תוכנות כופרה - שאלות ותשובות

ההיסטוריה של תוכנות כופרה

1986: תוכנת הכופרה הראשונה, 1986 AIDS TORYAN (ידועה גם כ "PC Cyborg") , פותחה על ידי ג'וזף פופ (Joseph Popp).
2005: בחודש מאי מתרחשת סחיטה באמצעות תוכנת כופרה.
2006: עד אמצע שנת 2006, תוכנות כופרה כגון, Gpcode , TROJ .RANSOM .A , Archiveus , Krotten , Cryzip , ו MayArchive כבר עושות שימוש מתוחכם במערכת ההצפנה RSA, תוך הגדלה משמעותית של גדלי מפתחות ההצפנה.
2011: מופיעה תוכנת כופרה שמדמה את פעילותו של מנגנון אימות ההפעלה מערכת ההפעלה WINDOWS
2013: מופיעה תוכנת כופרה המבוססת על ערכת הפיתוח מבוססת חולשות Stamp .EK וכן תוכנת כופרה ספציפית ל Mac OS – X . CryptoLocker גורפת רווחים בסדר גודל של כ- $ 5 מיליון בארבעה חודשים האחרונים של השנה.
2015: גרסאות שונות של תוכנות כופרה המשתמשות בפלטפורמות מגוונות גורמות נזקים משמעותיים.

סוגים של תוכנות כופרה

  • תוכנות כופרה מצפינות

מצפינות קבצים אישיים ותיקיות (מסמכים , גיליונות אלקטרוניים , תמונות , ווידאו).

הקבצים שנפגעו על ידי התוכנה נמחקים לאחר הצפנתם, ובדר"כ המשתמש יקבל קובץ טקטס ובו הוראות לתשלום הכופר תמורת פיענוח הקבצים.

אתם עלולים לגלות את הבעיה רק בזמן שאתם מנסים לפתוח אחד מהקבצים שהוצפנו.

חלק, אך לא כל תוכנות הכופרה, מציגות הודעה של "מסך נעול"

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • תוכנת כופרה – WinLocker

נועלת את מסך המחשב ודורשת תשלום עבור שחרורו.

המסך כולו ייחסם בהצגת הודעה שתמנע גישה לשאר החלונות האחרים.

המסמכים במחשב עצמו לא מוצפנים על ידי תוכנת הכופרה.

Polyransom2

  • תוכנת כופרה -Master Boot Record (MBR)

Master Boot Record (MBR) הינו איזור בכונן הקשיח של המחשב שמאפשר למערכת ההפעלה להיטען.

ה- MBR של תוכנת הכופרה מחליף את ה- MBR של המחשב כך שתהליך האתחול הרגיל נקטע,

ובמקום מערכת ההפעלה תופיע דרישת כופר על המסך.

Master-Boot.jpg

  • תוכנות כופרה הפועלות כנגד שרתי אינטרנט

תוכנות כופרה אלה פועלות כנגד שרתים ומצפינות חלק מהקבצים שמאוחסנים בשרת.

חולשות ופגיעויות במערכות ניהול התוכן הנפוצות בשרתים מעין אלו מנוצלות כדי להחדיר את תוכנות הכופרה לשירותי הרשת.

Ransomware encrypting web servers

  • תוכנות כופרה הפועלות כנגד מכשירי טלפון נייידים (אנדרואיד)

מכשירי טלפון נייד (לרוב אנדרואיד) עלולים להיחשף לתוכנות הכופרה באמצעות הורדות הגוררות עימן את הנוזקה.

מכשירי טלפון נייד עלולים להיחשף לתוכנות כופרה דרך אפליקציות מזויפות שמציגות את עצמן כשירותים פופולריים דוגמת Adobe Flash ומוצרי אנטי – ווירוס.

Mobile Ransomware

אם הותקפתי , האם עליי לשלם כופר?

לא מומלץ לשלם כופר, בעיקר מאחר ותשלום הכופר אינו מבטיח כי הקבצים שננעלו אכן ישוחררו. קיימות תקלות שעלולות להתרחש, על אף תשלום הכופר. כך למשל, בתוכנת הכופרה עצמה עלולות להיות תקלות שיהפכו את המידע המוצפן לבלתי נגיש, גם אם יסופק מפתח ההצפנה המתאים על ידי עברייני הסייבר.

בנוסף, תשלום הכופר רק מעודד סחטנות. עברייני הסייבר ימשיכו במאמציהם למצוא דרכים חדשות לנצל מערכות מחשב ותקשורת בין מחשבים על מנת להגדיל את רווחיהם באמצעות השימוש בתוכנות כופרה.

איך פועלות תוכנות הכופרה?

