כל מה שרציתם לדעת על וירוס הכופר

סוגי וירוס הכופר למיניהם זכו לשם המאחד אותם – Ransomware. סוג זה של תוכנה זדונית מבצעת הדבקה למחשב של הנפגע ומצפינה את כל הקבצים החשובים של המשתמש בהצפנה חזקה ביותר. לאחר ביצוע פעולת ההצפנה, הוירוס מודיע למשתמש על בקשת הכופר עבור החזרת המידע למצבו הקודם. יש לציין כי הסוג של וירוס זה הינו מסוג "סוס טרויאני" למרות שבעברית נהוג לקרוא לו וירוס הכופר.

תחום זה נקרא CryproVirology.

הפעם הראשונה שהופיע וירוס המשתמש ברעיון של לקחת כספים מהמשתמש הייתה כבר ב-1988, כשוירוס ה-AIDS דרש כסף לרישיון תוכנה כוזב וכל זאת על ידי הדבקת המחשב בתוכנה זדונית.

הגל החדש של וירוסי הכופר התחיל שוב בשלהי 2013 כשוירוס ה-CyproLocker יצא לאינטרנט והתחיל להתפשט. העדויות מצביעות כי הוא הופיע לראשונה ב-5 בספטמבר של אותה שנה, ומאז הוא מדביק מחשבים המחוברים לאינטרנט. במאי 2014 הצליחה חברת אבטחת מידע להשיג את רשימת מפתחות ההצפנה של יוצרי הוירוס, ובכך ליצור כלי המחזיר את המידע (Decrypt) ללא תשלום הכופר.

ישנן הערכות כי יוצרי ה-CryptoLocker הראשון שלשלו לכיסם עשרות מיליוני דולר.

מאז יצאו לאינטרנט גרסאות נוספות והרבה יותר מסוכנות של וירוסי כופר למיניהם כולל: CryptoLocker 2.0 ,CryptoWall ועוד רבים אחרים שאינם קשורים ליוצרים הראשוניים של CryptoLocker. כיום ישנן גרסאות שמדביקות את מחשב המשתמש ישירות מתוך אתר אינטרנט בשימוש בטכנולוגיית JavaScript, דבר המעלה בכמה דרגות את רמות סיכון ההדבקה.

כיצד עובד וירוס הכופר?

הגרסאות החדשות של וירוסי הכופר מדביקות את המחשב ואז קורה התהליך הבא:
● ניקח לדוגמא את ה-CryptoLocker – הוירוס מייצר צמד מפתחות הצפנה חזק ביותר (RSA-2048Bit) שאיתם הוא מצפין את כל הקבצים שלהם סיומות מסוימות כגון DOC ,XLS ,PDF. לאחר סיום ההצפנה, המפתחות מועלים לשרת ה-Command and Control של יוצר הוירוס ונמחקים ממחשב המשתמש.
● לאחר סיום התהליך הזה, המשתמש נשאר עם מחשב ועליו קבצים מוצפנים שאין לו כל אפשרות לצפות בתוכן שלהם. כלומר כל קבצי ה-Word וה-Excel, ועוד – מוצפנים כולם.
● כעת הוירוס מעלה מסך ועליו דרישת תשלום כופר בעבור החזרת הקבצים למצבם הקודם. את הכופר בדרך כלל יש לשם בביטקוין, ומדובר בסכום בשווי של בין מאות לאלפי דולרים.
● לאחר שהמידע כבר הוצפן לא ניתן להחזיר את הקבצים למצבם הקודם, מפני שמדובר בהצפנה חזקה ביותר שאינה ניתנת לפריצה באמצעות תהליכים רגילים.

דוגמה למסך המבקש כופר

דוגמה למסך המבקש כופר

מה עושים אם המידע שלי הוצפן?

דבר ראשון יש לכבות את המחשב הנגוע, וליצור קשר עם חברה המתמחה בנושא. ישנם מקרים מעטים בהם כן ניתן להחזיר את רוב המידע למצבו הקודם. אך כפי שציינתי, מדובר בפחות מ-10% מהמקרים.

הדרך הטובה ביותר לשרוד מבלי לשלם את הכופר, הינה לשחזר את המידע מהגיבוי נכון לרגע לפני ההדבקה. כל זאת במידה וישנו גיבוי תקין ומלא לכל המידע שהושחת.

ניתן להבין את חשיבות גיבוי המידע על בסיס קבוע. יתרה מזאת, יש חשיבות אמיתית לניהול היסטוריית גיבוי המידע כך שמערך הגיבוי ישמור עותקים של הגיבוי כמה שיותר אחורה בזמן. זהו אמצעי שמספק הגנה אמיתית לרוב תקריות אובדני המידע או השחתת המידע.

לאחרונה יצאו גרסאות חדשות של וירוס הכופר המאפשרות הדבקה באמצעות JavaScript על ידי ביקור באתר בלבד ולא רק על ידי פתיחת קבצים המצורפים למיילים. דבר זה מגדיל את רמת הסיכון להידבקות בסוג וירוס מסוכן זה, היכול לגרום נזק בלתי הפיך לארגונים.

בנוסף, חשוב ביותר לציין כי הגרסאות החדשות של וירוסי הכופר יודעות להצפין גם את ה-DropBox שלכם וגם את ה-Google Drive ועוד שירותי סנכרון לענן למיניהם. יש צורך להבין ולדעת את ההבדל בין סנכרון וגיבוי לענן לבין גיבוי מקצועי למידע שלכם, שבאמת יכול לספק הגנה מפני תקרית הדבקה כזו.

לסיום, הסיכונים בעולם הסייבר הולכים וגדלים מיום ליום, את זאת אנו רואים בכל פרמטר אפשרי. נדרשת התייחסות רצינית ומקצועית לנושא בכל ארגון המעוניין לשרוד. אבטחת המידע הפכה להיות גורם מרכזי בהמשכיות העסקית הארגונית והפתרון טמון בשני גורמים עיקריים:
● הטמעה, הפעלה ותחזוק של מערכות אבטחת מידע המתאימות לסדר גודל הארגון שלכם.
● הדרכה וחינוך של עובדי הארגון לגבי אבטחת מידע ונהליה. ידוע כי הגורם האנושי הינו מכריע בנושא אבטחת המידע הארגוני.

ארגונים קטנים צריכים להסתגל לעולם החדש ולאמץ שיטות אבטחת מידע חדשות שעד לא מזמן לא נדרשו מעסקים קטנים.