JOKOPOST | עיתון המאמרים והבלוגים המוביל בישראל

facebook twitter linkedin
  • ראשי » 
  • IT
  •  » כופרה – RANSOMWARE (חלק 2)

כופרה – RANSOMWARE (חלק 2)

כיצד להתגונן מכופרות וכיצד להתמודד עמן

כופרה – RANSOMWARE (חלק 2) ד"ר אלי מירון
מאי 02
19:30 2016

במאמר קודם הסברתי מהי כופרה ופירטתי כמה סוגים של תוכנה מזיקה זו. כעת אפרט דרכי התגוננות והתמודדות.

האמצעי הבסיסי ביותר נגד כופרות הוא גיבוי – שמירת עותקים של הקבצים של המחשב האישי במקומות נוספים באופן שיאפשר שחזורם אחרי הצפנת הקבצים המקוריים. ניתן לשמור עותקים של הקבצים בכוננים הפנימיים של המחשב, בהתקני אחסון חיצוניים המחוברים ישירות למחשב, בהתקני אחסון חיצוניים, במחשבים אחרים הנמצאים באותה רשת ובאתרים חיצוניים באינטרנט. אסביר כל אחת מהשיטות.

שמירת הקבצים בכונן פנימי (בתוך המחשב) – כדי לשמור קבצים בכונן פנימי יש להשתמש בפונקציית שחזור המערכתsystem restore . לדוגמה, אם הקבצים שמורים בכונן D: צריך לבחור בכונן זה בעת הפעלת גיבוי המערכת, כמוצג בתמונת המסך להלן.

כופרה 5

הבעיות בגיבוי בשיטה זו: א. לעתים כופרות מצליחות למחוק את קובצי הגיבוי של שחזור המערכת; ב. אפשר לשחזר רק קבצים שנשמרו בגיבוי האחרון שבוצע; ג. הכופרה עלולה להשתלט גם על מערכת ההפעלה ולמנוע את את הפעלת פונקציית השחזור.

שמירת הקבצים באתר שנמצא מחוץ למחשב – יש שתי שיטות לשמור קבצים מחוץ למחשב: א. גיבוי – העתקת קבצים חדשים או מעודכנים לאתר אחסון חיצוני כל שהוא, או בזמן אמת או זמן מה לאחר היצירה או השינוי; ב. סינכרון – כל קובץ חדש או מעודכן מועתק אוטומטית לאתר החיצוני. נדגיש שסינכרון הוא דו-צדדי, דהיינו כל קובץ שמשתנה באתר האחסון החיצוני משתנה גם במחשב האישי.

בהיערכות לתקיפה של כופרה חייבים לדעת שתוכנות כופרה מצפינות לא רק את הקבצים במחשב הנגוע אלא גם את הקבצים בכוננים חיצוניים הקשורים למחשב ובמחשבים אחרים הנמצאים באותה רשת, לכן יש להיערך לכך ולאחסן את הקבצים באופן שהכופרה לא תצליח להצפין גם אותם.

אפשרויות אחסון חיצוני לקבצים: א. דיסק או התקן אחסון חיצוני שמחובר למחשב באופן קבוע; ב. דיסק חיצוני שמחובר למחשב באופן זמני רק לצורך ביצוע הגיבוי, ומנותק מיד לאחר סיום הגיבוי; ג. שרת רשת; ד. מחשב אחר בחיבור רשתי או אינטרנטי; ה. גיבוי באתר אינטרנט המאפשר אחסון קבצים ("ענן").

אתרי האחסון האינטרנטיים הידועים ביותר (מתוך אוסף גדול) הם Dropbox (2GB) ו-Google Drive (15GB). Dropbox ו-Google Drive פועלים בשיטת סינכרון, אבל אפשר להשתמש בהם כגיבוי בלבד אם לא מתקינים את האפליקציה במחשב. כמובן, בכך מפסידים את היתרון שבסינכרון אוטומטי – העלאה מיידית לענן של כל קובץ חדש או מעודכן.

