JOKOPOST | עיתון המאמרים והבלוגים המוביל בישראל

facebook twitter linkedin

כופרה Ransomware

מגיפה ושמה כופרה וכיצד מתמודדים עמה

כופרה Ransomware commons.wikimedia.org
אפריל 17
21:10 2016

כופרה (ransomware) היא סוג של נוזקה (תוכנה מזיקה – malware) המופצת על ידי פושעים ופועלת בטקטיקה דומה לזו של סוסים טרויאניים. הנוזקה מוחדרת למחשב הקורבן בדרכים שונות, היא בדרך כלל מוסווית כקובץ חוקי ומשתלטת עליו. הנוזקה מצפינה את הקבצים שבכונני המחשב, את הקבצים שבכוננים חיצוניים קבועים ונתיקים הקשורים למחשב, כולל בענן, וגם את הקבצים שבמחשבים אחרים הנמצאים באותה רשת. שחרור ההצפנה והחזרת הקבצים למצבם המקורי מתבצע באמצעות מפתח לפתיחת ההצפנה עבורו יש לשלם לפושע סכום כסף מסוים ככופר, מכאן בא השם "כופרה" (ransomware). הקורבן (אזרח פשוט, לא חברה) נדרש בדרך כלל לשלם כמה מאות דולר או אירו, כפי שניתן לראות בצילום המסך המצורף.

כופרה 1

התשלום בפועל מתבצע במטבע וירטואלי – ביטקוין. המשלם נדרש להיכנס לכתובת אינטרנט קשה לאיתור כגון http://tkj374utoirm.fekron4399. שער החליפין היום: 1 ביטקוין שווה בערך ל 400 דולר אמריקני.

בתחקיר שכותרתו "חטפנו לכם את המחשב! (עכשיו תשלמו)", שפורסם במוסף 7 ימים של "ידיעות אחרונות" ב-2014, מתואר בפירוט רב מקרה של הצפנת קבצים במחשב אישי ובמחשבי ושרתי ארגון מסוים בארץ בעקבות חדירה למחשב של אחת העובדות.

בחודשים האחרונים עלתה תדירות ההתקפה באמצעות כופרה, והיא הפכה לטכניקה החביבה על הפושעים כפי שפורסם לאחרונה באתר המחשבים הפופולרי CNET במאמר "Pay up or else: Ransomware is the hot hacking trend of 2016", ההיערכות להגנה על המחשב אינה רק מנת חלקם של ארגונים, אלא אף הובילה לשיתוף פעולה בין מדינות. ארצות הברית וקנדה התניעו באופן חריג מאמץ משותף כדי להילחם בתופעה כפי שמתואר במאמר שפורסם באתר threatpost ב-4 באפריל 2016:

Ransomware clearly has people on many fronts worried, so much so that the United States and Canada took an unprecedented step last week to issue a joint advisory on the threat posed by crypto-ransomware

במאמר זה, המכוון לקהל הרחב, תוצגנה דרכי הפעולה של פושעי המחשב, כיצד הם מפתים את הקורבנות להכניס את הנוזקות למחשב שלהם ואיך אפשר להימנע מכך; יינתנו טיפים כיצד לגלוש בזהירות, איך לעמוד בפיתויים, יתוארו אמצעים למניעה חדירות של נוזקות, וכן כיצד אפשר, במקרים מסוימים, לשחזר את הקבצים האבודים.

אמצעי הזהירות והתוכנות המומלצות במאמר זה ישימים לאבטחת מחשבים ולפלטפורמות מחשוב אישיות נוספות כגון טאבלטים וטלפונים ניידים חכמים בפני נוזקות בכלל ולא רק לכופרות.

ההיערכות למניעת חטיפות קובצי מחשב מבוצעת בארבעה מישורים בלתי-תלויים:

  • מניעה: שימוש מושכל בכל האמצעים המקוונים: דואר אלקטרוני, אתרים חברתיים וגלישה באתרי אינטרנט שונים
  • גיבויים עדכניים
  • הגדרות נכונות של המחשבים ועדכונים שוטפים
  • תוכנות הגנה למיניהן

לצורך הבנת אמצעי הזהירות הנדרשים במצבים השונים חשוב להכיר דוגמאות לדרכים המתוחכמות ולמגוון שיטות השכנוע שבהן מוכנסות הכופרות למחשבי הקורבנות.

