התמודדות עם נוזקה מסוג כופרה
Ransomware כופרות הן נוזקות המונעות מהמשתמש גישה לקבצים או ציוד שברשותו, בדרך כלל באמצעות הצפנת המידע, ודורשות מהמשתמש לשלם דמי כופר תמורת החזרת היכולת להשתמש בקבצים או בציוד. מטרת פוסט זה לסקור את נושא הכופרות, להמליץ כיצד להיערך טרם אירוע כופרה, ולסקור את האפשרויות העומדות בפני משתמש או ארגון שהותקפו באמצעות כופרה.
מה היא כופרה?
לאחר תהליך ההצפנה, תוצג למשתמש הודעה כי עמדתו הותקפה והקבצים הוצפנו. בנוסף יוצג מידע כיצד ניתן ליצור קשר עם התוקפים, לטובת תשלום דמי הכופר באמצעות מטבעות וירטואליים, וקבלת אמצעי הפענוח. התוקפים מבטיחים לבעלי המידע כי יעבירו לידיהם את האמצעי לשחזור הקבצים מפתח הפענוח או תוכנת פענוח, תמורת תשלום דמי כופר.
ווקטור כניסה
1. דואר אלקטרוני – השיטה הנפוצה ביותר היא שימוש בדואר אלקטרוני המכיל צרופה שנראית תמימה, או קישור לאתר המתחיל את תהליך ההדבקה בכופרה.
2. הורדת קבצים – הפניה לאתר אינטרנט שמכיל נוזקות המנצלות פרצות אבטחה בדפדפנים להדבקת העמדה בכופרה.
3. תוכנות חינמיות – הצעת תוכנות חינמיות, אשר הפעלתן על ידי המשתמש תגרום להדבקת העמדה בכופרה.
4. חיבור מחשב מרחוק – השתלטות על מחשב אשר פתוח לחיבור RDP
מאפייני הדבקה בכופרה
להלן מספר מאפיינים עיקריים המצביעים על הדבקות בכופרה:
1. אין אפשרות לפתוח קבצים ובעת פתיחת קובץ מתקבלת הודעת שגיאה על כך שהקובץ פגום או שהסיומת שלו שגויה.
2. תמונת הרקע של שולחן העבודה מוחלפת בהודעת איום עם הנחיות לתשלום דמי הכופר לטובת שחרור הגישה לקבצים. לעתים בהודעה מופיעה ספירה לאחור עד המועד בו דמי הכופר יגדלו או המועד שלאחריו לא ניתן יהיה לשחזר הקבצים כלל.
3. נפתח חלון שהמשתמש אינו יכול לסגור.
4. בספריות שונות מופיעים קבצים בעלי שמות כגון "כיצד לפענח הקבצים" או "הוראות לפענוח הקבצים".
דרכי התמודדות עם כופרה
במקרה שזוהתה התקפת כופרה, מומלץ לפעול על פי ההמלצות הבאות:
1. ניתוק המחשב הנגוע מכל הרשתות שאליהן הוא מחובר, כולל רשתות ניתוק כל הרכיבים .Bluetooth או Wi-Fi קוויות ואלחוטיות כגון החיצוניים המיועדים לאחסון קבצים או התקני זיכרון נייד. המטרה היא למנוע ככל האפשר התפשטות של הכופרה באמצעות רשתות אלו לעמדות נוספות.
2. הימנעות מביצוע פעולות כלשהן על המחשב הנגוע- בשלב זה אין למחוק קבצים, להפעיל כלי ניקוי דיסק או סריקות אנטי-וירוס.
3. הבנת היקף הפגיעה – ביצוע סריקה לבירור כמות הקבצים שהוצפנו או בקבצים מסוימים שם הכופרה ,Registry- וסוגיהם. מומלץ לבדוק בשומרת בדרך כלל את רשימת הקבצים שהוצפנו על ידה.
בדקו האם לעמדה שהותקפה יש גישה ל: תיקיות משותפות, כוננים קשיחים חיצוניים, אמצעי אחסון רשתיים, התקני זיכרון נייד,אמצעי אחסון בענן, והאם קבצים על אמצעים אלו הוצפנו.
