JOKOPOST | עיתון המאמרים והבלוגים המוביל בישראל

facebook twitter linkedin
  • ראשי » 
  • IT
  •  » כופרה – RANSOMWARE (חלק 4)

כופרה – RANSOMWARE (חלק 4)

התמודדות עם מגפת הכופרה – "למתקדמים בלבד"

כופרה – RANSOMWARE (חלק 4) en.wikipedia.org
יולי 05
09:30 2016

במאמרים קודמים בסדרה זו הסברתי מהי כופרה, פירטתי אמצעי התגוננות נגד כופרות והמלצתי על מערך הגנה בסיסי נגד כופרות. חלק רביעי זה נכתב, בין היתר, בעקבות התגברות הפרסומים על תקיפות של כופרות חדשות או משודרגות.

אתר המחשבים Bleeping Computer דיווח ב-24-06-16 על חמישה סוגי כופרה חדשים שנתגלו בשבוע האחרון http://bit.ly/290hrgA. הדיווח כלל גם קישור לאתר של חברת Emsisoft אשר פרסם ב-20-06-16 כיצד ניתן לפענח קבצים מוצפנים על ידיApocalypseVM Ransomware – http://bit.ly/290iwVC. לפני שבועיים דיווח Bleeping Computer על סוג חדש של כופרה המנצל סקריפט לביצוע ההצפנה. הדיווח שכותרתו: The new RAA Ransomware is created entirely using Javascript http://bit.ly/28Uvd0f כלל תיאור מפורט כיצד פועל הקובץ המזיק שמוכנס למחשב הקורבן כצרופה לאימייל.

ב-26-06-16 התפרסמה אזהרה: "זהירות: וירוס פייסבוק חדש מתחזה לחבר שמתייג אתכם" http://bit.ly/28WHnG8. "על פי ניתוח הקובץ מדובר בווירוס מסוג Ransomware – תוכנת כופר שמתוכננת להצפין את הקבצים החשובים ביותר של הקורבן, כך שייאבד גישה אליהם, אלא אם כן ישלם למפתחי הווירוס תשלום כלשהו" .המונח "וירוס" במאמר זה מתייחס על כן לכופרה – כפי שהוסבר במאמר הקודם בסדרה – אשר מתבססת על קובץ סקריפט מזיק לביצוע הנזק. הנחיות הזהירות דומות לאלו שפורסמו במאמר הראשון, אולם במקרה זה יש קושי בזיהוי.

במאמר הראשון המלצתי למנוע אפשרות של Windows לבצע סקריפטים מסוג זה. המלצה זו תקפה גם למקרה השני שתואר כאן ולסוגים נוספים של נוזקות המתוארים במאמר:50+ File Extensions That Are Potentially Dangerous on Windows. http://bit.ly/28WIAwZ.

הנחיה כיצד למנוע ביצוע סקריפטים כאלה תחת הכותרת How-To Disable Windows Script Host פורסמה על ידי חברת האבטחהF-Secure http://bit.ly/28YJMUt. להנחיות מצורפת המלצה בזו הלשון: Do yourself a favor and edit your Windows Registry to disable WSH. וזאת משום שמניעת יכולת ביצוע הסקריפט מהווה אמצעי הגנה בפני כמה סוגי נוזקות, לאו דווקא כופרות. חשוב לזכור שקובץ הרישום (registry) של windows רגיש מאוד וכל שינוי בו עלול לשבש את כל פעולת המחשב! משום כך הדגשתי כי המאמר הזה בסדרה הוא "למתקדמים בלבד".

על כל פנים, חשוב מאוד לגבות את קובץ הרישום לפני כל שינוי. יש כמה וכמה דרכים לגיבוי קובץ הרישום, למשל http://abt.cm/290lY2n. אך זו אינה בהכרח הדרך הטובה ביותר. מי שרוצה לבצע עדכון – ראוי שיבחר בדרך גיבוי מתאימה ונוחה לו.

בחלק השלישי המלצתי על תוכנה ייעודית למניעת הדבקה בכופרה WinAntiRansomware (היחידה מבין כל התוכנות שהמלצתי עליהן שאינה חינמית). תוכנה זו עודכנה בעצם הימים האלה והיא מגינה כעת בפני כל הכופרות מבוססות הסקריפט, כולל RAA Ransomware שהוזכרה לעיל. סרטוני וידיאו המדגימים את פעולת התוכנה ניתן למצוא בקישור להלן: http://bit.ly/291d3ua. מודל הרכישה שתיארתי בחלק השלישי – סכום חד פעמי ל"כל החיים" יתבטל ב 01-08-2016. גם ההנחה לישראלים שסידרתי כבר אינה תקפה. למרות זאת, תשלום חד פעמי של 29.90 דולר ל-5 מחשבים נראה לי זול מאד. חשוב במיוחד למי שאינו יודע לטפל קובץ הרישום של Windows.

על המחבר / המחברת

Avatar

אלי מירון

ד"ר, מרצה לניהול ידע. המחלקה להנדסת תעשייה וניהול. אוניברסיטת בן גוריון.

16 תגובות

  1. ט'
    ט' יולי 05 2016, 12:20
    תודה על מידע כל כך חשוב

    לא סתם דעות אלא גם עצות מעשיות

    השב לתגובה
  2. סטודנט
    סטודנט יולי 05 2016, 13:42
    האם כופרה זה רק מקרה של הצפנה?