השיטות שבהן הפושעים מפתים את הקורבנות להכניס למחשביהם את הקבצים המזיקים נקראות הנדסה חברתית – משמעותה בהקשר הזה הוא ניצול חולשות אנושיות, כדי לשכנע את הגולשים לבצע פעולות רצויות ל"מפעיל". בשער החוברת "חדשות ההאקרים" המוצג להלן מודגש שאין שום "טלאי תיקון" לטיפשות אנושית, זוהי גרסה אחרת לשיר הילדים הידוע: "פתי מאמין לכל דבר לחתול ולעכבר".

.דואר אלקטרוני: דרך נפוצה מאוד להחדרת הכופרה למחשב הקורבן היא משלוח אימייל עם סיפור רקע כלשהו שמצריך ביצוע פעולה על ידי המקבל (כגון פתיחת קובץ מצורף או לחיצה על קישור). להלן דוגמאות אחדות: בקשה לאימות חשבון (לרוב, סיפור הכיסוי לצורך באימות החשבון הוא שקיימת תקלה כללית שלא קשורה ישירות אליכם); חשבונית invoice)) על קנייה שלא נעשתה על ידכם; הודעה על חבילה שנשלחה אליכם ואתם לא מצפים לה; זכייה בהגרלה שלא רכשתם כרטיס עבורה וכו'. לעתים אימיילים אלה נשלחים מכתובות שאינן מוכרות כלל לנמען ולעתים כתובת השולח דומה לכתובת "כשרה". לדוגמה, הפושעים שולחים אימייל עם כתובת שולח שנראית מוכרת כגון "From: support@paypal.com".

דוגמה לתוכן שנשלח לכאורה מאתר העוסק בכספים: "נעשה ניסיון למשוך מחשבונך סך 938.25 $ ממחשב שנמצא בהונג קונג. מטעמי זהירות חסמנו את חשבונך. אנא היכנס לקישור המצורף והחלף את סיסמתך". אימיילים כאלו כתובים לעתים ללא שם מלא (פרטי + משפחה) ומציגים צורך בביצוע פעולה דחופה. לעתים מתקבלים אימיילים מכתובות אימייל לא מוכרות אך "כשרות לכאורה" המציעות התחברות לעמותות, לקבוצות, או לכל מטרה אחרת, והקורבן צריך "רק" לבצע רישום (דוגמה יפה לשיטה זו אפשר לראות במאמר ב"ידיעות אחרונות" שהוזכר לעיל).

"הלהיט האחרון" של תוכנות הכופר, Locky מחדיר קובץ למחשב הקורבן, בדרך כלל מסמך וורד או אקסל המצורף למייל שנשלח מכתובת כגון UPS או FEDEX והקורבן החליט לפתוח אותו. הקובץ כתוב בפונטים לא מובנים, שאינם עברית או אנגלית, אבל יש בו הודעה ברורה לאפשר ביצוע מאקרו (פקודה מקוצרת לביצוע סדרת פעולות) כדי להציג את תוכן ההודעה בצורה קריאה. הערה: בדרך כלל ביצוע מאקרו חסום כברירת מחדל. ברגע שהמשתמש מאשר הפעלת מאקרו בוורד, מופעל השלב שבו תוכנת הכופר מתקשרת לאתר הבית שלה (דרך פעולה אופיינית לסוס טרויאני), ומורידה גרסה עדכנית של הקוד הזדוני שמצפין את המסמכים הנמצאים במחשב וברשת.

אחת הדרכים של פושעים ליצירת אמון בהודעות שהם שולחים היא השתלטות על אימייל של אדם מסוים ומשלוח הודעות בשמו לכל האנשים המופיעים בפנקס הכתובות שלו. הנמענים מתייחסים באמון להודעה המגיעה מאדם מוכר. לדוגמה, הודעה על משחק חינמי מרתק. המשחק מצא חן בעינייך? שחק במשחק. שיחקת – נדבקת. לכן, גם בהודעות מכתובות מוכרות, מאנשים מוכרים, יש לשים לב במיוחד לקישורים בגוף ההודעה ולקבצים מצורפים. מומלץ לא לפתוח שום קובץ אלא אם כן מצפים לו. קובץ מצורף עם סיומת exe או com מצריך התייחסות מיוחדת גם אם נראה לכאורה שהוא "כשר", ומומלץ לבדוק תקינותו עם השולח. נדגיש, במקרה של משהו חשוד או לא ברור במייל אין לבצע בירור במייל חוזר אלא רק באמצעי תקשורת אחר כגון טלפון למקרה שההודעה נשלחה מכתובת מזויפת.

