תוכנת הכופר REVRAC (Makop)
הסכנה שמציבה תוכנות כופר גדולה מתמיד. עם פרצות אבטחה ותקיפות זדוניות שעולות לכותרות באופן קבוע, חשוב שמשתמשים יישארו ערניים וייאמצו נהלי אבטחת סייבר חזקים. בין האיומים האחרונים שמסתובבים נמצא גרסה חדשה שזוהה של תוכנת הכופר REVRAC, זן מתוחכם ומזיק ביותר השייך למשפחת תוכנות הכופר Makop. ניתוח זה צולל לתוך אופן פעולתו של איום זה, שיטות ההדבקה שלו והדרכים היעילות ביותר להתגונן מפניו.
תוכן העניינים
שם מוכר עם טוויסט מסוכן
למרות שנוזקת כופר בשם REVRAC נצפתה בעבר, הגרסה הנוכחית היא אבולוציה חדשה ומסוכנת לחלוטין. גרסה זו נקשרה באופן חד משמעי למשפחת נוזקות הכופר Makop, הידועה בהצפנה האגרסיבית שלה וביכולות ההרס שלה. לאחר הפעלתה על מערכת היעד, REVRAC מתחילה מיד להצפין את קבצי המשתמש, כולל מסמכים, תמונות, מסדי נתונים ונתונים חשובים אחרים.
הקבצים הנגועים מקבלים שמות בהתאם לדפוס ברור: שם הקובץ המקורי שונה כך שיכלול את המזהה הייחודי של הקורבן, את כתובת הדוא"ל של התוקפים ואת הסיומת '.REVRAC'. לדוגמה, קובץ כמו '1.png' מקבל את שמו ל-'1.png.[2AF20FA3].[OnlyBuy@cyberfear.com].REVRAC'.
בנוסף לנעילת קבצים, תוכנת הכופר משנה את טפט שולחן העבודה של המערכת ויוצרת הודעת כופר בשם '+README-WARNING+.txt'. הערה זו מתארת את דרישות התוקפים ומזהיר מפני שימוש בכלים של צד שלישי או שינוי שם קבצים, איום על נזק קבוע או הגדלת דרישות הכופר.
שטר הכופר: סחיטה מכוונת
הודעת הכופר שהשאירה REVRAC נועדה לאלץ את הקורבנות לציית להוראות באמצעות פחד ודחיפות. היא מודיעה למשתמשים כי לא ניתן לשחזר את הקבצים שלהם ללא מפתח פענוח ייחודי שרק לתוקפים נמצא ברשותם. הקורבנות מתבקשים ליצור קשר עם 'onlybuy@cyberfear.com', ולספק את תעודת הזהות האישית שלהם כפי שמוצגת בשמות הקבצים. ההערה מדגישה כי כל ניסיון לא מורשה לפענח או לשנות את הנתונים המוצפנים עלול להוביל לאובדן נתונים בלתי הפיך.
למרות טענות אלו, מומחי אבטחת סייבר ממליצים בתוקף לא לשלם את הכופר. אין ערובה לכך שהתשלום יביא לשחזור קבצים, ופעולה כזו רק מלבה פעילות פלילית נוספת.
כיצד REVRAC מדביק מערכות
תוכנת הכופר REVRAC מתפשטת באמצעות מגוון טקטיקות מטעות וזדוניות. וקטורי הדבקה נפוצים כוללים:
מתקיני תוכנה מזויפים : תוכנות זדוניות במסווה של תוכנות פרוצות, מחוללי מפתחות או כלי הפעלה לא מורשים.
הודעות דיוג : הודעות שמטעות משתמשים להוריד קבצים מצורפים זדוניים או ללחוץ על קישורים מסוכנים.
אתרים ומודעות שנפרצו : אתרים או פרסומות שנראים לגיטימיים ומתקינים בסתר תוכנות זדוניות.
מדיה נשלפת והפצת רשת : זיהומים המתפשטים דרך כונני USB או לרוחב על פני מערכות מחוברות.
ניצול פגיעויות תוכנה : שימוש באגים שלא תוקנו בתוכנה לגיטימית כדי לקבל גישה ולהפעיל את מטען הכופר.
התוכנה הזדונית משובצת לעתים קרובות בפורמטים של קבצים כגון קבצי הרצה (.exe), קבצי מסמכים (.docx, .xls), קבצי סקריפט (.js, .vbs) או קבצי ארכיון (.zip, .rar).
שיטות עבודה מומלצות למניעת הדבקות בתוכנות כופר
כדי להתגונן מפני איומים כמו REVRAC, על המשתמשים לאמץ גישת אבטחת סייבר מרובדת ופרואקטיבית. כמה משיטות האבטחה היעילות ביותר כוללות:
- שמרו על כל מערכות ההפעלה, היישומים וכלי האבטחה מעודכנים במלואם.
- השתמשו בפתרון אנטי-וירוס או אנטי-תוכנות זדוניות בעל מוניטין ועם הגנה בזמן אמת.
- השבת פקודות מאקרו בקבצי Microsoft Office ממקורות לא ידועים.
סיכום: הישארו ערניים, הישארו מוגנים
תוכנת הכופר REVRAC היא דוגמה מובהקת לאופן שבו תוכנות הכופר ממשיכות להתפתח, והופכות לממוקדות ומזיקות יותר. השתייכותן למשפחת Makop מדגישה את הפוטנציאל שלה לנזק חמור. עם זאת, בעזרת אמצעי הזהירות הנכונים, החל מהיגיינת תוכנה ועד לחינוך משתמשים ושגרת גיבוי, יחידים וארגונים כאחד יכולים להגן על הנתונים והמערכות שלהם מפני נפילה לידי פושעי סייבר. מניעה נותרה הכלי החזק ביותר נגד תוכנות כופר.
הודעות
נמצאו ההודעות הבאות הקשורות ל-תוכנת הכופר REVRAC (Makop):
|
YOUR FILES ARE ENCRYPTED Your files, documents, photos, databases and other important files are encrypted. You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files. To be sure we have the decryptor and it works you can send an email: TechSupport@cyberfear.com and decrypt one file for free. Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets,sql. etc.) Do you really want to restore your files? Write to email: OnlyBuy@cyberfear.com Your personal ID is indicated in the names of the files and in the end of this message, before writing a message by email - indicate the name of the ID indicated in the files IN THE SUBJECT OF THE EMAIL Attention! * Do not rename encrypted files. * Do not try to decrypt your data using third party software, it may cause permanent data loss. * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. YOUR ID: |
