וירוס הצפנה וכופר – נזק עצום למי שלא ממוגן
קיבלתם מייל עם קובץ אופיס ( WORD או אקסל) ממקור לא מוכר – אל תפתחו את המסמך המצורף ! ! !
ביום רביעי האחרון קיבלנו טלפון שגרתי מחברה באזור חדרה. אחת העובדות התלוננה שהיא חושבת שיש לה וירוס במחשב ושהיא לא מצליחה לפתוח תוכנה מהרשת.
5 דקות מאוחר התחילו להגיע טלפונים מעובדים נוספים, שהם לא מצליחים להפעיל תוכנות ברשת וגם שלא מצליחים לפתוח מסמכים.
העובדת סיפרה שנראה לה שהבעיות התחילו אחרי שהיא פתחה מייל מסוים.
זה היה התוכן שלו המייל (זה גרמנית):
Sehr geehrte Damen und Herren, anbei erhalten Sie das Dokument 'Rechnung 2016-11365' im DOC-Format. Um es betrachten und ausdrucken zu können, ist der DOC Reader erforderlich. Diesen können Sie sich kostenlos in der aktuellen Version aus dem Internet installieren. Mit freundlichen Grüssen mpsmobile Team |
Rechnung_2016-11365_20160215.docm (31.97 KB) – למייל היה מסמך וורד מצורף
העובדת פתחה את המסמך, התוכן נראה לה לא מובן, היא סגרה אותו והלכה הביתה.
למחרת בבוקר זו הייתה התמונה שהמתינה לה על המסך:
ניסיון להפעיל תוכנות דרך הרשת או לפתוח מסמכי וורד, אקסל, הציגו הודעה, שהקבצים מוצפנים וחסומים לשימוש.
כל העובדים בחברה נתקלו בהודעות האלה. תוכנות הרשת, כגון: חשבשבת ותוכנות הנהלת חשבונות נוספות פשוט לא עבדו.
איך זה עובד ?
ברגע שפותחים את המסמך הנגוע או נכנסים לקישור רע – הנזק מתחיל.
האנטי וירוס לא מתריע על שום דבר, מכיוון שהתוכנה הזאת היא לא וירוס אלא תוכנת נזק (נוזקה) יש כבר מי שכינה אותו "כופרה" כלומר תוכנה שמבקשת כופר.
הכופרה או הנוזקה לא שומרת את עצמה בדיסק ולא נוגעת בתוכנות קיימות ולכן האנטי וירוס לא מזהה אותה כוירוס.
ברגע ההפעלה, התוכנה מתחילה במסע נזקים, תוך שהיא פותחת כל קובץ (שאינו תוכנה), מצפינה אותו ושומרת מחדש מוצפן.
כל תיקיה משותפת, שיש לה גישה מתחנת העבודה תפגע. במידה וקיימים דיסק או תיקיה משותפת לכל העובדים, כל הקבצים בתיקיות ובמה שמתחתן יפגע.
הנזק אדיר, זה אומר כל הקבצים: וורד, אקסל, תמונות, סרטונים, קבצי מידע ששייכים לתוכנות כגון: חשבשבת יוצפנו גם הם.
הדרך שהפושעים מציעים כדי לפתור את הבעיה היא לשלם להם 500$ או 1,000$ כדי לקבל תוכנה שתפתח את ההצפנה.
איך פותחים את ההצפנה של הקבצים?
אין כל דרך ידועה לפתוח את ההצפנה בלי לשלם כופר ולקבל את תוכנת הפתיחה השמורה אצל הפושעים.
מצד שני, כניעה לפושעים ותשלום כופר לא מבטיחה שהבעיה תפתר.
לכן, אם יש דרך אחרת – עדיף להשתמש בה.
תשלום כופר – מומלץ רק למי שאין גיבוי
הרעיון מאחורי הווירוס הוא תשלום כופר ואז אותם פושעים אמורים לשלוח תוכנת תיקון, שתעשה את הפעולה ההפוכה ותפתח את הקבצים.
למרבה הצער, לעיתים חברות או אנשים פרטיים מוצאים עצמם ללא גיבוי וללא דרך אחרת לשחזר מידע חשוב ולמעשה הדרך היחידה, שיש בידם, עוברת דרך תשלום הכופר.
אחרי תשלום הכופר, אמורים לקבל במייל תוכנה. הפעלת תוכנת התיקון אמורה לתקן את הנזק.
יש לציין, שהאינטרס של הפושעים הוא לתקן חזרה את הנזק, כי אחרת אנשים לא ישלמו להם, לכן כדאי להם, שיתפרסם שתוכנת התיקון אכן מתקנת.
חשוב לשים לב, להפעיל את תוכנת התיקון מתוך אותה עמדה ברשת שנפגעה ראשונה וגם שכל התיקיות שנפגעו, יישארו מחוברות, כמו שהיה ברגע שהנזק קרה, אחרת, תוכנת התיקון לא תוכל לתקן את כל החומר שנפגע.