לעתים מתבצעת שליחת דואר אלקטרוני עצמי לכאורה (מכתובת המייל של המקבל) כמו שניתן לראות בהודעת אימייל ששלחתי לכאורה לעצמי

כופרה 2

בדוגמה זו יש קובץ מצורף שהסקרנים יפתחו כדי לראות מה כתוב בו.

דרך נוספת המבוצעת תוך כדי גלישה באתרים היא הודעה שהמחשב שלך נמצא בסיכון, הגולש מוזמן לבצע בדיקה חינמית דרך האתר או באמצעות קובץ שמורידים למחשב. באופן דומה הגולש מקבל הודעה שהמחשב שלו מגיב לאט, ואז כמובן יש הצעה לתוכנה חינמית מדהימה שצריך להוריד ולהתקין. ככלל, יש להיזהר מהצעות של תוכנות חינמיות, ואם חפצים בתוכנה כלשהי אזי יש להוריד אותה מאתר הורדות בדוק כגון CNET או MajorGeeks.

אמצעי ההגנה היעיל ביותר נגד מזיקים או פיתויים בהודעות אימייל הוא מחיקת כל הודעה מכתובת לא ידועה מבלי לפתוח אותה. מומלץ למחוק מבלי לפתוח גם הודעות מכתובות מוכרות לכאורה עם תוכן לא צפוי.

רשתות חברתיות: דרך נפוצה אחרת היא שתילת התוכנות הזדוניות או הקישורים שמובילים אליהן בהודעה מחבר ברשת חברתית כלשהי. כדוגמה מצורפת הודעה שקיבלתי מחבר קרוב בשם יורם, כתובת המייל שלו והתמונה שלו (אמיתיים) מוסתרים: "הנה כתובת של אתר מדליק, כדאי לך להיכנס". יש נטייה לקבל המלצות כאלו כאשר הן מגיעות מחבר. לכן צריך לשים לב להודעות שמקבלים מחברים ובהן המלצות לא אופייניות לאותו חבר.

תמונה חדשה (32)

ישנן דוגמאות של הנדסה חברתית שיש להן רק פתרונות טכנולוגיים: למשל, מנהל משאבי אנוש בחברה מפרסם הודעה על משרה פנויה. המועמדים מתבקשים למלא טופס ולצרף קורות חיים. קובץ קורות החיים יכול להכיל סקריפט זדוני, אבל מנהל משאבי אנוש יפתח אותו כי הוא מצפה לקבל אותו, כתובת השולח, כמובן, אינה מוכרת לו. אפשר לבקש מהשולח מספר טלפון ולוודא שהוא נכון וקיים, אבל זה לא תמיד מספיק.

בנוגע לקישורים – מומלץ לא ללחוץ עליהם כי לעתים קרובות יש בהם חלקים מוסווים. במקרה שמתעקשים מסיבות כלשהן להגיע לקישור, מומלץ לרשום את הכתובת בדפדפן באופן ידני. אמצעים נוספים להגנה מאתרים זדוניים יפורטו בחלק הטכנולוגי במאמר הבא.

גלישה זהירה משמעותה בעיקר גלישה באתרים "הגונים" ואי-ביצוע פעולות מסוכנות. קיימים סוגים שונים של אתרים מסוכנים ולא מומלצים, כגון אתרי הורדת תוכנות מפוצחות וקובצי פיצוח, אתרי גונבות ואתרי סקס.

התוכנות המפוצחות (Warez) או קובצי פיצוח crack לתוכנות עם רישיון זמני, עלולים להכיל "מטען נוסף" מזיק, כגון כופרה.