4. בדקו באיזה סוג של כופרה מדובר- במידה וקיימים פרסומים ברשת לגבי סוג הכופרה, ניתן ללמוד מהם את היקף התקיפה הצפויה ומאפייני ההתפשטות השונים כגון: סוגי קבצים מוצפנים, האם מבוצעת תנועה רוחבית והצפנת קבצים ברשת או באזורי, אחסון משותפים, האם מבוצעת גישה לשירותי ענן.
עבור משפחות מסוימות של כופרות, קיימים כלי פענוח או שמפתח פענוח פורסם על ידי גורמים שונים, כגון סוכנויות אכיפת חוק או חברות אבטחה שחקרו כופרות אלו. ניתן לחפש מידע זה באתרים שונים המרכזים מידע על כופרות, ואף עשויים להציע אפשרויות שונות לשחזור קבצים מוצפנים. ניתן לחפש אחר
הנחיות באתר אשר הוקם בשיתוף משטרת ישראל:
.https://www.nomoreransom.gov.il
יש לשים לב כי משפחות כופרה מתעדכנות באופן תדיר, כך שתוכנה או מפתח פענוח שהיו זמינים עבור גרסה מסוימת, עלולים לא להועיל
לגרסאות מתקדמות יותר. אם הדבר אפשרי, מומלץ לבצע פענוח קבצים במערכות הארגוניות, משום שפענוח הקבצים באמצעות שירותים חיצוניים, יחשוף את תוכן הקבצים לספק השירות.
5. החליטו על צעדי המשך- לאחר שידועים סוג הכופרה, סוגי הקבצים שהוצפנו וכמה קבצים נפגעו, ניתן לבחון את האפשרויות העומדות בפניכם:
1. שחזור הקבצים מגיבוי- במקרה שקיימים קבצי גיבוי עדכניים, מומלץ לבחון האפשרות לשחזר את הקבצים מגיבוי. העתקי צל( שיוצרת מערכת ( Shadow Copies – בדקו בנוסף גם את ה Restore Point יוצרת Windows ההפעלה. כאשר מערכת ההפעלה תמונת מצב( של הקבצים ב- ( Snapshot לצורך שחזור, היא מייצרת קיימות תוכנות ייעודיות היודעות לקרוא העתקים אלו .Volume ולשחזר מהם קבצים.
2. ניסיון לפענוח הקבצים המוצפנים, על ידי שימוש בתוכנה או שירות
צד ג'- עדיף להשתמש בכלי כזה רק לאחר בדיקה באמצעות מספר מנועי אנטי-וירוס שהכלי אינו מכיל בעצמו נוזקה. בנוסף, מומלץ לבצע הפענוח באופן עצמאי במערכותיכם, על מנת למנוע הגעת העתק מפוענח של הקבצים לספק השירות.
3. לא לעשות דבר- לוותר על גישה ושימוש בקבצים בשלב זה, לגבות את הקבצים המוצפנים ולקוות כי בעתיד יימצא עבורם מפתח הפענוח או יפורסם כלי המאפשר את פענוחם.
בכל המקרים המתוארים לעיל, יש להסיר את נוזקת הכופרה עצמה. לשם כך ניתן להשתמש בתוכנות אנטי-וירוס המזהות את הכופרה על מנת להסירה, אך עדיף לפרמט ולהתקין מחדש את העמדה, זאת על מנת לוודא כי הנוזקה הוסרה לחלוטין. בנוסף, יש לנסות ולאתר את וקטור התקיפה, ולטפל בו למניעת תקיפה חוזרת.
כיצד למנוע הדבקה?
1. מומלץ להתקין בהקדם האפשרי עדכוני אבטחה שמפרסמים יצרני מערכות ההפעלה והיישומים השונים הפועלים במערכותיכם. התקנת העדכונים, מפחיתה את אפשרויות התקיפה של נוזקות הכופרה ומקטינה את היכולת שלהן להצליח בשלב , ההדבקה הראשוני.
