תוכנת כופר של חברים
הגנה על מכשירים מפני תוכנות זדוניות חשובה מתמיד, שכן איומי סייבר מודרניים יכולים להצפין נתונים יקרי ערך, לשבש את הפעילות העסקית ולחשוף מידע רגיש. תוכנות כופר, בפרט, נותרות אחת מצורות התוכנות הזדוניות המזיקות ביותר משום שהיא משלבת הצפנת נתונים עם טקטיקות סחיטה שנועדו ללחוץ על קורבנות לשלם סכומי כסף גדולים. דוגמה בולטת אחת היא תוכנת הכופר Friends, איום מתוחכם המכוון למגוון רחב של סוגי קבצים תוך מינוף גניבת נתונים כדי להגדיל את הסבירות לתשלום.
תוכן העניינים
תוכנת הכופר של חברים: איום סייבר כפול של סחיטה
תוכנת הכופר Friends היא תוכנה זדונית שהתגלתה על ידי חוקרי אבטחת סייבר, אשר מצפינה קבצים במערכות פרוצות ודורשת כופר בתמורה למפתח פענוח. מעבר להצפנת קבצים, המפעילים העומדים מאחורי איום זה טוענים שהם גונבים מידע סודי מקורבנות לפני שהם נועלים את הנתונים שלהם. טקטיקה זו, המכונה בדרך כלל סחיטה כפולה, מאפשרת לתוקפים לאיים הן באובדן נתונים והן בחשיפת מידע רגיש לציבור.
לאחר הפעלתה במערכת, תוכנת הכופר Friends סורקת סוגי קבצים רבים ומצפינה אותם. במהלך תהליך זה, היא מוסיפה את הסיומת '.friends124' לקבצים המושפעים. לדוגמה, קובץ בשם '1.png' הופך ל-'1.png.friends124', בעוד ש-'2.pdf' הופך ל-'2.pdf.friends124'. סיומת זו משמשת כאינדיקטור ברור לכך שהקבצים עובדו על ידי התוכנה הזדונית ואינם נגישים עוד באמצעים רגילים.
תהליך הצפנה ודרישות כופר
לאחר השלמת שגרת ההצפנה, תוכנת הכופר יוצרת קובץ בשם 'RANSOM_NOTE.html' המכיל הוראות לקורבן. ההערה מודיעה למשתמשים שהקבצים שלהם הוצפנו ומספקת פרטי קשר להתחלת משא ומתן על כופר. הקורבנות מתבקשים לתקשר עם התוקפים באמצעות כתובות הדוא"ל 'recovery1@salamati.vip' ו-'recovery1@amniyat.xyz'. כמו כן מוזכרת שיטת קשר חלופית דרך רשת Tor.
בהודעת הכופר נטען כי נתונים סודיים ואישיים נאספו ואוחסנו בשרת פרטי בשליטת התוקפים. על פי ההודעה, מידע זה יפורסם או יימכר לצדדים שלישיים אם הקורבן יסרב להיענות לדרישות הכופר. כדי לשכנע את הקורבנות ששחזור קבצים אפשרי, הפושעים מציעים לפענח שניים או שלושה קבצים לא חיוניים ללא תשלום. ההודעת מזהירה עוד כי סכום הכופר יגדל אם לא ייווצר קשר תוך 72 שעות, וממליצה לקורבנות ליצור חשבון ProtonMail לפני יצירת קשר.
מדוע תשלום הכופר הוא החלטה מסוכנת
קורבנות שוקלים לעתים קרובות לשלם כופר כאשר קבצים קריטיים הופכים בלתי נגישים. עם זאת, תשלום לפושעי סייבר אינו מבטיח שחזור מוצלח. פעולות כופר רבות גבו תשלומים מבלי לספק כלי פענוח תקינים או סיפקו כלים שלא הצליחו לשחזר את כל הנתונים שנפגעו.
אפילו כאשר תוקפים מספקים כלי פענוח, התשלום תומך בפעילות פלילית ומעודד התקפות עתידיות נגד אנשים וארגונים אחרים. מסיבות אלה, אנשי מקצוע בתחום אבטחת הסייבר ממליצים בתוקף לשלם דרישות כופר. ברוב המקרים, לא ניתן לשחזר קבצים מוצפנים ללא מפתח הפענוח של התוקפים אלא אם כן תוכנת הכופר מכילה פגמי יישום משמעותיים שחוקרים יכולים לנצל כדי לפתח כלי פענוח חינמי.
התאוששות ותגובה לאירועים
העדיפות המיידית לאחר הדבקה היא להסיר את תוכנת הכופר Friends מהמערכת הפגועה. הסרת התוכנה הזדונית מסייעת במניעת הצפנת קבצים נוספים ומפחיתה את הסיכון לפעילות זדונית נוספת. עם זאת, הסרת תוכנה זדונית לבדה אינה משחזרת נתונים שכבר מוצפנים.
שיטת השחזור האמינה ביותר כוללת שחזור קבצים מגיבויים שנוצרו לפני התרחשות ההדבקה. יש לאחסן גיבויים בנפרד מהמערכת הראשית כך שיישארו ללא שינוי במהלך מתקפה. אם גיבויים מחוברים לאותה רשת או נשארים נגישים באופן רציף, תוכנת כופר עלולה לנסות להצפין גם אותם, ולהשאיר את הקורבנות ללא אפשרות שחזור.