    אם מעתיקים את כל הנתונים של הארגון, כמו שעשו ללאומי קרד ודורשים כופר כדי לא לפרסם זה כופרה או לא? יש אצלנו ויכוח.

    השב לתגובה
    • אלי מירון
      אלי מירון יולי 05 2016, 21:16
      הגדרת כופרה

      ההגדרה שאני מכיר היא שכופרה מצפינה את הנתונים או מונעת גישה למחשב. צריך לשלם כופר כדי לשחרר את ההצפנה או את הגישה למחשב. ראה http ://symc.ly/29fW5YL

      על פי ההגדרה הזו המקרה שאתה מתאר אינו כופרה

      השב לתגובה
  3. סטודנטית תעו
    סטודנטית תעו"נ יולי 06 2016, 11:43
    יש לי רעיון לעסק

    מרכז סיוע בתשלום, שפועל 24 שעות ביממה, לעזרה למי שהותקף בכופרה.

    השב לתגובה
  4. שפי
    שפי יולי 09 2016, 12:50
    ההתגוננות המונעת הנה בעצם פשוטה

    אלא שרוב האנשים נוהגים בחוסר אחריות כתוצאה מחוסר ידע
    צריך בכל קורס מתחילים צריך להתחיל באמצעי המניעה וההתגוננות

    השב לתגובה
    • אלי מירון
      אלי מירון יולי 09 2016, 23:11
      התגוננות מונעת

      לשפי,

      כנראה שלא שמת לב שקראת את החלק הרביעי.
      החלק הראשון עסק הסבר של ההתנהגות הנכונה – איך לא לעשות שטויות, החלק השני עסק בגיבויים והחלק השלישי באמצעי התגוננות.
      מציע שתקרא

      השב לתגובה
  5. אהוד בשן
    אהוד בשן יולי 16 2016, 17:02
    ואם אני לא מתקדם?

    אסור לי לקרוא?

    השב לתגובה
    • אלי מירון
      אלי מירון יולי 17 2016, 13:54
      "למתקדמים בלבד"

      לאהוד שלום,

      מצטער שכך הבנת.
      כוונתי היתה להזהיר את הקוראים מפני סיכונים ביישום ההמלצות לגבי השינוי בקובץ הרישום.

      השב לתגובה
  6. נחמה נאמן
    נחמה נאמן יולי 23 2016, 22:12
    המספרים נראים מאד מאד מוגזמים

    הדיווחים בכל המקומות על מאות אלפי מחשבים שהותקפו בכופרה שפורסמו בכל המדיה נראים על פניו מאד מוגזמים וכנראה שמלבים אותם בעלי עניין או כותבים שרוצים להרשים

    השב לתגובה
  7. מתי ניצן
    מתי ניצן אוקטובר 08 2016, 14:32
    שיחטפו לך את האתר זה חלום בלהות

    ממש מבהיל ודוקא עסקים קטנים ובינוניים שיתקשו להתמודד

    השב לתגובה
  8. גילי
    גילי נובמבר 15 2016, 17:36
    נהיה שקט בעניין

    הבעיה חלפה או שאני יכולה להבין שפשוט לא באפנה והפסיקו והתעניין

    השב לתגובה
  9. אלי מחרון
    אלי מחרון נובמבר 16 2016, 20:24
    יש ויש

    את כנראה לא חשופה לכתבות הרלבנטיות. יש פעילות רבה בעולם.

    השב לתגובה
  10. משה חדד
    משה חדד ינואר 26 2017, 16:14
    כופרה זה כל חטיפה של אתר ודרישת כופר

    או רק אם זה נעשה בשיטה של הצפנת הנתונים
    יש לנו ויכוח פנימי אצלנו

    השב לתגובה
    • אלי מירון
      אלי מירון ינואר 26 2017, 20:43
      מה עושה כופרה

      כופרה זה השתלטות על מחשב או שרת, הפיכתו לבתי זמין (כולו או בחלקו) ודרישה לתשלום (כופר) עבור השחרור.
      ברוב הגדול של המקרים רק קבצי נתונים הופכים לבלתי זמינים על ידי הצפנה. במקרים אחרים, כגון Petya, הכופרה הופכת את קובץ ההתנעה הראשי – Master Boot Record – ללא זמין ואז אי אפשר בכלל להתניע את המחשב.

      השב לתגובה
  11. אברהם שמיר
    אברהם שמיר מרץ 21 2017, 09:17
    בזמן האחרון רגיעה לא שומעים סיפורים

    הצליחו לבלום או שזה כבר לא חדשות?

    השב לתגובה
  12. אלי מירון
    אלי מירון מרץ 23 2017, 14:08
    הכופרות עדיין "בביזנס"

    תלוי את מי שואלים.

    התחזיות בסך הכל לא טובות. יש כבר מקרים של תקיפת טלוויזיות חכמות
    http ://bit.ly/2mvLB2V

    השב לתגובה

כתוב תגובה

הוסף תגובה:

<

* אני מתחייב לפעול על פי תנאי השימוש באתר


התגובות יפורסמו לפי שיקול דעת העורך

כתבות נוספות

פוסטים אחרונים בIT

יתר המאמרים במדור
Do NOT follow this link or you will be banned from the site!