יש עוד אתרי גיבוי רבים וטובים אולם יש לשים לב לנפחי הגיבוי המוגבלים המוצעים בחינם למשתמשים פרטיים. הנפח הגדול ביותר מוצע על ידי Degoo – 100GB. ברוב המקרים ניתן לשלם עבור נפח נוסף. מנויי בזק בארץ יכולים להשתמש בענן של בזק – Bezeq Cloud – שהוא חינמי בתנאי שיש להם גם קו טלפון וגם מינוי לאינטרנט המהיר של בזק. היתרון הגדול של ענן בזק הוא שאין בו הגבלה על נפח הקבצים המגובים. מומלץ להשתמש ביותר מגיבוי "מעונן" אחד, במיוחד אם משתמשים באתר חינמי, כי כללי המשחק עלולים להשתנות – כך קרה לאתר הגיבוי SugarSync, שהיה מעולה, אך יום אחד החליטה החברה שאין יותר "חינם", וגם לאתר OneDrive, כאשר מיקרוסופט הודיעה באופן חד-צדדי על הקטנת הנפח החופשי מ-15GB ל-5GB; גם Bezeq Cloud היה בתחילה חופשי לבעלי קו בזק בלבד ואחר כך נחסמה הגישה לבעלי קו בזק שאינם מנויים לאינטרנט המהיר של בזק. סקירה עדכנית מלאה על 22 אתרי אחסון חינמיים בענן הכוללת כמה קריטריונים נוסף לנפח אחסון תמצאו בכתובת: http://bit.ly/1pc9k40.

גיבוי עמיד לכופרה הוא אתר גיבוי בענן שרק מעתיקים אליו קבצים באופן ידני ומנתקים את הקשר בתום ההעתקה, או גיבוי ידני לדיסק או התקן אחסון חיצוני הנעשה בתדירות מסוימת בהתאם לצורך, כאשר בתום הגיבוי מנתקים את הדיסק מהמחשב. החיסרון הוא שקבצים חדשים יחסית שנוצרו או עודכנו אחרי הגיבוי האחרון אינם ניתנים לשחזור אם מסתמכים אך ורק על אתר הגיבוי או על הדיסק החיצוני הנתיק.

אם הדיסק החיצוני מספיק גדול (זה המצב בהרבה מקרים) רצוי לאחסן גם "תמונה" (Image) של דיסק מערכת ההפעלה לשימוש במקרה שהכופרה משתלטת על מערכת ההפעלה ומונעת הפעלת שחזור. במקרה כזה ניתן "לדרוס" את דיסק המערכת באמצעות שחזור העתק אחרון מהגיבוי החיצוני, וכך לחסוך תהליך שלם של התקנה מחדש של מערכת ההפעלה ושל כל התוכנות האחרות במחשב. יש מגוון תוכנות שירות חינמיות המייצרות אפשרויות לגיבוי ולשחזור מסוג זה.

נוסף לגיבוי, חשוב להשתמש באמצעי זהירות בסיסיים, ואפרט להלן.

הגבלת מספר משתמשים – המחשב שלך הוא שלך, לא של הילדים שלך ולא של הנכדים שלך. פעולה לא מבוקרת של משתמש אחר עלולה להכניס נוזקות למחשב.

שימוש בחשבונות מוגבלים של Windows – ניתן להגדיר שני סוגים של חשבונות: חשבון מנהל (אדמיניסטרטור), שבו למשתמש יש הרשאות להתקין תוכנות ולבצע שינויים במערכת, וחשבון מוגבל. אמצעי התראה נוסף שיש לשים אליו לב, גם כשעובדים עם הרשאת מנהל, הוא תכונה של Windows בשם בקרת חשבון משתמש – UAC = User Access Control – המציגה הודעה כאשר תוכנה מבצעת שינוי הדורש הרשאה ברמת המנהל. ברוב המקרים, אם עובדים בחשבון ללא הרשאת מנהל, גם כופרה שתצליח לעקוף את מנגנון בקרת המשתמש עדיין לא תוכל לפעול בגלל המגבלות של החשבון. הסבר מפורט יותר ניתן לקרוא כאן: http://bit.ly/1VBfRnG.

כשמקבלים מחשב חדש הוא מוגדר למשתמש (user) יחיד ולחשבון זה יש הרשאות אדמיניסטרטור. מומלץ לפתוח מיד חשבון נוסף מוגבל ולעבוד אתו בשגרה, גם אם יש אך ורק משתמש אחד. לצורך זה אפשר לנצל את חשבון האורח, שבדרך כלל קיים אך אינו מופעל. לשני החשבונות רצוי מאוד להגדיר סיסמת כניסה. הגדרת החשבונות נעשית דרך לוח הבקרה – control panel, כפי שמודגם בצילום המסך:

כופרה 6

כאשר מוסיפים חשבון מוגבל למחשב אחרי שעובדים פרק זמן מסוים עם חשבון יחיד ברמת מנהל, מומלץ להעביר קבצים מהתיקיות הבסיסיות הקיימות לתיקיות החדשות – לכל משתמש מוגדרות ארבע תיקיות בסיסיות בנפרד: מסמכים, תמונות, מוסיקה ווידאו. גם הורדות מועברות לתיקייה נפרדת לכל משתמש. כמו כן מומלץ להעתיק את תוכן תיקיית דסקטופ (desktop) של המשתמש הקיים לתיקייה המקבילה של המשתמש החדש, כדי לשמור על הארגון של החלון הראשי. בשעת התקנה של תוכנה חדשה חשוב לשים לב להנגיש אותה לכל המשתמשים.

