לא רק סומליה, לא רק ספינות – חטיפת קבצים מהמחשב

הטרור מגיע גם לאינטרנט, והפעם המטרה אינה מדינה או מפעל גרעיני, אלא אתם, אזרחי הרשת הפשוטים והתמימים

לפני מספר שנים שמענו על תוכנות זדוניות אשר חוטפות קבצים ממחשבים, נועלות אותם ודורשות מהמשתמש התמים לשלם סכומי כסף נכבדים עבור קבלת הקבצים שלו בחזרה. לאחרונה נראה כי תוכנות אלו חוזרות להשליט טרור באוכלוסיית הקבצים שלנו. שמישהו יקרא לשריף.
 
תוכנת חטיפת הקבצים הראשונה, אשר העניקה לה ולדומיה את השם Ransomware, הומצאה לראשונה ב-1989. תוכנות אלו חודרות למחשב בדיוק כמו כל תולעת או סוס טרויאני אחר, נועלות את הגישה לקבצים אקראיים או כאלו שקריטיים לפעולת המחשב, ומודיעות למשתמש שעליו לשלם סכום כסף נאה על מנת לקבל את קבציו בחזרה.

הגרסא הראשונה פעלה בצורה די פשוטה – אלגוריתם הצפנה רגיל לחלוטין מסוג "מפתח סימטרי", שינה את שם הקובץ שהתוכנה בחרה, כך שלמשתמש לא הייתה גישה אליו, מכיוון שאז עוד לא היה דבר כזה “חלונות” במערכת ההפעלה והיה צורך בהקשת שם הקובץ המבוקש הספציפי.
עשור וחצי לאחר מכן, בשנת 2005, צצו להן שוב תוכנות החטיפה. כמובן שעם הזמן הקידודים והקריפטוגרפיה נעשו מתוחכמים וקשים יותר לפיצוח. החוטפים לא הסתפקו בשינוי שם הקובץ בלבד, והחלו להצפין גם את התוכנות והקבצים עצמם. עד אמצע 2006 תועדו מספר תוכנות חטיפה, אשר השתמשו במספר הולך וגדל של אותיות על מנת להצפין את קוד הקובץ, כשהמשמעותית שבהן נקראה "GpCode". עד יוני 2008, אז צצה GpCode מחדש, הקידוד נעשה מתוחכם עד כדי כך שהיה זה בלתי אפשרי לפצח אותו ללא הפעלת מספר מעבדים יחדיו בנסיון לפענח את הקוד המקורי. היום, רגע לפני 2011, ה-Ransomware חוזרות לעסקיהן הנבזים.
 
"שתי מערכות נפתחו בחזית ה-Ransomware", מדווח צ'אט וויסניסקי, יועץ בכיר בחברת האבטחה Sophos. ביחד עם חברות אבטחה אחרות, ביניהן קספרסקי המוכרת, ניתחו המומחים את המתקפות האחרונות וקבעו, כי מדובר ב"שתי מערכות שונות".
בחודש שעבר חברת Sophos נתקלה בתוכנה זדונית אשר עשתה שימוש בפירצה מיושנת יחסית בתוכנת Adobe Reader על מנת לעקוב אחרי טווח רחב של פורמטים – ביניהם קבצי מדיה, קבצי מסמכים ותמונות של Microsoft Office ושל OpenOffice.org. לאחר שאיתרה את הקבצים הרצויים, תוכנת החטיפה הצפינה חלקים מקוד המקור שלהם על מנת שמערכת ההפעלה לא תצליח לקרוא אותם.הפירצה אמנם כבר נסתמה, אך אנו ממליצים לכל משתמשי התוכנה לעדכן אותה לגרסתה האחרונה, במקרה והיא לא התעדכנה לבד.
לחוטפים הייתה אפילו החוצפה לאיים על המשתמשים לאחר שחטפו את קבציהם האישיים ודרשו כופר בסך 120 דולרים עבורם: "אל תספר לאיש על הודעה זו, אם תרצה את קבציך בחזרה! תעשה רק את מה שאנחנו אומרים לך", איימו הפורצים בדרמתיות-יתרה.

