AntiHacker Ransomware

הגנה על מידע אישי ועסקי מפני איומי תוכנות זדוניות מודרניות אינה עוד אופציונלית, אלא הכרח תפעולי. מפעילי תוכנות כופר ממשיכים לשפר את הטקטיקות, הכלים ותוכניות ההנדסה החברתית שלהם כדי למקסם את השיבושים וסחיטת תשלומים. אפילו ארגונים קטנים יותר ומשתמשים ביתיים הם מטרה קבועה, והתאוששות יכולה להיות קשה או בלתי אפשרית ללא הכנה. תוכנות כופר מסוג AntiHacker, חברה במשפחת Xorist, הן בדיוק איום כזה.

סקירת איומים ושורשים

AntiHacker היא תוכנה זדונית שהתגלתה על ידי חוקרי אבטחת מידע ומסווגת כחלק ממשפחת תוכנות הכופר Xorist. איומים מבוססי Xorist בנויים בדרך כלל ממסגרת ערכה שתוקפים יכולים להתאים אישית, לשנות את הודעת הכופר המוצגת, סיומת הקובץ, רכיבי השפה ופרמטרים אחרים. AntiHacker פועלת לפי ספר המשחקים המוכר של Xorist: היא מצפינה נתוני קורבן ולאחר מכן דורשת תשלום בתמורה למפתח פענוח לכאורה.

התנהגות הצפנת קבצים וסימון

ברגע ש-AntiHacker מפריץ מערכת, הוא מחפש נתונים נגישים למשתמש בכוננים מקומיים וגם במיקומי רשת פוטנציאליים ממופים. מגוון רחב של סוגי קבצים ממוקדים, מסמכים, תמונות, ארכיונים, קבצי מולטימדיה ומאגרי נתונים יקרי ערך אחרים. כל פריט מוצפן משנה את שמו על ידי הוספת המחרוזת '.antihacker2017' לסוף שם הקובץ המקורי. לדוגמה, קובץ ששמו המקורי '1.png' הופך ל-'1.png.antihacker2017'; '2.pdf' הופך ל-'2.pdf.antihacker2017'; ודפוס זה חוזר על עצמו בכל הקבצים המעובדים. ההרחבה הנוספת משרתת שתי מטרות: היא מאותתת חזותית לקורבן על הפריצה ועוזרת לתוכנת הכופר לזהות אילו פריטים כבר טיפלה בהם.

הודעות כופר, חלונות קופצים והודעות טפט

לאחר השלמת שגרת ההצפנה שלה, AntiHacker משנה את טפט שולחן העבודה של הקורבן ומשחרר הודעת כופר בשני פורמטים מקבילים: חלון קופץ וקובץ טקסט בשם 'КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt' (ברוסית: 'כיצד לפענח קבצים'). תוכן ההודעה המוצג בחלון הקופץ ובקובץ הטקסט זהה. עם זאת, גרסת הטפט כוללת שפה נוספת של הנדסה חברתית, הצדקה לכאורה שהמתקפה התרחשה מכיוון שהמשתמש ביקר באתרים ספציפיים למבוגרים או לא חוקיים. זווית השמצה זו נועדה ללחוץ על הקורבנות לשלם במהירות ובשקט.

קידוד תווים מוזר

במערכות שאינן משתמשות במערכת תווים קירילית, טקסט הכופר המוצג בחלון הקופץ יכול להיראות כג'יבריש בלתי קריא. לכן, קורבנות עשויים לראות חלון הודעה פגום אך עדיין למצוא את ההוראות הקריאות בתוך קובץ הטקסט שנשמט. תוקפים לעיתים קרובות מתעלמים מפרטי לוקליזציה; מגינים יכולים להשתמש בארטיפקטים כאלה כדי לסייע באיסוף אירועים קשורים.

מנגנוני כפייה: מגבלות כניסה מרכזיות וטענות איום

הוראות הכופר קובעות כי על הקורבנות ליצור קשר עם התוקפים כדי לקבל מפתח פענוח. הן גם מטילות אילוץ לחץ גבוה: מותרים רק 50 ניסיונות להזין את המפתח, ולאחר מכן ההודעה טוענת שהנתונים המוצפנים יאבדו לצמיתות. אזהרות נוספות טוענות כי שימוש בכלי אבטחה, אתחול מחדש או כיבוי המחשב יהפכו את הקבצים לבלתי ניתנים לפענוח. טקטיקות הפחדה אלו נפוצות בספרי משחק של תוכנות כופר ומטרתן להרתיע משתמשים מלבקש עזרה מקצועית או לנסות הליכי תיקון בטוחים.

מדוע תשלום הכופר מסוכן

אין ערובה לכך שפושעי הסייבר שעומדים מאחורי AntiHacker (או כל תוכנת כופר אחרת) יספקו פתרון פענוח תקין לאחר התשלום. קורבנות שמשלמים לעיתים קרובות לא מקבלים דבר, מקבלים מפתח שבור, או הופכים למטרות לסחיטה חוזרת ונשנית. תשלום גם מממן פעולות פליליות מתמשכות ומעצים התקפות נוספות. הגישה הזהירה היא להימנע מתשלום ככל האפשר ולהתמקד בדרכי שחזור הנמצאות בשליטתכם.