אם מתעקשים לתת גישה לילדים או לנכדים חייבים להגדיר להם חשבון מוגבל.

הגדרות מאקרו ב-Office – יש כופרות כגון Locky ששולחות הודעה במייל ובה מתבקש הקורבן להפעיל מאקרו כדי לראות הודעת מייל. מאקרו הוא סט פקודות של אופיס שמופעל אוטומטית. חשוב לוודא שהגדרת ברירת המחדל היא מאקרו מושבת. אפשר להגיע להגדרות המאקרו דרך תפריט קובץ => מרכז יחסי אמון, כפי שמודגם בצילום המסך להלן:

כופרה 7

מניעת השתלטות מרחוק – יש לוודא שלא קיימת יכולת הפעלה מרחוק. כך עושים זאת: א. יש להיכנס ללוח הבקרה; ב. לבחור system and security; ג. ללחוץ על allow remote desktop בקבוצת system; ד. לוודא שההגדרות הן כמו בתמונת המסך:

כופרה 8

במקרה שמזמינים השתלטות מרחוק על ידי גורם ידוע, למשל כדי לבצע תיקון המחשב מרחוק על ידי טכנאי, יש לבצע הפעלה מחדש של המחשב בתום התיקון כדי לוודא שלא נותר קישור חיצוני אל המחשב.

עדכונים – לעתים השתלטות על מחשבים נעשית באמצעות ניצול פרצות במערכת ההפעלה עצמה או בתוכנות שמותקנות במחשב, כגון Acrobat Reader. חייבים להקפיד על עדכון מתמיד של מערכת ההפעלה, של התוכנות ושל הדפדפנים. לאחרונה פורסמה "קריאה דחופה" להסיר את תוכנת QuickTime של Apple (ראו: http://blog.trendmicro.com/urgent-call-action-uninstall-quicktime-windows-today/), מאחר שהחברה הפסיקה לתמוך בה ובאחת המעבדות נמצאו בה פרצות המאפשרות השתלטות עוינת על המחשב.

בתמונת המסך להלן מוצגת ההגדרה המומלצת לעדכונים של מערכת ההפעלה. ניתן להגיע אליה דרך לוח הבקרה כמודגם או בהקשת windows update על סמל החלונות למטה (מימין או משמאל, תלוי בשפה הראשית).

כופרה 9

נוסף לכל אמצעי הזהירות שננקטים באמצעות הגדרות נכונות של מערכת ההפעלה, ניתן להתקין מגוון תוכנות ותוספי דפדפן להגנה. בחלק השלישי של המאמר אציג כמה אמצעי הגנה חיצוניים כנגד מתקפות כופרה והכוונות לטיפול במחשב שנפגע.

על המחבר / המחברת

Avatar

אלי מירון

ד"ר, מרצה לניהול ידע. המחלקה להנדסת תעשייה וניהול. אוניברסיטת בן גוריון.

16 תגובות

  1. עזרא
    עזרא מאי 03 2016, 06:51
    תוכנת גיבוי

    יש לי כונן חיצוני המחובר באופן קבוע עם המחשב עם איזו תכנה חינמית מומלץ לעבוד לצורך גיבוי הנתונים?

    השב לתגובה
    • אלי מירון
      אלי מירון מאי 06 2016, 17:57
      תוכנת גיבוי

      אני משתדל להמליץ רק על תוכנות שאני אישית משתמש בהן. לגבי תוכנת גיבוי יש לי משהו "עתיק" שעובד יפה ואי אפשר למצוא אותו בשום מקום.
      אביא בהמשך המלצות לתוכנות גיבוי בהסתייגות שאין לי ניסיון אישי אתן

      השב לתגובה
  2. זיו נבון
    זיו נבון מאי 03 2016, 07:45
    מידע מועיל

    מאמר מצויין. כתוב בצורה בהירה לכל. אולי אפשר להוסיף התייחסות ל"חלונות 10" והאם יש בה תכונות מובנות נגד נוזקות שניתן להפעיל.