תוכנת כופרה מצורפת בדר"כ לתכתובת דוא"ל כדבוקה (Attachment) המכילה קובץ הרצה קובץ ארכיון או תמונה. ברגע שהקובץ נפתח, תוכנת הכופרה חודרת למערכת המשתמש. עברייני הסייבר יכולים גם לשתול את תוכנת הכופרה באתרי אינטרנט. כאשר משתמש מבקר באתר האינטרנט בתום לב, תוחדר התוכנה למכשירו.

חדירת תוכנת הכופרה למערכת אינה גלויה למשתמש באופן מיידי. תוכנת הכופרה פועלת בשקט ברקע עד להשלמת משימת מנגנון נעילת הקבצים או המערכת. עם השלמת הפעולה, יופיע חלון פקודה ובו הודעה שתבשר למשתמש על הצפנת הקבצים ותדרוש כופר תמורת פיענוח ההצפנה. בשלב זה, מאוחר מדי לנקוט באמצעי אבטחה שימנעו את הצפנת הקבצים.

למידע נוסף ניתן לצפות בסרטון שלהלן:

מי הם קורבנות תוכנות הכופרה?

כל משתמש וכל בית עסק, חברה או ארגון עלולים ליפול קורבן לתוכנת כופרה . עברייני סייבר אינם בררנים ובדרך כלל מנסים לתפוס כמה שיותר משתמשים על מנת להגדיל את רווחיהם.

האם יש יותר בהתקפות תוכנת כופרה כנגד בתי עסק, חברות או ארגונים?

כן . עברייני הסייבר יודעים שארגונים, בתי עסק וחברות נוטים יותר לשלם את דרישת הכופר מאחר ובדרך כלל המידע שננעל הינו רגיש וחיוני לתפעולם. בנוסף, פעמים רבות, שחזור המידע הנעול כרוך בעלויות הגבוהות מעלות תשלום הכופר.

מדוע קשה למצוא פתרון כולל לתוכנות הכופרה?

השימוש בתוכנות הכופרה במגמת צמיחה. קיימות כרגע מעל 50 קבוצות שונות של תוכנות כופרה בשימוש – ותחום זה הולך ומתפתח במהירות. כל גרסה חדשה מגיעה עם הצפנות חזקות יותר ומאפיינים חדשים. וכבר לא ניתן להתעלם מתופעה זו!

אחת הסיבות שכל כך קשה למצוא פתרון כולל לתוכנות הכופרה טמון בעובדה כי ההצפנה עצמה אינה זדונית. להצפנה שימושים חיוביים רבים בתוכנות בלתי מזיקות.

תוכנת הכופרה הראשונה התבססה על מפתח הצפנה סימטרי, כלומר אותו מפתח שימש הן לנעילת המידע והן לפתיחתו. חברות אבטחת מידע הצליחו בדרך כלל, לסייע בפתיחתו של המידע המוצפן. עם חלוף הזמן, החלו עברייני הסייבר להשתמש במפתחות הצפנה א-סימטרים, כלומר, שני מפתחות הצפנה – מפתח הצפנה ציבורי להצפנת ונעילת המידע, ומפתח שני, מפתח פרטי, שנדרש לשם פתיחת ההצפנה.

תוכנת הכופרה CryptoLocker הינה אחת מתוכנות הכופרה הידועות לשמצה. גם תוכנה זו עושה שימוש במפתח הצפנה ציבורי. כל מחשב אליו חודרת תוכנת כופרה זו מתחבר לשרת שליטה ומוריד ממנו את מפתח ההצפנה הציבורי. רק עברייני הסייבר שפיתחו את תוכנת הכופרה נגישים למפתח ההצפנה הפרטי. לקורבנות תוכנת הכופרה יש בדרך כלל, עד 72 שעות לשלם את הכופר. עם חלוף הזמן שהוקצב, נמחק לעד מפתח ההצפנה הפרטי הדרוש לשם פתיחת הצפנת הקבצים.

במצב כזה, יש לחשוב ראשית על מניעה. רב תוכנות האנטי-וירוס מכילות רכיב המאפשר לזהות איומי תוכנות כופרה בשלב מוקדם של פעילותן, מבלי לאפשר לתוכנת הכופרה להצפין את הקבצים/מידע. חשוב כי משתמשים ישתמשו בתוכנות אנטי-וירוס המאפשרות יכולת זיהוי זו.

מה הסיכוי לפתוח קבצים/מידע שננעלו באמצעות תוכנת כופרה?

פרוייקט "No More Ransom" נמצא בראשיתו, אולם אנו ממשיכים ללא הרף, בשילוב ידיים עם רשויות אכיפה בינלאומיות וחברות אבטחת מידע פרטיות, לזהות כלים שיאפשרו פיענוח הצפנות לגרסאות רבות ככל שניתן של תוכנות הכופרה בהן נעשה שימוש. אם בידכם מידע שאתם סבורים שיש בו כדי לסייע למאמצים אלה, אנא צרו קשר במסגרת אתר זה, ושתפו אותו איתנו.

