RANSOMWARE - דיון רשמי

השבוע פנה אלי מישהו עם עזרה לגבי ransomware. מדובר על לפטופ מאוד ישן שמריץ XP עם patch level דיי מבייש של תוכנות ומערכת הפעלה.

מדובר על teslacrypt 4.0, אם זה משנה למישהו. זאת הצפנת RSA 4096 כך שאין שוב דרך פרקטית להחזיר את המידע ללא קבלת המפתח הפרטי של של המצפין.

כמה הערות:

• זה תהליך שמתחיל להתבצע ברקע ולוקח זמן. כך שאם מגלים שזה התחיל, ניתן לכבות את המחשב והציל את מה שנותר מסביבת live. אין שום משמעות להיכנס למערכת ההפעלה המותקנת אחרי זה.
• יש הרבה דרכים לנטרל את התוכנה והרכיבים שלה, אבל לא לבצע decrypt לקבצים. במקרים רבים רצוי לשמור את הקבצים המוצפנים בצד ולקוות שבעוד זמן מסויים ימצאו שיטה להחזיר אותם כמו עם גרסאות יותר מוקדמות של ransomware.
• בהמשך לסעיף הקודם - פעולת ההצפנה לוקחת לא מעט משאבי מערכת ככה שניתן להבחין מתי משהו חשוד מתרחש ופלעול בזמן.
• ransomware מודרני, כמו האחד שנתקלתי בו, גם דואג להשמיד את כל משאבי הVSS (וכמובן להגיע למה שנמצא בתוך $Recycle.Bin).
• אין אפשרות לשחזר קבצים בדומה לדרך שבה משחזרים קבצים או מחיצות שנמחקו לפני זה. בדקתי את זה מכמה פתרונות שיחזור מידע שונים.
• מה שגובה לשירותי "ענן" והוצפן גם שם ניתן להחזיר גרסא אחורה ברוב השירותים הקיימים.
• בשום פנים ואופן לא לשלם להם או להיכנס לקישורים שהם נותנים דרך TOR. מדובר על סחיטה מתוחכמת שעובדת יפה מאוד על אנשים בעלי חוש טכני לא מפותח.
• במקרים מסויימים הדרך להידבק היא עד כדי כך פשוטה כמו CMS של אתר כלשהו שלא דואג לאבטחת מידע. חשוב מאוד לראות שאצל אותם קרובי משפחה וחברים (שפחות מבינים מאיתנו במחשבים) יש לא רק גיבוי מסודר של המידע החשוב אלא גם patch level סביר של רכיבי תוכנה ומערכת הפעלה.