וירוס כופר

מאת /

וירוס כופר, המכונה גם Ransomware (וגם כופרה), נחשב זה מכבר לסיכון הסייבר המוביל על עסקים וארגונים. מדובר בתוכנה זדונית שתוקפת מחשבים, מערכות גיבוי ואפילו מכשירים סלולריים, ומצפינה – בפשטות, נועלת את הקבצים בסיסמה מורכבת – את כל הקבצים הנגישים לה (במכשיר או ברשת). לאחר ההצפנה, התוקף מציג הודעה הדורשת תשלום כופר כספי בתמורה להסרת ההצפנה ושחרור הקבצים. עם זאת, לעיתים המניעים של התוקפים אינם כספיים – כך למשל במקרה בו התוקפים הבטיחו לשחרר את הקבצים רק לאחר תחיית המתים. כמו כן, כפי שנחשף בעבר מספר פעמים, למשל בתקיפת הסייבר על מערכות הטכניון, קבוצות תקיפה הנתמכות על ידי המשטר האיראני דורשות תשלום כופר כחלק מהלחץ שמופעל על הגופים המותקפים, אבל מניעי המתקפה אינם כספיים וההערכה היא שהתשלום לא יוביל לקבלת מפתח ההצפנה.

השיטות הנפוצות להפצת וירוס כופר

על פי רוב בתקיפות וירוס כופר על חברות וארגונים, לאחר שהתוקף הצליח לחדור לרשת (באמצעות ניצול חולשות אבטחה ברשת, פישינג וכד') ולהשיג שליטה ברובה או בכולה, הוא מתחיל בהפצת הנוזקה שמבצעת את ההצפנה של הקבצים.
אלו שיטות נוספות בהן עלולים גם משתמשים פרטיים להידבק בוירוס כופר:

  • קבצים זדוניים: קבצים מצורפים זדוניים בהודעות דואר אלקטרוני או תוכנות מסרונים למיניהן והטעיות שונות באמצעות "פישינג".
  • אתרי אינטרנט: לחיצה על קישורים או הורדת קבצים מאתרים לא מוכרים, אתרים זדוניים (שמציעים הצעות "מפתות") או גם אתרים לגיטימיים שנפרצו על ידי האקרים כדי להפיץ תוכנות זדוניות לגולשים תמימים.

ההשלכות של מתקפת וירוס כופר:

  • אובדן נתונים: קבצים חשובים מוצפנים עד שישולם הכופר ויתקבל המפתח מהפורצים (התשלום כלל אינו מבטיח את קבלת המפתח – נזכיר כי מדובר בעסקים עם פושעים..) או עד שיופץ מפתח עבור אותה נוזקה ספציפית.
  • פגיעה כלכלית: עסקים עלולים להפסיד הכנסות משמעותיות עקב השבתת פעילות.
  • פגיעה במוניטין: השבתת המערכות ודליפת מידע רגיש לידיהם של ההאקרים עלולה לפגוע קשות במוניטין של הארגון.
  • רובד סחיטה נוסף: לא פעם, בנוסף להצפנת הקבצים, התוקפים גונבים מידע מתוך כוונה לסחוט תשלום גם עבור ההבטחה שלא להפיץ או למכור אותו ברשת, למתחרים, לרשויות אכיפה וכדומה.

דרכים להתגונן מפני וירוס כופר:

  • גיבוי נתונים באופן קבוע: גיבוי קבצים חשובים בענן או בכונן קשיח חיצוני מאפשר שחזורם במקרה של מתקפה. חשוב לשמור על עותק אחד לכל הפחות שיהיה מנותק מהמחשב ומהרשת. בעסקים קטנים מומלץ שיהיה יותר מעותק אחד וחשוב לבדוק מעת לעת שהגיבויים תקינים וניתן לשחזר מהם מידע.
  • עדכון תוכנות: התקנת עדכוני אבטחה באופן קבוע סוגרת פרצות אבטחה שעלולות להתגלות.
  • שימוש בתוכנת EDR: דור חדש של תוכנות הגנה שמחליף את האנטי-וירוס המוכר והישן. כלים אלו יודעים לזהות פעולות זדוניות וקבצים מזיקים לא רק על בסיס מידע ידוע מראש (כמו למשל המאפיינים של נוזקה מסוימת) אלא גם לפי התנהגות לא סטנדרטית של המחשב. כלי הגנה מאפשרים עפ"י רוב גם תחקור מעמיק יותר של אירוע הסייבר ולעיתים אף שחזור של קבצים לנקודה הקודמת להצפנתם.
  • הימנעות מפתיחת קבצים או לחיצה על קישורים ממקורות לא ידועים: יש לנהוג בזהירות בעת פתיחת דואר אלקטרוני.
  • העלאת המודעות בקרב עובדים: המשתמשים הם החוליה החלשה באבטחת המידע בארגון – על פי הערכות שונות למעלה מ-80% מאירועי הסייבר נגרמים בגלל הגורם האנושי. לפיכך חשוב לקיים באופן שוטף הדרכות בנושא סיכוני סייבר ותפקידם הקריטי של העובדים בזיהוי ומניעת מתקפות.