    השב לתגובה
  3. מ
    מ מאי 03 2016, 12:03
    כמי שממש לא מבינה במחשבים

    נשמע לי מסובך שאפעל לבד אבל זה באמת חשוב מאוד

    השב לתגובה
  4. דניאל
    דניאל מאי 03 2016, 13:44
    ממש מדאיג

    עוד מעט לא נוכל להתנהל בלי יועץ אבטחת מידע לכל מחשב ביתי.

    השב לתגובה
  5. מרק
    מרק מאי 03 2016, 15:37
    שאלה

    היו מקרים שהתפרסמו על כך שהאקרים גנבו או העתיקו או לקחו ואחר כך מחקו. ואז פנו לאתר והודיעו שהחומר הרגיש יפורסם אם לא ישלמו להם כופר. זאת גם כופרה?

    השב לתגובה
    • אלי מירון
      אלי מירון מאי 06 2016, 18:04
      הגדרות

      ההגדרה של כופרה היא תוכנה שמשתלטת על המחשב ומצפינה את הקבצים. המקרה שאתה מתאר לא מוכר לי אבל אפשר לשייך אותו.

      השב לתגובה
  6. ש.
    ש. מאי 04 2016, 16:45
    יש לא מעט גופים גם בארץ שנכנעו לסחיטה

    שילמו ורובם לא מדברים על כך כולל חברות לא קטנות.

    השב לתגובה
  7. גילה יחזקאל
    גילה יחזקאל מאי 05 2016, 12:04
    מאמר מועיל

    אני מצפה למאמרים כאלה שעוזרים לך מעשית בנושאים רלוונטיים.

    השב לתגובה
  8. דוד עמר
    דוד עמר מאי 06 2016, 08:03
    כן ירבו מאמרים כאלה

    מוסיפים דעת ולא סתם רכילות או דיעות פוליטיות

    השב לתגובה
  9. ץ
    ץ מאי 06 2016, 12:58
    מה דעתך על הרעיון הבא

    נוזקה שחודרת למחשב ודרכו עוברת לגיבויים שנעשים ואז עושה נזק רק בגיבויים כך שאף אחד לא יוגע או שם לב ואז כאשר נועלים המחדב בשלב השני הגיהויים לא עוזרים

    השב לתגובה
    • אלי מירון
      אלי מירון מאי 06 2016, 18:01
      לבצע גיבוי לכונן חיצוני ולנתק בתום פעולת הגיבוי

      אפשרות זו קיימת והצגתי אותה.
      אם יש הרבה קבצים וגיבויים במספר מקומות, כולל בענו ייתכן שהכופרה לא תספיק להצפין את כולן לפני שנוכחותה תתגלה.
      בכל מקרה שים לב שהמלצתי לבצע גיבויים ידניים לכונן חיצוני ולנתק אותו מהמחשב בתום הגיבוי. גיבןיים כאלה עוזרים לשחזור הנתונים בדיוק במצב בו אתה מתאר.

      השב לתגובה
  10. סול
    סול מאי 07 2016, 12:54
    לרוב הגולשים אין מושג בדבר הסכנות

    הם גם לא קוראים מאמרים כאלה ולא שמעו על הבעיות ולא נוקטים בשום אמצעי זהיאות אפילו לא אנטי וירוס

    השב לתגובה
  11. מתכנת
    מתכנת מאי 24 2016, 17:13
    הכי הרבה נזקים יש בגלל פרצות ניהוליות

    ולא מתקפות של תוכנות זדוניות.המנהלים לא מבינים על איזה פצצות זמן הם יושבים מול העובדים שלהם שלהם כמעט הכל פתוח.

    השב לתגובה
  12. אלי מירון
    אלי מירון מאי 25 2016, 10:50
    פרצות ניהוליות

    סדרת המאמרים מכוונת לאנשים פרטיים.
    בחברות יש הרבה פרצות ניהוליות ובהחלט מומלץ לחברות וארגונים לפנות לגוף מקצועי מוכר ומסמך לייעוץ.

    השב לתגובה

כתוב תגובה

הוסף תגובה:

<

* אני מתחייב לפעול על פי תנאי השימוש באתר


התגובות יפורסמו לפי שיקול דעת העורך

כתבות נוספות

פוסטים אחרונים בIT

יתר המאמרים במדור
Do NOT follow this link or you will be banned from the site!