וירוס הכופר – עד כמה זה נפוץ ?
בשבועיים האחרונים נתקלנו ב-4 חברות, שנפגעו מהווירוס Cryptolocker או וירוס Locky. לוירוס אין העדפה לגודל הארגון: הוא פוגע בחברות גדולות כקטנות ובאנשים פרטיים.
מכיוון שההתקפות האלו מכניסות כסף ליוצרי הווירוסים, המוטיבציה שלהם גדולה והתפוצה של הווירוס עולה.
ככל שהארגון גדול יותר, כך גדל הסיכוי, שאחד העובדים יפתח מייל, שלא היה צריך לפתוח או יכנס לקישור שלא היה צריך להכנס ומשם הדרך לנזק פתוחה.
בכל מקרה, הארגון עובר חוויה לא פשוטה, ומדובר ביום עד יומיים עבודה כדי להחזיר את המצב כמעט לגמרי לקדמותו.
האם יש פתרון שיכול לחסום את וירוס ההצפנה ?
כן, חברת דבש מוכרת חומת אש שיודעת לחסום את תוכנות הכופר Cryptolocker או Locky
קיימת חומת האש היודעת לחסום את וירוס ההצפנה גם כאשר הוא מגיע במייל וגם כאשר הוא מגיע דרך גלישה באינטרנט עוד לפני שהוא מגיע למחשב של המשתמש.
האם אפשר להציל את החומר לאחר הפגיעה ?
רק אם יש גיבוי מסודר ששומר מהדורות אחורה:
גיבוי של השרתים למיקום חיצוני (התקן אחסון, דיסק חיצוני, טייפ גיבוי, גיבוי לענן).
הכוונה היא לגיבוי שנעשה באמצעות תוכנת גיבוי השומרת כמה מהדורות אחורה ומאפשרת שחזור של מידע מהמועד האחרון שבו ידוע שמידע היה תקין.
גיבוי, גיבוי ועוד פעם גיבוי
למרבה המזל לחברות שטפלנו בהם היה גיבוי מסודר.
השרת שוחזר מהגיבוי לתאריך של יום לפני הנזק, הנזק הסתכם בעבודה של יום עבודה אחד שהלך לאיבוד.
בנוסף היה צורך לפרמט מחדש את העמדה שדרכה הופעל הווירוס.
איך מתגוננים מפני וירוס ההצפנה ?
בדיקות שעשינו אצל חברות שנפגעו העלו, שתוכנת הנזק הגיעה דרך מייל או בכניסה לאתר זדוני או בחיבור התקן usb שעליו היה קבצים נגועים.
ארגון מסודר חייב לתחזק:
חומת אש עם יכולת של בקרת גלישה: Web Filtering – שמאפשרת חסימת גלישה לאתרי אינטרנט או דפים חשודים או מוכרים כמסוכנים.
אנטי וירוס פעיל עם יכולות של חסימת גישה מ- usb.
סינון דואר רוב הנזקים האלה מגיעים דרך מייל עם קישור, מסמך מצורף או דרך פוסט ברשת חברתית.
מכונת סינון הדואר חוסמת מיילים עם וירוס או עם דואר זבל מלהגיע לתיבות הדואר של המשתמשים.
ברוב המקרים המייל יסומן כדואר זבל ויסונן. (מהניסיון שלנו, מכונת סינון הדואר הגדירה מייל כזה כ-100% ספאם וידעה לסנן אותו).
גיבוי ושוב גיבוי רק גיבוי מסודר יכול להציל מאבדן החומר במקרה שהווירוס כבר תקף.
אם בכל זאת נפגעתם, מה עושים ?
- לנתק את כבל הרשת בעמדה שממנה התחיל הנזק.
- לכבות את כל המחשבים ואת השרת ולהדליק חזרה. (תוכנת הנזק מפסיקה לעבוד ברגע שמכבים את המחשב. הנזקים נשארים, אבל התוכנה נעלמת).
- לפנות לאנשי המחשוב שלכם, שיבצעו שחזור של החומר מהגיבוי (מהתאריך האחרון שבו ידוע שהמידע היה תקין).
- להזמין איש מקצוע שיודע לבדוק האם המערכת שלכם ממוגנת ולהשלים תוכנות או עדכונים כדי להבטיח שהנזק לא יחזור.
זה קרה פעם אחת, האם זה יכול לקרות שוב ?
לגמרי כן, אין חיסון. כמו שזה קרה בפעם הראשונה זה יכול לקרות שוב, אם לא דואגים להתמגן.
חברת דבש
אם אתם לא בטוחים שיש לכם מערכת גיבוי מסודרת או שהמידע שלכם מאובטח?
אם נפגעתם, אל תהססו, צרו קשר.
חשוב לא פחות, נגבש ביחד תכנית לשמירה ואבטחת המידע שלכם.