מה לעשות במקרה של מתקפת וירוס כופר:

העצות מתייחסות בעיקר לעסק זעיר עם מחשב אחד או אדם פרטי. על עסקים וחברות לפעול על פי סדר פעולות שונה שמותאם לסוג החברה, סוג המתקפה, הסיכונים השונים שלה ועוד פרמטרים רבים. בכל מקרה עצות אלו כלליות ובעת אירוע אמת מומלץ להתייעץ באופן פרטני עם יועץ סייבר.

  • ניתוק המחשב מהרשת: צעד זה מונע מהנוזקה להתפשט למחשבים אחרים ברשת.
  • אי תשלום כופר: תשלום כופר מעודד את התוקפים להמשיך בפעילותם הפלילית ולא מבטיח את שחזור הקבצים והוא מוצא אחרון בהחלט. בטרם התשלום יש להיוועץ עם מומחי סייבר, מומחי מו"מ וגם יועצים משפטיים כדי לבחון את הרגולציה העדכנית. ישנן סיטואציות בהן תשלום כופר עשוי להיתפס על ידי רשויות שונות כעבירה פלילית – מהיבטי הלבנת הון ועד תמיכה עקיפה במימון של ארגוני טרור.
  • פנייה לחברת אבטחת סייבר מקצועית: צוות התגובה שלנו לאירועי סייבר יוכל לסייע בהשבת הארגון לעבודה סדירה.

וירוס כופר הוא איום משמעותי בעולם הדיגיטלי, אך ניתן להתגונן מפניו באמצעות נקיטת צעדים מונעים והכנה נכונה. העלאת המודעות לסיכוני סייבר, גיבוי נתונים, שימוש בתוכנות אבטחה מעודכנות ונהלים ברורים בארגון – כל אלה יוכלו לסייע בהקטנת סיכוני הסייבר הקשורים בוירוס כופר.

כיצד מתבצע שחזור מידע לאחר תקיפה של וירוס כופר?

לעיתים ניתן לשחזר את המידע המוצפן, גם בלי לשלם כופר לתוקפים. מספר דרכים עיקריות לביצוע שחזור מידע לאחר תקיפת וירוס כופר:

שחזור מגיבוי:

הדרך הטובה ביותר להגן על המידע מפני וירוסי כופר היא לבצע גיבויים באופן קבוע. אם קיים גיבוי עדכני של הקבצים המוצפנים, ניתן לשחזר אותם מהגיבוי. יש להקפיד לבדוק לפני כן שהגיבוי אכן תקין (ניתן לשחזור), לא נגוע בעצמו בוירוסים, ושהמחשב נקי. כמו כן, חשוב להבין כיצד נדבקו מערכות המידע בוירוס כופר – אחרת סבירות גבוהה שהאירוע יחזור על עצמו והפעם יש להניח שהתוקפים ימתינו מספיק זמן כדי להשחית גם את הגיבויים.

שימוש בכלי פריצה:

רשויות אכיפה וחברות סייבר חברו על מנת לפגוע בעולם פשעי הסייבר המבוססים על וירוס כופר ומציעים שלל כלים חינמיים לפתיחת קבצים מוצפנים – No more Ransom.

כמו כן, חברות אבטחה רבות מפתחות כלים מיוחדים שנועדו לפצח את הצופן של וירוסי כופר נפוצים. במקרים מסוימים, כלים אלו יכולים לאפשר לפתוח את הקבצים בחינם או בעלות נמוכה משמעותית אל מול דרישת הכופר.

תשלום כופר:

אפשרות זו אינה מומלצת כלל, כיוון שהיא מעודדת את התוקפים להמשיך בפעילותם הזדונית. יתרה מזאת, אין ערובה שתקבלו את המפתח לפתיחת ההצפנה גם לאחר התשלום. ישנם מקרים רבים בהם היו כאלו אשר שילמו את הכופר ועדיין לא קיבלו את קוד הגישה ושחרור נעילה של וירוס הכופר. כאמור, תשלום כופר יהיה מוצא אחרון ורק לאחר בדיקות עם מומחי מודיעין סייבר שיבחנו את המוניטין של קבוצת התקיפה (האם נוהגים לעמוד בהבטחתם לספק את המפתח תמורת התשלום), יועצים משפטיים שיבחנו משמעויות רגולטוריות וליווי של צוות DFIR שיפקח על התהליך מבחינת טכנולוגית.

יצוין שמטרתו של המאמר להנגיש ולפשט את הנושא מבלי להתייחס לדקויות טכנולוגיות מורכבות.

מאמרים נוספים

Scroll to Top
דילוג לתוכן