2. מומלץ להסיר תוכנות שאינן בשימוש, זאת על מנת למנוע שימוש בחולשות בתוכנות אלו לצורך תקיפה.
3. מומלץ לגבות באופן קבוע את קבצי המידע, רצוי ביותר משיטה אחת )כונן חיצוני, התקן נייד, גיבוי לענן, גיבוי רשתי וכד'(. מומלץ לוודא ,(Offline) כי מעת לעת חלק מקבצי הגיבוי נשמרים באופן שאינו מקוון כך שאינם נגישים לכופרות.
4. מומלץ להגביל את סוגי הצרופות שניתן לשלוח אל משתמשי הארגון, למינימום הנדרש לפעילות העסקית התקינה של הארגון ניתן לבחון שימוש בעמדות הלבנה המנטרלות קוד עוין
אם קיים בקבצים, או בודקות באמצעות מספר שיטות הימצאות קוד מסוג זה. אם נעשה שימוש בעמדות אלו, יש לוודא כי כל קובץ המוכנס לרשת הארגון, ללא תלות באופן הכניסה )דוא"ל, הורדה וכד', עובר דרכן טרם הגעתו לרשת DVD/CD , מהרשת, החסן נייד הפנימית.
5. מומלץ להפעיל שיקול דעת לפני פתיחה של צרופה או הפעלת קישור בהודעות דוא"ל, וכן במסרים ברשתות חברתיות, אתרים מקצועיים וכד'. במקרה של הודעה ממקור בלתי צפוי, או אף הודעה בלתי צפויה ממקור מוכר, מומלץ לא לפתוח את הקישור/ צרופה,ולוודא מול הגורם השולח, בערוץ תקשורת שונה, האם אכן שלח את ההודעה.
6. במקרים בהם מופיעה התרעה ממקור כלשהו )מערכת ההפעלה, יישום, אנטי-וירוס וכד'( לגבי חשד לשימוש לא ראוי בצרופות, מומלץ לא לאשר את פתיחת הקובץ ויש לדווח לגורמי אבטחת המידע הארגוניים. מרשת האינטרנט רק כאשר הפעלת Office 7. מומלץ לפתוח מסמכי יש לחשוד בכל מסמך או .Protected View מנוטרלת, ותחת Macros הודעה המנסים לשכנע את המשתמש להסיר אמצעי הגנה אלו.
8. אם הדבר אפשרי מבחינה עסקית, מומלץ לנטרל הפעלת JavaScript או VBS יש לבחון הגדרות אלו בסביבת ניסוי טרם הטמעה בסביבת ייצור.
9. מומלץ להימנע מלתת למשתמשים הרשאות מנהלן מקומי Administrator
10 . מומלץ להגדיר את ארכיטקטורת הרשת כך שעמדות קצה יוכלו לתקשר אך ורק עם שרתים ושירותי רשת מרכזיים, ולא ישירות עם עמדות קצה אחרות ברשת. יש לבחון ארכיטקטורה זו בסביבת ניסוי טרם הטמעה בסביבת ייצור
11. מומלץ לבחון את הצורך העסקי בגישה מרחוק למערכות ארגוניות, ולאפשר זאת רק עבור עמדות או משתמשים אשר זקוקים לכך. מומלץ לא לחשוף עמדות נגישות מרחוק ישירות לרשת האינטרנט, ארגונית הכוללת VPN אלא לאפשר גישה אליהן באמצעות תשתית הצפנה מתאימה והזדהות חזקה.
12. מומלץ להעביר הכשרות מתאימות למשתמשים מהי כופרה ומהם הסימנים המעידים על הימצאותה. בנוסף, מומלץ לבחון שימוש בתוכנה או שירות המדמים התקפת כופרה, על מנת לתרגל את המשתמשים בפועל.
17 . מומלץ לבחון ולעדכן את מסמכי הארגון בנושא המשכיות עסקית והתאוששות מאסון, וכן לתרגל תרחישים בנושא זה באופן עיתי.
1. https://nomoreransom.gov.il
2. https://www.nomoreransom.org