יש מספר גדול של אתרים המתיימרים לאפשר הורדה של "גרסאות חינמיות", דהיינו "גונבות" של סרטים או ספרים. לעתים קרובות כדי להוריד ספר או סרט מאתר כזה יש צורך להוריד קודם קובץ מסוג exe שלטענת האתר – אם תפעיל אותו הוא יוריד את הספר. קובץ כזה עלול להיות קובץ זדוני. גם הסרטון החינמי או הספר החינמי בעצמם עלולים להיות מסוכנים.

אתרי סקס ידועים כמכילים מלכודות רבות, הן בתוך האתרים והן בסרטונים חינמיים או בתמונות חינמיות, שמורידים למחשב ומכילים קובץ זדוני שמאפשר לבצע השתלטות על המחשב.

באתרי סקס ובאתרי גונבות נמצאות לעתים מלכודות מסוג נוסף: הגולש מקבל הודעה שהתגובה של המחשב אטית ומומלץ לבצע אבחון באתר ו/או להוריד תוכנת ניקוי/שיפור ביצועים. מלכודת דומה היא אזהרה כי המכשיר/המחשב שלו נדבק בווירוס או בנוזקה מסוכנים ומוצעת פעולה דחופה ומיידית (לעתים מוגבלת בזמן) להסרת המזיק, אשר לצורך ביצועה על הגולש ללחוץ על קישור או להוריד ולהתקין תוכנת אנטי-וירוס חינמית, לדוגמה:תמונה חדשה (33)

לחיצה על cancel מביאה לאותה תוצאה כמו לחיצה על next. יציאה ממסך זה – רק על ידי ה- X מצד ימין למעלה.

בכל מקרה מסוג זה יש להתעלם מההודעה ולצאת מיידית מהאתר ואפילו מהדפדפן, מבלי לבצע כל פעולה נוספת. בחלק הטכנולוגי במאמר ההמשך אדבר גם על תוכנה שמציגה התראה על המסך במקרה של ניסיון כניסה לאתרים מסוכנים, כמו גם שיטות גיבויים ואמצעים טכנולוגיים נוספים.

הפרקים הבאים בסדרה מוקדשים להתגוננות בפני מתקפות כופרה – Ransomware

על המחבר / המחברת

Avatar

אלי מירון

ד"ר, מרצה לניהול ידע. המחלקה להנדסת תעשייה וניהול. אוניברסיטת בן גוריון.

30 תגובות

  1. עזרא
    עזרא אפריל 18 2016, 07:04
    מעניין

    הרבה מידע חדש וענייני.

    הערה: לאור הקריאה חששתי ללחוץ על תיבת תנאי השימוש בהודעה זו, לחצתי בלב כבד וקראתי כל פרט:)

    השב לתגובה
  2. אביגדור
    אביגדור אפריל 18 2016, 10:32
    פחד

    מה עושים?
    ולא כולנו מבינים ברזי המחשבים והתכנה

    השב לתגובה
    • אלי מירון
      אלי מירון אפריל 18 2016, 12:31
      מה עושים ?

      הדבר הראשון שיש לעשות הוא לשים לב לכל הטריקים של הפושעים שתוארו במאמר ולהיזר !!!
      את שאר האמצעים אתאר במאמר המשך

      השב לתגובה
  3. משה ק
    משה ק אפריל 19 2016, 23:02
    מעניין מאוד

    קראתי בשקיקה ונידהמתי מהתיחכום שב "ההנדסה החברתית" יש כל כך רמאים וגנבים….פחד.

    השב לתגובה
  4. פוחדה
    פוחדה אפריל 20 2016, 12:02
    ומה הלאה?

    חוטפה
    חובלה
    חונקה
    טמטומה

    השב לתגובה
    • אלי מירון
      אלי מירון אפריל 21 2016, 00:49
      מונחים טכנולוגיים

      צר לי שהמונח כופרה לא מוצא חן בעיניך, אני משתמש בו מזמן.
      לידיעתך – האקדמיה ללשון אשר מטפלת גם במונחי טכנולוגיה אימצה לאחרונה את המונח כופרה באופן רשמי. אתה מוזמן לקרוא את כל המונחים האחרונים, להלן קישור: ://bit.ly/1SbM3ei.

      השב לתגובה
      • עמיתי
        עמיתי פברואר 19 2017, 18:02
        מונחים טכנולוגיים

        שימו לב! לא ללחוץ על הקישור שאלי מצרף, יש חשש שזה וירוס!