כיצד מתפשטת תוכנת הכופר של Friends
כמו משפחות רבות של תוכנות כופר, Friends Ransomware מסתמכת על ערוצי הפצה מרובים כדי להגיע לקורבנות פוטנציאליים. הודעות דוא"ל של פישינג נותרות בין שיטות המסירה היעילות ביותר. הודעות אלו מכילות לעתים קרובות קבצים מצורפים או קישורים זדוניים שמפעילים הורדות של תוכנות זדוניות בעת פתיחתן. תוקפים משתמשים בדרך כלל בקבצי מסמכים המכילים מאקרו זדוניים, ארכיונים דחוסים, קבצי הפעלה, קבצי PDF ומטענים מבוססי JavaScript.
וקטורי הדבקה נוספים כוללים טרויאנים שמתקינים בשקט תוכנות כופר, מנגנוני עדכון תוכנה מזויפים, פרסומות זדוניות, אתרים פרוצים והורדות שהתקבלו ממקורות לא אמינים. פורטלים של תוכנות חינמיות, רשתות שיתוף קבצים עמית לעמית ופלטפורמות הפצה לא רשמיות אחרות מארחים לעתים קרובות קבצים זדוניים במסווה של תוכנות לגיטימיות. כונני USB נגועים יכולים גם הם להקל על התפשטות תוכנות כופר בין מערכות.
תרחיש הדבקה נפוץ במיוחד כרוך בסדקים בתוכנה ובכלי הפעלה פיראטיים. פושעי סייבר לעיתים קרובות מסווים תוכנות זדוניות כחלופות חינמיות לתוכנות בתשלום, ומנצלים משתמשים שמוכנים לעקוף ערוצי הפצה רשמיים. לאחר הפעלתן, תוכנות אלו, שנראות בלתי מזיקות, יכולות להתקין תוכנות כופר ללא אזהרה.
חיזוק ההגנות מפני תוכנות כופר
הגנה יעילה מפני תוכנות כופר דורשת אסטרטגיית אבטחה רב-שכבתית המשלבת אמצעי הגנה טכניים עם התנהגות משתמשים בטוחה. ארגונים ואנשים פרטיים צריכים לתחזק תוכנות אבטחה בעלות מוניטין, להבטיח שמערכות הפעלה ויישומים יקבלו עדכונים שוטפים, ולהשבית תכונות מיותרות שעלולות להיות מנוצלות לרעה על ידי תוקפים. יש להתייחס תמיד בזהירות לקבצים מצורפים לדוא"ל ולקישורים ממקורות לא ידועים או בלתי צפויים, גם כאשר הם נראים לגיטימיים.
גיבויים קבועים של נתונים הם בין אמצעי ההגנה החשובים ביותר. שמירה על עותקי גיבוי מרובים במיקומים נפרדים, כגון כוננים חיצוניים במצב לא מקוון ופתרונות אחסון מרוחק מאובטחים, משפרת משמעותית את סיכויי ההתאוששות לאחר מתקפה. יש לבצע גם בדיקות גיבוי מעת לעת כדי לאשר שניתן לשחזר נתונים בהצלחה בעת הצורך.
נהלי אבטחה מרכזיים כוללים:
- שמרו על מערכות הפעלה, דפדפנים ויישומים מעודכנים במלואם עם תיקוני האבטחה האחרונים.
- השתמשו בתוכנת הגנה על נקודות קצה בעלת מוניטין, עם יכולות זיהוי איומים בזמן אמת.
- שמור גיבויים מרובים, כולל לפחות עותק אחד במצב לא מקוון או עותק מבודד אחר.
- הימנעו מפתיחת קבצים מצורפים לא רצויים בדוא"ל או לחיצה על קישורים חשודים.
- הורד תוכנה רק ממקורות רשמיים ואמינים.
- הימנעו משימוש בתוכנה פיראטית, פיצוחים או כלי הפעלה לא מורשים.
- הגבל את הרשאות המנהל בכל הזדמנות אפשרית.
- לחנך משתמשים לגבי טקטיקות פישינג והתקפות הנדסה חברתית.
הערכה סופית
תוכנת הכופר Friends מייצגת איום סייבר חמור המשלב הצפנת קבצים עם גניבת נתונים וסחיטה. על ידי הוספת הסיומת '.friends124' לקבצים, שליפת הודעת כופר בשם 'RANSOM_NOTE.html' ואיום לחשוף מידע גנוב, מפעיליה מנסים למקסם את הלחץ על הקורבנות. בעוד שאפשרויות שחזור מוגבלות לעיתים קרובות ללא גיבויים אמינים, נוהלי אבטחת סייבר חזקים, גיבויים קבועים, עדכוני תוכנה בזמן והתנהגות מקוונת זהירה יכולים להפחית משמעותית את הסבירות להצלחה של מתקפת כופר ולמזער את ההשפעה במקרה של הדבקה.
System Messages
The following system messages may be associated with תוכנת כופר של חברים:
Your files have been encrypted. |