תוכנת כופר RDAT

תוכנות כופר נותרות אחת האיומים המשבשים ביותר העומדים בפני משתמשים ביתיים וארגונים. פריצה אחת יכולה לערבל מסמכים, תמונות ונתוני עסקים תוך דקות, ואז לסחוט קורבנות כדי לקבל גישה. תוכנות הכופר RDAT, שלוחה של משפחת Dharma הפורייה, ממחישות מדוע הגנות רב-שכבתיות ותכנון התאוששות ממושמע הם חיוניים.

פרופיל איום: מבט חטוף על RDAT

חוקרי אינפו-סק זיהו את RDAT במהלך סקירה מקיפה של תוכנות זדוניות מתפתחות. זוהי גרסה של דהרמה שנועדה לסחיטת נתונים: היא מצפינה קבצים ולוחצת על קורבנות לשלם עבור פענוח. RDAT מכוון הן לכוננים מקומיים והן לשיתופים ברשת, תוך הימנעות מקובצי מערכת קריטיים כך שהמכשיר יישאר ניתן לאתחול והקורבן יוכל לקרוא את הודעות הכופר.

מה רואים קורבנות

לאחר ש-RDAT מופעל, הוא מצפין מגוון רחב של סוגי קבצים. שמות הקבצים משתנים כך שיכללו מזהה קורבן ייחודי, כתובת הדוא"ל של התוקף וסיומת '.RDAT', לדוגמה:
1.png הופך ל-1.png.id-9ECFA84E.[dat@mailum.com].RDAT

לאחר מכן מופיעות שתי הודעות כופר: חלון קופץ המציין שהקבצים מוצפנים וקובץ טקסט בשם 'DAT_INFO.txt' עם הוראות ליצירת קשר. המפעילים מציעים לפענח עד שלושה קבצים (בכפוף למגבלות גודל/פורמט) כהוכחה, תוך אזהרה כי שימוש בכלים של צד שלישי או שינוי נתונים מוצפנים עלולים לגרום לאובדן קבוע. טקטיקות אלו נועדו לבנות אמינות ודחיפות, לא לעזור לך.

כיצד RDAT נשאר ומתפשט

RDAT יורש את ספר ההדרכה של Dharma בנוגע להתמדה ולמניעת שחזור. הנוזקה מעתיקה את עצמה לתוך %LOCALAPPDATA%, רושמת ערכי הפעלה אוטומטית באמצעות מקשי הפעלה ספציפיים, ומפעילה מחדש לאחר אתחול מחדש. כדי לחסום שחזורים מהירים, היא מוחקת את Volume Shadow Copies. לפני ההצפנה, היא מסיימת תהליכים שעשויים לשמור קבצים פתוחים (מסדי נתונים, קוראי מסמכים וכדומה), ומבטיחה כיסוי מקסימלי. היא גם מנסה להימנע מ'הצפנה כפולה' של נתונים שכבר נפגעו על ידי תוכנות כופר אחרות על ידי בדיקה מול רשימה ידועה, בדיקת בטיחות לא מושלמת.

בחירת מטרה וגיאוגרפיקה

התוכנה הזדונית אוספת נתוני מיקום גיאוגרפי כדי להעריך האם הקורבן צפוי לשלם. אם האזור נראה לא רצוי, כלכלית או מסיבות גיאופוליטיות, היא עשויה לדלג לחלוטין על ההצפנה. התנהגות זו נועדה אך ורק למקסם את תפוקת הכופר.

למה לשלם זה הימור מפסיד

פענוח לאחר מתקפת כופר בדרך כלל בלתי אפשרי ללא מפתחות התוקפים, אלא אם כן הסוג פגום באופן חמור. גם אז, תשלום הוא מסוכן: קורבנות רבים אינם מקבלים מפענחים תקינים. תשלום גם מממן התקפות נוספות. הדרך האחראית היא למגר את התוכנה הזדונית, לבנות מחדש מגיבויים אמינים ולחזק את המערכות כדי למנוע אירוע חוזר.

ערוצי משלוח מאושרים

פריצות ממשפחת הדהרמה מתחילות לעתים קרובות עם פרוטוקול שולחן עבודה מרוחק (RDP) שנחשף או מוגן בצורה חלשה. תוקפים מסתמכים על התקפות Brute-Force ומילון, ולאחר מכן עלולים להשבית חומות אש של המארח. מעבר ל-RDP, המערכת האקולוגית ממנפת פישינג והנדסה חברתית, פרסום זדוני, מקורות תוכנה לא אמינים, קבצי דואר זבל וטרויאנים מסוג טוען/דלת אחורית. מטענים זדוניים נשלחים בדרך כלל כארכיונים (RAR/ZIP), קבצי הרצה, סקריפטים (כולל JavaScript) ומסמכים (PDF, Office, OneNote). משפחות מסוימות מתפשטות גם דרך רשתות מקומיות ומדיה נשלפת.

בלימה והתאוששות

יש להסיר את תוכנת הכופר כדי לעצור הצפנה נוספת, אך להבין שהסרה אינה משחזרת קבצים נעולים. שחזור דורש גיבויים נקיים ומגוונים. הסטנדרט הזהב הוא לשמור עותקים במספר מיקומים וסוגי מדיה, כולל אחסון לא מקוון שתוכנות זדוניות אינן יכולות לגעת בו.

וקטורי גישה והפצה נפוצים עבור איומי כופר כוללים:

• שירותי RDP חשופים/חלשים, מילוי אישורים וכניסות בכוח ברוט
• הודעות דיוג, פיתיונות הנדסה חברתית, קבצים מצורפים וקישורים של ספאם, פרסום זדוני, הורדות טרויאניות, הורדות דרך רשת, תוכנות פיראטיות ו"קראקים", עדכון מזויף וזיהומים באמצעות טוען/דלת אחורית; התפשטות רוחבית דרך רשת מקומית והתקני USB/אחסון נשלפים.

שורה תחתונה

תוכנת הכופר RDAT היא גרסה ממושמעת ומכוונת לרווח של דהרמה: היא קיימת גם לאחר אתחול מחדש, מוחקת נקודות שחזור, מכוונת לנתונים מקומיים ומשותפים כאחד, ומפעילה טקטיקות לחץ כדי לחלץ תשלום. הדרך האמינה ביותר לחוסן היא הקשחה פרואקטיבית בתוספת גיבויים חזקים התומכים במצב לא מקוון והתאוששות מתורגלת היטב. אל תשלמו; מחקו, שחזרו והדקו את ההגנות כדי למנוע את הניסיון הבא.