        השב לתגובה
  5. עופר
    עופר אפריל 20 2016, 17:58
    יעילות אנטי וירוסים

    אנטי וירוס כמו קספרסקי או נוד 3 לא יכולים להגן מפני רוגלות שכאלו? הרי זו אותה הגנה כמו רוגלת רגילה

    השב לתגובה
    • אלי מירון
      אלי מירון אפריל 21 2016, 00:46
      יעילות אנטי וירוסים

      אני מצטט מתוך מאמר שפורסם לפני חמישה ימים:
      The high success rates of ransomware attacks are directly attributed to the shortcomings of antivirus software that rely on static, signature-based methods to detect ransomware. With several variants of ransomware being developed on a daily basis, there’s simply no way signature-based defenses can keep up. Udi Shamir, Chief Security Officer at cybersecurity firm Sentinel One, explains, “With minor modifications a cybercriminal can take a well-known form of ransomware like CryptoLocker, and make it completely unknown and undetectable to antivirus software.”

      השב לתגובה
  6. מם
    מם אפריל 24 2016, 11:50
    כופרה הפכה באמת למגיפה

    מכל העולם חוטפים מערכות בכל העולם ובהרבה דרכים. לא רק מה שמתואר כאן.

    השב לתגובה
  7. שין
    שין אפריל 28 2016, 21:14
    שתי הערות

    כופרה היא לא טכניקה אלא דרך פעולה
    שיתוף פעולה בין המשטרות בעולם יכול לחסל את רוב הבעיה

    השב לתגובה
    • אלי מירון
      אלי מירון אפריל 29 2016, 15:10
      תדובה ל"שתי הערות"

      שין,
      המונח כופרה – ransomware מתייחס לתוכנה מזיקה שמטרתה להצפין את הקבצים במחשב ולדרוש כופר כסף לשחרורם. כפי שתראה בחלק השלישי יש כמה כופרות, שונות בטכניקה ולכל אחת יש שם משלה.
      יש מאמץ לשיתוף פעולה בין לאומי שבינתיים לא זוכה להצלחות מדהימות.

      השב לתגובה
  8. Uri
    Uri אפריל 29 2016, 13:03
    Curiosity Killed The Cat

    A typical maleware is a sudden, full page advertisement accompanied by a person’s voice “ordering” you to call a certain phone number for your computer has been hijacked. This specific maleware accompanies pornography sites and others that offer a “key” to making money easily.
    A simple-minded suggestion is to not open eMails from unknown senders. Note, curiosity is a human foible that needs taming. The saying is that “curiosity killed the cat.”

    השב לתגובה
  9. יהושפט גבעון
    יהושפט גבעון מאי 25 2016, 09:03
    היצרנים והכופרות

    לאלי שלום,

    לא הספקתי עדיין לקרוא ביסודיות את דבריך. אבל, האם אתה מזכיר את העובדה שהיצרנים עצמם משתילים כופרות בתוכנות שהם מפיצים?

    השב לתגובה
    • אלי מירון
      אלי מירון מאי 25 2016, 10:58
      היצרנים והכופרות

      יהושפט שלום,

      אני לא שמעתי על יצרנים שמשתילים כופרות. אודה לך מאד אם תוכל לתת כאן קישור למאמר שמתאר תופעה זו.

      הניחווש שלי הוא שאף חברת אנטי וירוס לא תקח על עצמה סיכון לעשות משהו כזה כי אם זה יתגלה כל הביזנס שלה יחוסל.

      השב לתגובה
  10. חגית צ.
    חגית צ. מאי 29 2016, 12:57
    שם לא מוצלח

    יש כל מיני מתקפות שמסתיימות בסחיטה, לכן לקרוא למתקפה הזאת של הנעילה כופרה סה קצת מטעה.

    השב לתגובה
    • אלי מירון
      אלי מירון מאי 30 2016, 10:02
      שם מוצלח

      חגית,
      המונח (לא שם) כופרה הוא תרגום מילולי של המונח המקובל בעולם לסוג זה של נוזקות – Ransomware.
      המונח כופרה אומץ על ידי האקדמיה ללשון.

