תוכנת הכופר RestoreMyData
קמפיינים של תוכנות זדוניות מתפתחים ללא הרף, וכופרה נותרה אחת האיומים המזיקים ביותר עבור משתמשים וארגונים בכל גודל. פריצה מוצלחת אחת יכולה לעצור פעולות, לפגוע בגיבויים, לעורר סחיטה עקב דליפות נתונים ולחייב התאוששות ארוכה ויקרה. הגנות פרואקטיביות ותגובה ממושמעת ממלאות תפקיד מכריע בהגבלת רדיוס הפיצוץ כאשר, ולא אם, מתרחשת מתקפה.
תוכן העניינים
מהי תוכנת הכופר RestoreMyData?
RestoreMyData נועל את נתוני הקורבנות וסוחט מהם כופר. זן כופר זה זוהה במהלך חקירות ציד איומים מתמשכות. כמו משפחות עכשוויות אחרות, הוא מצפין קבצים ודורש תשלום עבור כלי פענוח, ובמקביל טוען שהוא גונב מידע עסקי רגיש כדי ללחוץ על קורבנות באמצעות הדלפות פומביות.
כיצד מתפתחת ההתקפה
לאחר שהתוכנה השיגה דריסת רגל, לרוב באמצעות הנדסה חברתית, הורדות זדוניות או תוכנות זדוניות משניות, היא מבצעת את שגרת ההצפנה שלה. כל שם קובץ מושפע משתנה על ידי הוספת '.restoremydata.pw'. לדוגמה, '1.png' הופך ל-'1.png.restoremydata.pw' ו-'2.pdf' הופך ל-'2.pdf.restoremydata.pw'. לאחר השלמת ההצפנה, התוכנה הזדונית מוציאה הודעת כופר בשם 'HOW_TO_RECOVERY_FILES.txt'. ההערה מכוונת בבירור לעסקים ולא למשתמשים ביתיים, ומזהירה כי הפעילות נמצאת בסיכון, קבצים אינם נגישים ללא עזרת התוקפים, ונתונים גנובים של החברה יפורסמו אם דרישותיהם יתעלמו.
בתוך פתק הכופר: טקטיקות ולחץ
ההודעה טוענת שרק התוקפים מחזיקים במפתח הפענוח הייחודי וכי מפענחים המשמשים עבור קורבנות אחרים לא יעבדו. היא מזהירה מפני שינוי קבצים מוצפנים כדי למנוע נזק בלתי הפיך. כ"הוכחת פענוח", המפעילים מציעים לשחזר קובץ בדיקה יחיד, בדרך כלל עד 2 מגה-בייט, ולא נכס קריטי כמו מסד נתונים, גיבוי או גיליון אלקטרוני גדול. זוהי טכניקת הנדסה חברתית נפוצה שנועדה לבנות אמינות ולדחוף קורבנות לשלם.
תשלום הכופר: סיכונים ומציאות
ברוב המקרים, פענוח קבצים שננעלו על ידי תוכנות כופר מודרניות אינו אפשרי ללא מפתחות התוקף. עם זאת, תשלום אינו מבטיח שחזור; קורבנות מדווחים לעתים קרובות שלא קיבלו דבר מועיל לאחר העברת כספים. תשלום גם מזין את המערכת האקולוגית הפלילית. הדרך הניתנת להגנה היא להימנע מתשלום, להתמקד במיגור ולשחזר מגיבויים נקיים.
התמדה, תנועה רוחבית והתפשטות
מעבר לפגיעה הראשונית, חלק מהאיומים מנסים לנוע לרוחב על פני רשתות מקומיות, לנצל לרעה כלי ניהול, לאסוף אישורים ולהפיץ אותם דרך מדיה נשלפת (כונני USB, דיסקים חיצוניים). יש להניח ש-RestoreMyData מסוגל למנף טכניקות דומות הנראות במערכת האקולוגית, כלומר מהירות בלימה היא קריטית לאחר גילוי אינדיקטורים.
ערוצי גישה ומסירה ראשוניים
מפעילי תוכנות כופר מסתמכים על נתיבי הפצה שחוקים: הודעות דוא"ל והודעות פישינג עם קבצים מצורפים או קישורים ממולכדים, סוסים טרויאניים ומטעיני תוכנה שמשחררים מטענים מאוחר יותר, הורדות מהירות מאתרים שנפרצו, פורטלים של תוכנה חינמית ורשתות P2P עם מתקינים ארוזים מחדש, פרסום זדוני, עדכונים מזויפים וכלי "פיצוח". תוכן זדוני מוסווה לעתים קרובות כארכיונים (ZIP/RAR), קבצי הרצה, קבצי PDF, מסמכי Office או OneNote, JavaScript ועוד; הביצוע מתחיל ברגע שמשתמש פותח או מפעיל את הקובץ.
אסטרטגיית מיגור והתאוששות
יש לבודד באופן מיידי את המערכות שנפגעו מהרשת כדי לעצור את התפשטות ההצפנה ודליפת הנתונים. יש לבצע הסרה יסודית באמצעות כלי אבטחה בעלי מוניטין ומעודכנים במלואם. יש להבין שהסרה עוצרת נזק נוסף אך אינה מפענחת נתונים שכבר נעולים. שחזור הנתונים צריך להגיע מגיבויים שטרם נפגעו.
שורה תחתונה
תוכנת הכופר RestoreMyData מדגימה את תוכנית הסחיטה הכפולה של ימינו: הצפנה מהירה, מפתחות קורבן ייחודיים, הודעות כופר בלחץ גבוה ואיומים לדליפת נתונים גנובים. הימנעו מתשלום ככל האפשר, הסירו את התוכנה הזדונית באופן נחרץ, והסתמכו על גיבויים קשיחים שנבדקים באופן קבוע לצורך שחזור. ארגונים המשלבים מניעה שכבתית, בקרת הרשאות קפדנית, גיבויים עמידים ותגובה לאירועים מיומנת משפרים משמעותית את סיכוייהם לעמוד בפני סוג זה של התקפה.
הודעות
נמצאו ההודעות הבאות הקשורות ל-תוכנת הכופר RestoreMyData:
Your business is at serious risk. Your files are now encrypted with the most secure military algorithms. No one can help you decrypt your files without our special decoder. We understand that you will be able to restore your files from backups. We want to warn you that we have dropped all your documents related to accounting, administration, law, HR, NDA, database, passwords and much more! |
