Crypto locker זו תוכנה זדונית המצפינה קבצים חשובים, ודורשת תשלום כופר מהמשתמש עבור שחרור הקבצים מהנעילה (מפתח ההצפנה).
תוכנה זדונית זו מצפינה מסמכים, תמונות וקבצי אופיס במחשב, וברשתות היא מקודדת אותם בתיקיות משותפות. לאחר מכן נשלחת הודעה למשתמש או למשתמשים עם דרישה לתשלום (סכום שנע בין מאות לאלפי דולרים) בתמורה למפתח ההצפנה שיאפשר את שחזור הקבצים.
לא ניתן לפרוץ את הקידוד של הקבצים באמצעים סטנדרטיים, כך שמרגע הצפנת הקבצים אין דרך לשחזרם!
האיום מגיע כקובץ מצורף המכיל את התוכנה הזדונית, בדרך כלל באמצעות מיילים, אתרים נגועים, או דרך תוכנות שיתוף קבצים, בהן הוא מצורף לפריצות עבור תוכנות כמו Adobe Photoshop או MS Office.
הודעת הכופר של Crypto locker – ההודעה שמתריעה על כך שהוצפנו הקבצים במחשב/רשת נראית כך:
Crypto locker נפוצה ברחבי העולם כשנה וחצי, ובסוף הקיץ שעבר החלה לתקוף משתמשים ביתיים ועסקים קטנים עד בינוניים בישראל. כיום מדובר באחת ההתקפות הנפוצות בישראל.
כך תתגוננו מפני Crypto locker
- יש לוודא התקנה של אנטי וירוס מעודכן וחוקי במחשב או בכל התחנות והשרתים ברשת. חשוב לשים לב גם למחשבים של עובדים שמתחברים ב-VPN או מתחברים ב-RDP לשרת טרמינל. ברשתות של 5 תחנות ומעלה חשוב להתקין ממשק ניהול לאנטי וירוס, כדי להיות בבקרה על הנושא.
- עדכוני מיקרוסופט קריטיים אחרונים חובה במחשב או ברשת: חשוב להגדיר עדכונים אוטומטיים , ולבצע מעקב תקופתי שהם אכן מתבצעים.
- חומת אש המובנית במערכות הפעלה מיקרוסופט אינה מספקת להתמודדות עם האיום הנ"ל: יש להשתמש בחומת אש מתקדמת של אחת החברות המובילות בתחום. בארגונים מומלץ כמובן להשתמש בהתקן פיזי של חומת אש של אחת החברות המובילות כדוגמת Fortinet.
- יש להגדיר סיסמת אבטחת מורכבת לחיבור מרחוק (באורך 8 תווים לפחות ומכילה אותיות קטנות, גדולות, מספרים ותווים מיוחדים) כדי למנוע פריצה של הסיסמא בהתקפה.
- גיבויים שבועיים או דו-שבועיים (מומלץ גיבוי אונליין ולא מקומי) של מידע חשוב במחשב או בשרתים ובתחנות, ובדיקה תקופתית של שחזור הגיבויים כדי לוודא שהם תקינים.
- אין לאשר הרשאות Administrator למשתמשים – משום שהתקפות מסוג זה מאתרות פרצות כאלה שמאפשרות להם לרוץ על הפרופיל המקומי ובאמצעותו להדביק את שאר הרשת.
- חיסמו סיומות EXE בתוכנת האנטי וירוס שסורקת את הדוא"ל – במקרים רבים מודבקים מחשבים באמצעות קובץ EXE שמצורף לאימייל. באופן כללי, אין סיבה שקבצי הפעלה ישלחו למשתמשים ברשת, ולכן מומלץ לאכוף מדיניות של חסימת סיומות של קבצי הפעלה, ובמיוחד קבצי EXE.
שאלות נפוצות:
מה ההבדל בין Crypto locker לבין תוכנות כופר אחרות?
Crypto locker היא אחת מתוכנות הכופר הידועות והוותיקות ביותר, והיא מאופיינת בהצפנת קבצים ברמה גבוהה ובדרישת תשלום כופר במטבעות דיגיטליים, כמו ביטקוין.
תוכנות כופר אחרות עשויות לכלול שיטות הצפנה שונות, דרישות תשלום מגוונות (כולל מטבעות רגילים או שירותי תשלום אחרים), ולעיתים גם איומים נוספים, כמו פרסום מידע אישי אם הכופר לא ישולם.
כיצד תוקפים בוחרים את הקורבנות שלהם להתקפות מסוג זה?
תוקפי CryptoLocker משתמשים לרוב בשיטות תקיפה רחבות כמו דיוג (Phishing) והפצת קבצים נגועים דרך אימיילים או אתרים מזויפים.
עם זאת, הם עשויים גם למקד את התקפותיהם בארגונים או יחידים שהם מזהים כבעלי סיכוי גבוה לשלם את הכופר, כמו עסקים ללא גיבוי מתאים, משתמשים עם אבטחת מידע חלשה, או רשתות קטנות עד בינוניות שאינן מחזיקות צוות IT מיומן.
האם ניתן לגלות מראש אם אימייל מכיל תוכנת כופר כמו Crypto locker?
במקרים רבים, ניתן לזהות אימיילים זדוניים המכילים תוכנות כופר לפי סימנים מחשידים כמו כתובת שולח לא מוכרת, שגיאות כתיב וניסוח לא מקצועי, דרישות דחופות או איומים, וקבצים מצורפים עם סיומות לא רגילות (כמו exe\zip).
כדי להימנע מסיכון, מומלץ לא לפתוח קבצים מצורפים מאימיילים חשודים ולהשתמש באנטי-וירוס שמסוגל לסרוק את האימיילים ואת הקבצים המצורפים באופן אוטומטי.
כיצד להתמודד עם מחשב או תיקיה משותפת שבהם הוצפנו כבר קבצים:
- ברגע שמזהים פגיעת התוכנה הזדונית, יש לפנות מידית ליזמקו לטובת טיפול בבעיה!
- יזמקו – 3730* 03-6143737
- לשחזר את הקבצים מגיבוי – כמובן, לאחר ביצוע הפעולות המומלצות להתגוננות, על מנת לוודא שלא קיים וירוס פעיל במחשב או ברשת.
- במקרה של קבצים שקודדו בתיקיה משותפת על שרת קבצים, ניתן לבדוק מהו המחשב הנגוע שממנו הם קודדו על ידי בדיקה של ה-ownership של הקבצים שקודדו, ולנקות אותו או לעדכן אותו על מנת שלא יקודד אותם שוב.
הקראת המאמר לבעלי מוגבלויות: