CryptoWall 4.0 מה זה תוכנת כופרה ואיך ניתן למנוע …

0
1006

2082206981שלום כולם,

היום נדבר על הוירוס החדש שמשגע את המדינה הקטנה שלנו, וירוס ה”כופרה” (Ransomware) כאשר הגרסא האחרונה היא “CryptoWall 4.0”.

אז מה זה – CryptoWall 4.0 ?

CryptoWall הינו וירוס כופר שהחל את דרכו אי שם בשנת 2013 בגרסאות קדומות שלו, והצליח להדביק מיליוני מחשבים, הוירוס פועל בצורה הבאה:
תחילה, הוירוס סורק את המחשב ומאתר את ספריות המסמכים, התמונות סרטוני וידאו וכו’.
לאחר מכן הוירוס מצפין את כל הקבצים שהוא מצא ומשנה אף את שמם על מנת שלא נוכל לדעת מה היה הקובץ לפני ההצפנה.
בשלב האחרון קופצת הודעה במסך שמודיעה לנו כי הקבצים שלנו הוצפנו ואם אנחנו מעוניינים בשחרור שלהם אנו נאלץ לשלם 3 ביטקויין (בערך 700 דולר) תוך 96 שעות, ואפילו יהיה שעון קטן שיספור לאחור.
כמובן שלאחר 96 שעות הכופר יוכפל ל- 1,400 דולר.
לצערנו בגרסא האחרונה ישנם כמה מאפיינים בולטים שמקשים על הצלת המידע:

  1. הוירוס לא רק מצפין את הקבצים, הוא גם משנה את שמם על מנת למנוע מאיתנו לדעת איזה קובץ הוצפן ומה היה שמו לפני
  2. הוירוס משבית את אפשרות “שחזור המערכת” של ווינדוז
  3. הוירוס משתמש בפרוטוקל הצפנה חדש ומורכב יותר

איך נדבקים בוירוס CryptoWall 4.0 ?

ראשית חשוב לציין שהוירוס מפיץ את עצמו באמצעות “סוס טרויאני” כלומר מסווה את עצמו כתוכנה לגיטימית או כקובץ תמים וברגע ההפעלה נכנס למחשב.
וירוס CryptoWall 4.0 מפיץ את עצמו בעיקר באמצעות הודעות דואר זבל המכיל קבצים או קישורים לאתרים אשר נגועים בוירוס.
מכמה מלקוחותי שנדבקו שמעתי כי קיבלו מייל מחברת DHL שיש להם חבילה שלא נמסרה אליהם, או הודעת מייל שמודיעה כי נשלח אלינו פקס במייל.
כולם קיבלו במייל קובץ PDF שנראה תמים אך הכיל בתוכו את הוירוס.

שיטה נוספת להדבקה בוירוס הינה לגלוש לאתרים נגועים ומהם הוירוס למעשה “מוזרק” למחשב. לדוגמה על ידי הקפצת הודעה שטוענת שעלינו לעדכן את תוכנת “Adobe Flash Player” המותקנת במחשב.

הוירוס מדביק את כל גרסאות ההפעלה של ווינדוז (Windows) כולל הגרסא האחרונה 10, ולאחרונה גם דווח כי מערכת ההפעלה IOS של אפל אף נחשפה לתקיפה.

הקבצים שהוירוס מאתר ומצפין הם:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

 
כל הקבצים המוצפנים מקבלים שם אקראי כגון: “kfdsjfhsdif.h4y” ונוצר קובץ בשם “HELP_YOUR_FILES.TXT” על שולחן העבודה וזהו למעשה מכתב הכופר.
בכל ספריה שהוצפנה נגלה פתאום קובץ בשם “HELP_YOUR_FILES.PNG” או “HELP_YOUR_FILES.HTML” ושם נראה את ההסבר למה שקרה לנו ואיך נוכל לפתור את העניין
CryptoWall 4.0 Recovery

אז איך נמנע את זה ?

ראשית אתחיל ואומר שלא ניתן למנוע את זה ב- 100% והסיכוי להדבקה קיים תמיד, אך אם נעקוב אחר הפעולות הבאות נוכל לצמצם למינימום את אפשרויות ההדבקה:

  1. לא לפתוח מייל לא מוכר או חשוד, אם לא הזמנתם כלום מחו”ל דרך DHL אין סיבה שהם ייתנו לכם מתנה וישלחו לכם משלוח.
  2. לא ללחוץ על קישורים במיילים חשודים או לא מוכרים.
  3. לא להוריד תוכנות מאתרים מ לא מוכרים באינטרנט, יש לכם ספק, תחפשו את שם האתר בגוגל.
  4. לוודא שיש לכם תוכנת אנטיוירוס עדכנית פעילה במחשב, לעסקים קטנים או למי שחשוב לו אני ממליץ לרכוש אנטיוירוס ברשיון כגון ESET, זה בדרך כלל בסביבות ה- 100 ש”ח לשנה, לא יקר ובהחלט חיוני…
  5. גיבוי, גיבוי, גיבוי והכי חשוב, גיבוי…
    בין אם זה בענן או בכונן קשיח חיצוני (אחרי ביצוע הגיבוי תנתקו אותו מהמחשב כדי לשמור עליו מהדבקה), פשוט תבצעו גיבוי, ככה במידה ותדבקו בוירוס, תוכלו במקום לשלם, או להתחיל לקרוא מדריכים כיצד לנקות את המחשב עם תוכנות כלשהן פשוט תוכלו לפרמט את המחשב ולהתקין מחדש,ולהמשיך לעבוד כאילו כלום לא קרה, שעתיים של פרמוט מחשב והתקנת מערכת הפעלה עולים פחות מ- 700 דולר…
  6. הכלל הכי חשוב, שתקף כמעט לכל נושא, אם יש ספק, אין ספק אם זה מריח לא טוב, או נראה חשוד, כנראה שזה חשוד…

זכרו, הדרך הטובה ביותר להתמודד מול הוירוס הזה הוא גיבוי, המנעות וידע מקדים.
ומשפט סיכום, לצערי כרגע לא ניתן לפענח את ההצפנה ללא תשלום הכופר, אך אם כולנו נבצע גיבוי, תשלומי הכופר ירדו והוירוס יאבד מגודלו ומאפקט הפחד שהוא זורע…

תגובות

הגיבו

אין תגובות

השאירו תגובה

5 × 2 =