      השב לתגובה
  11. יוסף חובבני
    יוסף חובבני יוני 11 2016, 15:11
    טוב לדעת..

    מידע חיוני ומאוד מעניין. מהיום אפסיק לגלוש באתרי פורנו

    השב לתגובה
  12. רלי
    רלי יוני 17 2016, 07:39
    כתראיתי באיזה אתר

    טוענים שעשרות אלפי מחשבים בארץ הותקפו בכופרות
    המספרים ריאליים?

    השב לתגובה
  13. אלי מירון
    אלי מירון יוני 18 2016, 09:56
    מתקפות כופרה בארץ

    לרלי,

    המידע שלי הוא מפרסומים גלויים, אני לא עורך סטטיסטיקות.
    בעולם יש פרסומים תכופים על התגברות תדירות המיתקפות.
    פרסום חדש בארץ מדבר על 450,000 מיתקפות בחודש. אני מודה שזה נראה לי מוגזם אבל אנסה לוודא.

    להלן קישור לכתבה – http ://tech.walla.co.il/item/2941752

    השב לתגובה
  14. נעם אשבל
    נעם אשבל יולי 09 2016, 12:31
    bit.ly

    כתובות bit.ly עצמן שאתם מפרסמים חדשות לבקרים, נראות לי חשודות. אולי אפשר להסביר פעם אחת ולתמיד מה הם בעצם ולמה לא משתמשים בכתובות רגילות?

    השב לתגובה
  15. אלי מירון
    אלי מירון יולי 09 2016, 23:23
    bit.ly

    כתובות bit.ly הן כתובות אינטרנט (URL) מקוצרות. הן כשרות למהדרין ואין מה לחשוש מהן.
    כתובות מקוצרות נוחות במיוחד באתר כמו Jokpost בו אי אפשר להגיע לקישורים בלחיצה עליהם וצריך לבצע העתק-הדבק של הקישור לדפדפן.
    להלן הדגמה מדוע אני משתמש: זה קישור לאתר רלבנטי –
    http ://www.mako.co.il/nexter-computers/Article-c63f327b73b9551006.htm?sCh=cd0c4e8fc83b8310&pId=1498475408
    כתובת זו זהה ל http ://bit.ly/29j8pva

    השב לתגובה
  16. זיו נ.
    זיו נ. יולי 11 2016, 16:03
    בעיה בלינקים בכתבה!

    למה הלינקים בכתבה לא חיים? לא מקשרים, לא היפרטקסט.

    השב לתגובה
    • אלי מירון
      אלי מירון יולי 11 2016, 17:15
      לינקים

      צר לי מאד – זו מדיניות המערכת. כל ניסיונותי לשכנע אותם לאפשר לינקים "לחיצים" עלו בתוהו.

      השב לתגובה
  17. מוריס נ.
    מוריס נ. ספטמבר 13 2016, 12:52
    לא מזלזל

    אבל פתאום נהיה שקט.כבר לא אופנתי.גם הדיבורים על עשרות אלפי ישראלי שנפגעים כל העת נראה לי לא הגיוני ולא סביר.הסטריה שמנפחים העיתתונאים בכדי להגביר את הרעש.

    השב לתגובה
  18. דור
    דור דצמבר 26 2017, 19:57
    למדנו על זה

    נירגע בינתיים?

    השב לתגובה
  19. ישי
    ישי יוני 10 2018, 14:36
    טיפה להפעיל שכל

    מי שפותח קבצי ג'יבריש ממקור לא ידוע ועוד מפעיל בהם פקודות מאקרו הוא אידיוט בריבוע. קשה להאמין שקיימים אנשים כאלה.

    השב לתגובה
  20. אלי מירון
    אלי מירון יוני 10 2018, 17:24
    תגובה

    באמת קשה להאמין איזה שטויות אנשים עושים.
    מה הסיכוי לדעתך שאם מישהו יפתח קובץ כזה שמתקבל מכתובת מייל של חבר / מכר

    השב לתגובה

כתוב תגובה

הוסף תגובה:

<

* אני מתחייב לפעול על פי תנאי השימוש באתר


התגובות יפורסמו לפי שיקול דעת העורך

כתבות נוספות

פוסטים אחרונים בIT

יתר המאמרים במדור
Do NOT follow this link or you will be banned from the site!