ישנו דיווח על RANSOMWARE למק שניתנה להורדה ע"י חנות האפליקציות של אפל. הפורצים חדרו למחשב של מפתח אפליקציית TRANSMISSION (קליינט טורנט אהוד מאוד), השתילו את הנוזקה בתוך הקוד של האפליקציה, החתימו אותה דיגיטלית והעלו אותה לחנות של אפל. כך נדבקו משתמשים רבים בהורדת תוכנה מאחד המקומות הבטוחים ביותר ברשת.

2. תוכנות אנטי וירוס וMALWARE - כדאי להשתמש בתוכנות המפרטות התמודדות עם נוזקות מהסוג הנ"ל. נכון לעכשיו malwarebytes מסוגלת לזהות ולנקות את cryptowall 3, אבל כמובן שנוזקות חדשות מופיעות כל הזמן.

4. גיבוי - תמיד מומלץ לגבות את המידע בלי קשר לנוזקות כאלו ואחרות. הבעיה היא שהנוזקות הנ"ל מצפינות גם את המידע שנמצא בהרדדיסק חיצוני המחובר למחשב והופכת אותו לחסר תועלת. גיבוי OFFSITE הוא המומלץ ביותר אבל צריך לשים לב שלא ייווצר מצב שבו אנו מגבים את הקבצים המוצפנים ומוחקים את הגרסה המקורית. לצורך כך כדאי להגדיר גיבוי מלא מדי פעם או להשתמש בגיבויים דיפרנציאלים או אינקרמנטליים מוגדרים נכון.

 

דרכים לזיהוי הדבקות:

גם אם תוכנה מצליחה להשתחל דרך האנטי וירוס ישנן דרכים לשים לב שמשהו לא בסדר.

1. הודעות שגיאה בגישה לקבצים - כאשר קבצים שהשתמשנו בהם מפסיקים לעבוד באופן פתאומי עם הודעות שגיאה שונות ומשונות זה צריך להדליק נורה אדומה אצל המשתמש.

2. איטיות בלתי רגילה בפעילות המחשב ו\או פעילות דיסק מאומצת כל הזמן\כשהמחשב בIDLE - דרך פעולת הנוזקה הוא שהיא לוקחת את המידע החשוב, מצפינה אותו וכותבת חזרה לדיסק. מדובר על פעולות דיסק מרובות וכח עיבוד לא מועט. אם רואים עליה בלתי מוסברת בפעולות האלו כדאי לפתוח את מנהל המשימות וצג הביצועים ולבדוק איזה תהליך משתמש בהם ובמידת הצורך לגגל אותו. חשוב להדגיש שיש תהליכים מובנים רבים שעושים אותן פעולות (התקנת עדכונים ברקע, סריקות אנטי וירוסים אוטומטיים וכו') כך שאין צורך להלחץ מכל פעילות כזו אלא רק לוודא את מקורה.

3. העלמות של נקודות שחזור, SHADOW COPIES וכו' - חלק מפעולת הנוזקה הוא למחוק עד כמה שביכולתה את אמצעי השחזור של הקבצים. במידה ומזהים בעייה כלשהי באמצעים הנ"ל כדאי לבדוק את מקורה.

 

חשוב להדגיש שדרכים אלו הינן כלליות מאוד ואינן מצביעות בהכרח על הדבקות. השימוש בהן חייב להיות משולב עם השכל הישר לעיל.

 

מספר נקודות נוספות:

1. הדרך הטובה ביותר לדעתי למנוע את התרחבותן של המתקפות הנ"ל היא פשוטה - לבלוע את ההפסד ולסרב לשלם. ככל שיותר אנשים יסרבו לשלם הכדאיות של המתקפות האלו תרד.

2. גם אם החלטתם לשלם צריך לדעת שהתשלום הוא בביטקוין ויש לזה מספר השלכות - יש צורך לקנות את הביטקוין, בד"כ עם עמלת המרה כך שמחיר שחרור הקבצים יוצא גבוה יותר. ישנן חברות שמתמחות בזה על מנת להקל על התהליך. בנוסף יש לדעת שסנכרון ארנק ביטקויין לוקח מספר ימים כך שצריך לתכנן מראש. חבל שזמן התשלום יעבור בזמן שהארנק מסתנכרן.

3. מבחינת אכיפת החוק - מעבר למעקב הרגיל אחרי המפתחים ע"י שת"פים בינלאומיים, נראה שהדרך הטובה ביותר לטיפול בנוזקה היא לחסום את שרתי ההצפנה וכך למנוע מהתוכנה את המפתח לו היא זקוקה.

4. נקודות לעתיד - דרך הפעולה של התכונות הנ"ל עלולה להשתכלל עוד. המשך גישה לקבצים המוצפנים ע"י תרגום "ON THE FLY" כדי להפחית את אפשרות הזיהוי , נעילת המחשב ברגע שמזוהה ניסיון הסרת הנוזקה, הצפנה בלי קבלת מפתח (כדי לגרום לחסימת השרתים לא להשתלם) ועוד. נקווה שלא נגיע לזה.

 

הפוסט מסכם את ידיעותי בנושא והוא work in progress. אשמח להערות, תוספות ותיקונים. בנוסף אשמח לתגובות של משתמשים שנדבקו שיפרטו על נסיונם ובעיקר על סגנון השימוש שלהם באינטרנט על מנת שנוכל לנסות לבודד מקומות המועדים להדבקות.

