תמונה: stock.xchnge
המונח Ransomware (תוכנות כופר) הוא כינוי לסוגים שונים של נוזקות המשמשות את פושעי העולם הקיברנטי לסחיטה של כסף מחברות ומשתמשים פרטיים בצורה של כופר. בתפקיד בני הערובה – הקבצים שלכם.
המחשב שלכם הופך לבן-ערובה
לאורך השנים ראיתי הרבה מאוד סוגים של וירוסים ונוזקות, כאשר בדרך כלל הם משמשים לגניבה של כסף או מידע בצורה נסתרת או באמצעות הונאה כלשהי. גם ב Ransomware קיימות הונאות, אולם רוב ההתקפות לא מנסות להסתיר את העובדה שמדובר בהדבקה של המחשב, וסחיטה באיומים.
לאחר הדבקת המחשב או רשת המחשבים, לא ניתן לגשת לקבצים במערכת ההפעלה עד שמתבצע תשלום דרך שירותי תשלום אינטרנטיים כמו Paypal, Moneypack ו- Paysafecard לחשבון בנק במדינה שלא מקפידה על חוקי בנקאות, בדרך כלל במזרח אירופה, דרום אמריקה או איים בפסיפיק. נוזקות מסוג Ransomware מפותחות ע"י כנופיות פשע קיברנטיות, ונמכרות לעברייני אינטרנט ברחבי העולם בעשור האחרון, כשהן מתפתחות ומשלבות כלים שונים והדבקה של נוזקות נוספות.
בטור הראשון שלי בנושא, נתרכז בסוג מסוים של Ransomware שתופס תאוצה בשנתיים האחרונות. בניגוד לגרסאות שנפוצות בעולם בשנים האחרונות (שגם נתקלתי בהן לא מעט פעמים בארץ אצל משתמשים פרטיים וחברות קטנות), שנוהגות להצפין את הקבצים במחשב או לשנות את הרשאות הגישה במערכת ההפעלה, הגרסאות החדשות משתמשות בהדבקה של ה MBR (Master Boot Record). ה MBR נמצא בסקטור הראשון בהתחלה הלוגית של הדיסק הקשיח, והוא מכיל את טבלת המחיצות (partition table) שנועדה לאפשר למחשב לזהות את חלק האתחול במחיצה שמכילה את מערכת ההפעלה.
כמו הרבה נוזקות אחרות שנפוצות היום, גם ה Ransomware החדשות משלבות מספר התקפות, ומדביקות בדרך כלל מחשבים באמצעות אתרים שמכילים התקפות מסוג Drive-by downloads. האתר שותל במחשב Dropper, נוזקה שמורידה משרת ייעודי את הRansomware , כאשר היא מותאמת למדינה שבה נמצא המחשב המותקף.
מה קורה למחשב שמודבק ב-Ransomware?
לאחר שהמחשב מודבק, בפעם הראשונה שהמשתמש מבצע איתחול למערכת, מופיעה הודעה לפני העליה של מערכת ההפעלה, שטוענת שכל הקבצים במחשב הוצפנו, ודורשת מהמשתמש להעביר כופר של סכום כסף מסוים (הסכומים משתנים בהתאם למדינה שבה נמצא המחשב המותקף), תמורת הזכות לגישה למערכת ההפעלה והקבצים שלו.
המשתמש לא יוכל לגשת למערכת ההפעלה ולקבצים שלו (גם לא במצב בטוח), עד לרגע שבו מתבצע התשלום וה Ransomware מסירה את עצמה בצורה אוטומטית. חשוב לזכור שמדובר ב"מילה של עבריין", ובדר"כ נשארים במחשב סוסים טרויאנים שמנטרים את תעבורת המידע, כך שהעבריין יוכל גם לגנוב את הפרטים של כרטיס האשראי בזמן שהמשתמש מעביר את תשלום הכופר, ובהמשך גם סיסמאות לאתרי אינטרנט, חשבונות דוא"ל וכו'.
הגרסה הראשונה של Ransomware שהשתמשה בהדבקת MBR כבר ב 2010 נקראת Seftad – מאז כבר פותחו מספר גרסאות נוספות שלה, ולכן השם העדכני שלה הוא Seftad.a. ההודעה שהציגה Seftad.a הכילה מספר זיהוי למשתמש וכתובת של אתר אינטרנט רוסי, שם עבר המשתמש תהליך אימות שבו הוא נדרש להקליד את המספר זיהוי ולהעביר לתוקף 100$ דרך Paysafecard. לאחר העברת התשלום היה מקבל המשתמש סיסמה שנועדה לבטל את ההודעה ולנקות את ה MBR.