בפריצה אחרת, אשר דווחה החודש לראשונה ע"י חברת האבטחה האמריקאית CA, התוכנה החליפה לחלוטין את סקטור ה-MBR (ר"ת Master Boot Record) של המחשבים, כך שבמקום להעלות את מערכת ההפעלה, המשתמשים הנגועים ראו הודעה אשר הזהירה אותם מלנסות ו"לשחרר" את המחשב בעצמם והפנתה אותם לאתר אינטרנט היושב ברוסיה, דרכו הם מתבקשים לשלם סכום של מאה דולרים טובין ותקילין עבור מערכת ההפעלה שלהם.
בניגוד לטענת הפורצים, ה-MBR לא הוצפן אלא פשוט נמחק והוחלף במנגנון אשר מעלה את ההודעה אודות הפריצה על המסך. הפיתרון לפריצה זו די פשוט – המשתמש יכול היה להשתמש בדיסק של מערכת ההפעלה על מנת לעקוף את הפריצה, או לחלופין להשתמש בדיסקים ייעודיים, שמטרתם להתגבר על כשלים בהעלאת מערכת ההפעלה.
בקספרסקי אף הציעו פיתרון אחר, פשוט עד כדי גיחוך כמעט, והוא להכניס את הביטוי 'aaaaaaciip' (ללא גרשיים) במסך ההודעה (אשר דורש מהמשתמש להכניס סיסמה שנקנתה כביכול ב-100 דולרים מהאתר).

על פי וויסניסקי, אין כרגע "תרופת פלא" למי שנפגע מתוכנות החטיפה. הוא אמנם הוסיף וציין שחברת Sophos עובדת על פיתרון, אך עד כה לא נמסר כל מידע לגבי מועד השחרור של פיתרון זה; "אין דרך לפענח את הקבצים האלו כרגע", אמר מומחה האבטחה, "וסביר להניח שלא נוכל לפרוץ בכוח את קידוד ה-1024 ביט שנועל את הקבצים. נבחן איך התוכנה מייצרת את המפתחות, ואם ניתן יהיה לחזותם מראש, נוכל אולי לבנות כלי אשר יצור את הסיסמאות הדרושות לפתיחת הקבצים."

חברות אבטחה אחרות דיווחו אף הן על מקרים דומים של חטיפת קבצים. ביום שני הודיעה קספרסקי כי גם היא הגיעה לאותן המסקנות כמו אלה של Sophos. לטענת החברה, תוכנת ה-Ransomware  החדשה היא גרסא חזקה יותר של התוכנה הזדונית הישנה שהוזכרה לעיל, הלא היא ה-"GpCode". השוני העיקרי לעומת הגרסא הישנה הינו האופן בו הפורצים מטפלים בקבצים בכדי להבטיח שידם על העליונה – ה-Ransomware החדשה כבר לא מוחקת את הקבצים מהמחשב לאחר שהוצפנו. במקום זאת, היא פשוט כותבת על גבי המידע שבקבצים עצמם.
כך, בעוד שבעבר ניתן היה להשתמש בתוכנות לשיחזור מידע מהדיסק הקשיח על מנת להציל את הקבצים, כיום, מכיוון שהמידע כבר אינו נמחק אלא מוחלף, אין דרך לשחזרו – כל זאת לפחות עד שחברות האבטחה ימציאו כלי חדש שיפענח את מנגנון ההצפנה.

בשנת 2007 פגע סוס טרויאני שהכיל את הקוד של "GpCode" במספר משתמשים וגרם להם לאבד את קבציהם. הפורצים טענו אז כי הם יצרו הצפנה בעלת 4096 ביטים – מספר עצום של תווים שאותם המחשב צריך לפענח – אך בקספרסקי הפריכו את הטענה ומיהרו לפתח כלים אשר שיחררו את הקבצים מידי החוטפים בחזרה אל ידיהם המאושרות של בעליהם החוקיים.
מאז התייחסה קספרסקי אל הקוד הזדוני כאל "אוויר חם ותו לא", אך כיום נראה שהיוצרות התהפכו, ונכון לעכשיו קספרסקי עומדת חסרת אונים בפני גל החטיפות החדש.
החטיפות אשר התבצעו בעזרת הפירצה בקורא ה-PDF של Adobe אולי נסתמו, אך העידכון אינו משפיע על משתמשים שקבציהם כבר נחטפו. כמו כן, זהו כנראה רק הגל הראשון בשורה של נסיונות פריצה וחטיפות קבצים, שכן מאוד לא סביר ששתי תוכנות Ransomware שונות יצוצו בהפרשי זמן כה קטנים.

היזהרו מתוכנות זדוניות ודעו שאם הותקפתם, תמיד תוכלו לבדוק כאן באתר ולחפש פיתרון.