מציאות של התאוששות

הסרת AntiHacker ממערכת נגועה יכולה לעצור הצפנת קבצים נוספת, אך היא אינה מפענחת נתונים שכבר ננעלו. הדרך האמינה ביותר לשחזור היא שחזור עותקים נקיים של קבצים שנפגעו מגיבויים שהיו מבודדים, לא מקוונים או מחוץ להישג ידם של התוכנה הזדונית. אם לא קיימים גיבויים בני קיימא, אפשרויות שחזור הנתונים הופכות מוגבלות מאוד.

וקטורי זיהום ראשוניים

מחברי תוכנות כופר מסתמכים על אותה מערכת אקולוגית רחבה להפצה שמזינה קטגוריות אחרות של תוכנות זדוניות. AntiHacker אינו יוצא מן הכלל. תוקפים לעתים קרובות מסווים מטענים כתוכנות לגיטימיות או מקבצים אותם עם תוכנות, מסמכים או מתקינים פרוצים או פיראטיים. עצם פתיחת קובץ מלכוד יכולה להפעיל שרשרת הורדה או ביצוע.

• פיתוי פישינג והנדסה חברתית המועברים באמצעות דואר אלקטרוני, הודעות פרטיות או הודעות ישירות עם קבצים מצורפים זדוניים או קישורים מוטמעים.
• הורדות מהירות או הורדות מטעות שמופעלות מאתרים פרוצים או זדוניים ללא הסכמת המשתמש באופן ברור.
• טועני טרויאנים ודלתות אחוריות שמאחזרים ומפעילים בשקט תוכנות כופר לאחר הטמעה.
• מקורות הורדה לא אמינים כגון אתרי תוכנה חינמית, דפי אירוח של צד שלישי ורשתות שיתוף קבצים Peer-to-Peer (P2P).
• הונאות מקוונות וקמפיינים של פרסום זדוני שמפנים משתמשים לערכות ניצול לרעה או מטענים זדוניים.
• כלי הפעלה לא חוקיים של תוכנה ("קראקים" / keygens) ועדכוני תוכנה מזויפים שמתקינים תוכנות זדוניות במקום תיקונים לגיטימיים.
• ארכיונים (ZIP, RAR וכו'), קבצי הפעלה (EXE, RUN וכו'), קבצי סקריפט (למשל, JavaScript) ופורמטים של מסמכים (PDF, Microsoft Office, OneNote ואחרים) משמשים כנשק להפעלת שרשרת ההדבקה.

סקירת אסטרטגיית הגנה

הגנה יעילה מפני תוכנות כופר מכסה אנשים, תהליכים וטכנולוגיה. אי אפשר לסמוך על בקר הגנה יחיד; יש להניח שלפחות שכבה אחת תיכשל. שלבו מודעות משתמש, תצורות קפדניות, תיקון תיקונים קפדני, שיטות גיבוי חזקות ויכולות זיהוי/תגובה חזקות כדי להפחית הן את הסבירות והן את ההשפעה של חדירה בסגנון AntiHacker.

• שמור גיבויים של נתונים חשובים.
• שמרו על מערכות הפעלה, יישומים וכלי אבטחה מעודכנים במלואם; התקינו תיקונים באופן מיידי, במיוחד עבור שירותי גישה מרחוק ושיתוף קבצים.
• השתמש בפתרונות אנטי-וירוס / זיהוי ותגובה לנקודות קצה (EDR) בעלי מוניטין, עם זיהוי תוכנות כופר התנהגותיות ויכולות החזרה למצב קודם אוטומטי, במידת האפשר.
• אכיפת זכויות משתמש בעלות הרשאות נמוכות ביותר; הפעלת משימות יומיומיות תחת חשבונות שאינם מנהלי מערכת והגבלת גישת כתיבה למאגרי נתונים משותפים.
• פילוח רשתות והגבלת תנועה רוחבית; בידוד מאגרי גיבוי ושרתים קריטיים בשכבות גישה נפרדות.
• דרוש אימות רב-גורמי (MFA) עבור כניסות מרחוק, פעולות מורשות וקונסולות ניהול גיבוי.

מַסְקָנָה

תוכנת כופר נגד האק ממחישה כיצד גורמי איום מתאימים משפחות מבוססות ערכות כמו Xorist כדי ליצור תוכניות סחיטה חזקות וממוקדות אזורית. הצפנת הנתונים, תיוג שם הקבצים, חפצי הכופר הרב-לשוניים וההודעות הכפויות שלה מתוכננים כולם כדי להניע תשלומים. עם זאת, אמצעי הנגד החזק ביותר נותר הכנה: גיבויים מבודדים, הגנות שכבתיות, משתמשים מעודכנים ותוכנית תגובה ממושמעת. ארגונים ואנשים פרטיים שמשקיעים באמצעי הגנה אלה יכולים להפוך אירוע כופר שעלול להיות קטסטרופלי לאירוע בר-התאוששות.