וידאו: כך נראה מחשב המודבק ב-Seftad
כמו ברוב הפיתוחים בעולם הנוזקות, שבדרך כלל משתמשים בשילוב של טכניקות מוכרות, לא מדובר בחידוש או פירצה חדשה. זהו שילוב של שיטות פעולה של נוזקות שקיימות כבר קרוב ל 30 שנה. הוירוס הראשון שהדביק את ה Boot Record של דיסקטים נקרא Brain, והוא פותח בשנת 1986 – עשור לפני שהופיעו הדיסקים הקשיחים וה MBR במחשבים הביתיים.
הניסיון הראשון שלי בהסרת וירוסים היה בשנת 1988 כשקיבלתי את המחשב הראשון שלי, וכבר לאחר מספר שבועות הופיע לו וירוס מצחיק שהדביק את ה Boot Record של כל הדיסקטים שלי. הוירוס נקרא Ping Pong, ואני מאמין שרוב האנשים שהיו להם מחשבים תואמי IBM באותן שנים מכירים את דרך הפעולה שלו, בימים שבהם וירוסים נכתבו בתור מתיחה או אתגר ולא בתור כלי לגניבת כסף:
וידאו: וירוס פינג-פונג
נוזקות Ransomware שמדביקות את ה MBR הן עדיין מחזה יחסית נדיר, אבל ככל שהיעילות שלהן מוכחת והן מכניסות יותר כסף לעברייני אינטרנט, כך גוברת ההשקעה של כנופיות פשע קיברנטיות בכלים אוטומטיים שמאפשרים ליצור אותן, על מנת למכור אותן לכל מי שמוכן לשלם.
בשיטוט שלי בפורומים מחתרתיים שבהם מתפרסמים כלים אוטומטיים כאלה למכירה, מצאתי גם כמה כלים חינמיים שיכולים לשמש עבריינים ליצירה של Ransomware. ניתן לראות כאן צילום מסך של כלי שכבר יצא משימוש פעיל:
אז איך מטפלים בזה?
קיימות כיום שלוש דרכים עיקריות לניקוי של Ransomware או נוזקה אחרת שמדביקות את ה MBR:
1. שימוש בכלים יעודיים שיוצרות חברות אנטי וירוס עבור "משפחות" של נוזקות MBR, שיודעים לנקות בצורה מדויקת רק את החלקים הנגועים ב MBR, ולהשאיר את החלקים המקוריים. חשוב להשתמש רק בכלים של חברות מוכרות.
2. אתחול המחשב עם דיסק ההתקנה המקורי של מערכת ההפעלה (חובה להשתמש אך ורק בדיסק ששימש להתקנה המקורית) וגישה למצב recovery, שמאפשר הקלדה של פקודות שמוחקות את ה MBR הנגוע, ומשחזרות את ה MBR המקורי של המחשב. הפעולה מומלצת רק למשתמשים מתקדמים – פגיעה ב MBR לא תאפשר להעלות את מערכת ההפעלה.
3. שימוש בשילוב של מספר כלי קוד פתוח על מנת לבצע פעולה דומה לפעולת השחזור של ה MBR שמבצע דיסק ההתקנה של מערכת ההפעלה. הפעולה מומלצת למומחים לנושא בלבד.
הפוסט בחסות ESET
חברת האבטחה הבינלאומית ESET היא חלוצת האנטי וירוס מזה 25 שנה, המגינה כיום על יותר מ-100 מיליון משתמשים בכל רגע. פתרונות האבטחה המובילים שלה – ESET NOD32 Antivirus, ESET Smart Security ו- ESET Mobile Security for Android – מיועדים לצרכנים פרטיים ולארגונים בגדלים שונים. החברה מתמחה ביכולות זיהוי מדויקות בזכות טכנולוגיה פרו-אקטיבית (מזהה וירוסים ומזיקים לא מוכרים על סמך ניתוח קוד ודפוסי התנהגות, ללא תלות בעדכוני חתימות) ומוצריה נחשבים ליעילים בצריכת משאבים כך שלא יכבידו על המערכת.
בשנתיים האחרונות ESET הוכרזה כחברת הסקיוריטי בעלת הצמיחה גדולה ביותר בעולם בשוק הפרטי ולאחת מ 500 חברות ה-IT בעלות קצב הצמיחה הגבוה ביותר בצפון אמריקה , על פי גרטנר ומדד Fortune500.
בישראל מיוצגת ESET על ידי חברת קומסקיור בע"מ, המשווקת את מוצריה בלעדית ומפעילה מרכז תמיכה טכני בשפה העברית לכל הלקוחות. בין לקוחות ESET בישראל ניתן למצוא חברות היי-טק, ארגוני ענק, חברות אינטרנט, מכללות ואוניברסיטאות, עיריות ומשרדי ממשלה ועסקים קטנים,בינוניים וגדולים מתחומים מגוונים.