נערך 2016 במרץ 99 שנים על-ידי ag43

הבעיה נמצאת בין הכסא למקלדת ולכן ההגנה שיש/תהיה טובה למעשה רק למי שמבין, נזהר ולא זקוק לה בכלל.

אני לא מצפה שאשתי תבין ותפעל לפי ההנחיות להגנה.  היא בוודאות תידבק

אם רק יגיעו אליה.  וגם אם תצא לה הודעה הזהרה היא  תתעלם ממנה ותמשיך.  וכמוה  יש מאות אלפים או מיליונים בעולם.

 

לכן הפתרון הוא רק גבוי תדיר ונכון (שאני מבצע אותו ולא היא.)

 

הבאתי דוגמה לנוזקה שהותקנה דרך תוקנה תמימה ומוכרת שאף עברה חתימה דיגיטלית והעולתה לחנות של אפל.

אני בודק ברשת תגובות ודעות  לכל אפליקציה לפני ההורדה שלה למכשיר.

מן הסתם הייתי עולה על האפליקציה הנגועה הנדונה. או שלא.

נערך 2016 במרץ 99 שנים על-ידי Ivan

גם לתוכנה שאתה משתמש בה שנים ורק מבקשת עדכון?

ציטוט של Ivan

הבעיה נמצאת בין הכסא למקלדת ולכן ההגנה שיש/תהיה טובה למעשה רק למי שמבין, נזהר ולא זקוק לה בכלל.

אני לא מצפה שאשתי תבין ותפעל לפי ההנחיות להגנה.  היא בוודאות תידבק

אם רק יגיעו אליה.  וגם אם תצא לה הודעה הזהרה היא  תתעלם ממנה ותמשיך.  וכמוה  יש מאות אלפים או מיליונים בעולם.

 

לכן הפתרון הוא רק גבוי תדיר ונכון (שאני מבצע אותו ולא היא.)

 

QFT

 

גם חשוב לציין שransom-ware הוא יחסית עדין לוירוסים שהיו כתובים בשנות התשעים ל MS-DOS.

להזכירכם הם היו לא רק משמשים את כל המידע על הדיסק הקשיח, אלא גם את החומרה עצמה.

מי שלא דאג לגיבוי בזמן אחראי על איבוד המידע שלו.

נערך 2016 במרץ 99 שנים על-ידי multicore

ציטוט של omrij

גם לתוכנה שאתה משתמש בה שנים ורק מבקשת עדכון?

כן בתנאי שניתן לביצוע אז אני סורק אותן ספציפית לפני ההפעלה. יש תוכנות שזה לא ניתן כי אין הורדה נפרדת בזמן

העידכון.

ציטוט של multicore

גם חשוב לציין שransom-ware הוא יחסית עדין לוירוסים שהיו כתובים בשנות התשעים ל MS-DOS.

להזכירכם הם היו לא רק משמשים את כל המידע על הדיסק הקשיח, אלא גם את החומרה עצמה.

מי שלא דאג לגיבוי בזמן אחראי על איבוד המידע שלו.

ההבדל הוא שכאן יש אינטרס כלכלי מובהק עם סיכון אפסי. זו הסיבה שאני חושב שאנחנו עומדים מול גל של מתקפות כאלו.

קראתי כמה המלצות שתשלום הוא דרך פעולה לא טובה, קודם כל כי אין שום הבטחה שאתם אכן תקבלו את הקוד, ודבר שני, זה כמו בספאם - מי שמקליק ופותח את ההודעות רק מקבל יותר אחר כך.

 

הפתרון הוא כמו שנאמר אך ורק גיבויים של המחשב באופן שוטף, וגיבוי פעם בכמה זמן בצורה חיצונית.

ציטוט של ag43

לעומת זאת כאשר הם מזהים מטרה משתלמת הם לא מהססים לדרוש סכומים גבוהים יותר. ישנם דיווחים על על מוסדות (בתי חולים, תשתיות ועוד) ששילמו סכומים גבוהים בהרבה.

הייתי נזהר מלהסיק מסקנות כאלה, על אף אותם דיווחים לא מפורטים ולא מאומתים. עד עכשיו לא ראיתי שום דיווח על זה שהנוזקות האלה בכלל מנסות לזהות משהו, ושדרך הפעולה שלהן, או הסכום שהן דורשות תלוי איכשהו בסוג הקבצים / התוכן. אם יש לך סימוכין לכאלה שפועלות ככה (ולא סתם סקופ מאתר סתמי כלשהו), אשמח לראות.

זו רק הסקת מסקנות מדיווחים בתקשורת (לדוגמא בית החולים שנדרש לשלם 17000$). אבדוק יותר לעומק ואעדכן.

עוד בית חולים

http://arstechnica.com/security/2016/03/kentucky-hospital-hit-by-ransomware-attack/

http://www.ynet.co.il/articles/0,7340,L-4783337,00.html

 

כתבה מפגרת אבל עוד ועוד ארגונים נדבקים.

https://id-ransomware.malwarehunterteam.com/

די חסר תועלת. אם הגעת כבר לשלב שבו אתה מאבד גישה לקבצים מצבך בעייתי. האתר גם לא מזהה את לוקי.