מהו Crypto Sheriff/שריף ההצפנות וכיצד ניתן לעשות בו שימוש?

Crypto Sheriff /"שריף ההצפנות" הוא כלי אשר פותח לעזור לנו לאתר את סוג תוכנת הכופרה באמצעותה הוצפן המידע על מכשירכם. כלי זה מאפשר לנו לבדוק האם קיים כלי פענוח הצפנה זמין לגרסה הרלוונטית. להסבר נוסף ניתן לצפות הסרטון שלהלן מדגים כיצד פועל ה – Crypto Sheriff:

מפתח ההצפנה שקיבלתי באתר אינו עובד , למרות שמתאים לסוג תוכנת הכופרה – למה?

מצב זה אפשרי מאחר ולעיתים אנו מגיעים לחלק מצומצם של מפתחות ההצפנה הנדרשים לתוכנת הכופר המסוימת. אנא המשיכו לבדוק את המידע המתעדכן באתר.

איך ניתן לפתוח קבצים שננעלו באמצעות תוכנת כופרה?

פתיחת קבצים נעולים אפשרית במקרים הבאים:

  • Petyaו – CryptXXX מפתחי תוכנת הכופרה עשו טעות בפיתוח הנוזקה המהווה חולשה המאפשרת לפענח את ההצפנה . כך ארע בתוכנות הכופרה מסוג •
  • TeslaCrypt מפתחי תוכנת הכופרה מביעים חרטה ועצמם מפרסמים את מפתחות ההצפנה, או מפתח הצפנה ראשי, כפי שארע בתוכנת הכופרה מסוג •
  • CoinVault רשויות אכיפה מאתרים את שרת בו מאוחסנים מפתחות ההצפנה, כפי שארע עם תוכנת הכופרה •

לעיתים, תשלום הכופר עובד , אך אין אחריות שהתשלום אכן יוביל לפתיחתם של הקבצים המוצפנים. בנוסף , תשלום הכופר משמעותו תמיכה בפעילותם של עברייני הסייבר ותרומה ליכולותיהם להמשיך ולהפיץ את תוכנות הכופרה.

איך החל פרויקט "No More Ransom"?

ידוע כי תוכנות כופרה המצפינות מידע על מכשירי משתמשים ודרישת כופר תמורת פיענוח המידע הפך לבעיה נפוצה בין גורמי אבטחת המידע ברמה בינלאומית בשנים האחרונות. ניתן לקבוע כי מדובר בלא פחות ממגפה. מספר המשתמשים שנפגעו מתוכנות הכופרה נמצא בעלייה מתמדת. מאפריל 2015 עד מרץ 2016 נפגעו 718,000 משתמשים – פי 5.5 מהתקופה המקבילה ב 2014-2015.

המשטרה אינה יכולה להילחם בתופעת תוכנות הכופרה לבדה, ובמקביל, חוקרי אבטחת מידע אינם יכולים לעשות כן ללא תמיכתן של רשויות אכיפת החוק. האחריות למאבק בתופעה מונחת לפתחן של גופי אכיפת החוק, יורופול וחברות אבטחת המידע הפרטיות, ודורשת שילוב ידיים ומאמץ משותף. יחד נעשה כל שניתן לפגוע בפעילותם של עברייני הסייבר, ולפעול לפיענוחם של הקבצים שהוצפנו, מבלי לשלם את הכופר שנדרש.

האם קיימת יוזמה דומה בישראל?

פרויקט "No More Ransom" הינו יוזמה בינלאומית, בין השאר בשיתוף משטרת ישראל, המוכיחה את ערכו של שיתוף הפעולה בין המגזר הפרטי ובין רשויות האכיפה במאבק בפשיעת סייבר. שיתוף פעולה זה הינו בינלאומי וחוצה גבולות. מטרתו העיקרית של הפרויקט היא להביא לשיתוף מידע חיוני ולחנך משתמשי מחשב בכל העולם כיצד ניתן להימנע מפגיעתן של תוכנות הכופרה. אנו מאמינים כי בסופו של דבר, הפרויקט יסייע בתיקון הנזקים שנגרמו לקורבנות תוכנות הכופרה ברחבי העולם, באמצעות פיענוחם של הקבצים המוצפנים, כל זאת, בלי לשלם את הכופר המבוקש על ידי עברייני הסייבר.

בשלב הראשוני , הפורטל מכיל ארבעה סוגי מפתחות הצפנה המיועדים לסוגים שונים של תוכנות כופרה. כל הכלים במסגרת האתר ניתנים חינם, ויסייעו בפיענוחם של קבצים שהוצפנו באמצעות תוכנות הכופרה שצויינו באתר – וללא קשר למיקום גיאוגרפי.