Solara Ransomware

סולארה היא זן כופר שנצפתה לאחרונה, שלטענת חוקרים בנויה על קוד משפחת Chaos שהופץ בפומבי. כופרות כמו סולארה מצפינות קבצי משתמשים, דורשות תשלום ויכולות לשבש לצמיתות את הגישה לנתונים חשובים, ולכן הגנה על מכשירים וגיבויים היא חיונית.

מה סולארה עושה

במהלך הניתוח, נצפתה סולארה מצפינה קבצים ומוסיפה את מחרוזת הטקסט '.solara' לשמות קבצים (לדוגמה, '1.png' → '1.png.solara'). התוכנה הזדונית גם שולחת הודעת כופר בשם 'read_it.txt' הטוענת שהקורבן הפעיל הגנה 'אנטי-פיצוח' ומורה לקורבנות להשיג כלי פענוח משחקן מקוון. מספר כתבות וניתוחי דוגמאות מקשרים את סולארה למשפחת תוכנות הכופר Chaos ומתארים התנהגות דומה (הצפנה, החלפת סיומת והודעת כופר בטקסט רגיל).

שטרות כופר ותביעות תשלום

הודעת הכופר שנבדקה על ידי אנליסטים טוענת כי שחזור קבצים "כמעט בלתי אפשרי" ללא כלי הפענוח של התוקף. ההערה מורה לקורבנות ליצור קשר עם משתמש דיסקורד (xenqxd) ומציעה אפשרויות תשלום כגון Paysafecard (בפולין) או סכום קטן של ביטקוין. ראוי לציין שחלק מהדוגמאות משמיטות ערוצי קשר משמעותיים, מה שיכול להצביע על קמפיין לא בוגר או דמוי מתיחה, או על מפעילים שפשוט לא מצפים לנהל משא ומתן. יש להתייחס לכל דרישות כאלה בחשדנות רבה.

האם ניתן לשחזר קבצים בלי לשלם?

באופן כללי, קבצים שהוצפנו על ידי איומי Chaos-family אינם ניתנים לשחזור ללא מפתח הפענוח המתאים. אם יש לכם גיבויים נקיים ולא מקוונים מלפני ההדבקה, שחזורם הוא הדרך הבטוחה ביותר המומלצת. תשלום אינו מומלץ, פושעים לרוב אינם מספקים אמצעי פענוח שמישים, ותשלום כספים מקדם פעילות פלילית נוספת.

וקטורי זיהום נפוצים

• תוכנות פיראטיות, גני מפתח (keygens) ושירותים "פרוצים" במסווה של תוכנות זדוניות.
• קבצים מצורפים וקישורים זדוניים לדוא"ל (פקודות מאקרו, סקריפטים, קבצי EXE של Office).
• פרסומות נגועות, אתרי הורדה פרוצים או לא רשמיים, רשתות P2P/טורנט, כונני USB ותוכנות הורדה של צד שלישי.

פעולות מיידיות אם יש חשד לזיהום

בודדו את המכונה באופן מיידי : נתק מרשתות (חוטיות/WiFi) ונתק כל כונני רשת/כוננים משותפים כדי למנוע התפשטות רוחבית.

שמור ראיות : אין לכבות מחדש את המערכת אם אתה אוסף זיכרון או ממצאים פורנזיים, במקום זאת, צלם תמונות זיכרון ודיסק אם יש לך את היכולת, או התקשר לתגובה לאירוע.

השתמש בגיבויים : שחזר מגיבויים מהימנים לאחר הסרת התוכנה הזדונית והמערכות נבנו מחדש; אין לשחזר גיבויים שייתכן שהיו מחוברים בזמן ההדבקה.

אל תשלמו אלא אם כן צוות תגובה לאירוע העריך את כל האפשרויות וההשלכות; התשלום אינו מובטח ועלול לעודד התקפות עתידיות.

נהלי אבטחה מומלצים

לשמור על הגנה מעודכנת ורב-שכבתית הכוללת את הפרקטיקות הבאות בפעילות היומיומית:

ניהול תיקונים : יש ליישם עדכוני אבטחה של מערכת ההפעלה והיישומים באופן מיידי; זני כופר רבים מנצלים פגיעויות ידועות ותויקנו.

מינימום הרשאות והיגיינת חשבונות : הפעלת משתמשים עם חשבונות שאינם מנהלי מערכת, אכיפת אימות רב-גורמי חזק עבור גישה מרחוק וחשבונות בעלי הרשאות, ומעקב אחר התנהגות התחברות חריגה.

אסטרטגיית גיבוי : צור גיבויים באופן קבוע ושמור אותם בנפרד מהרשת. אחרי הכל, גיבויים הם בקרת ההתאוששות היעילה ביותר כנגד התקפות הצפנה.

הגנת נקודות קצה ו-EDR : פרוס פתרונות זיהוי ותגובה לנקודות קצה בעלי מוניטין שיכולים לזהות אנומליות ביצוע, לחסום מטענים זדוניים ולאפשר בלימה מהירה. שמור על חתימות וטלמטריה מופעלות.

חינוך משתמשים ועמידות בפני פישינג : הכשרת משתמשים להימנע מהרצת פיצוחים/קיג'נים, לאמת שולחים וקישורים בדוא"ל, ולהתייחס בחשדנות לקבצים מצורפים בלתי צפויים. פישינג מדומים וקמפיינים להגברת המודעות מפחיתים את גורם הסיכון האנושי.

בקרות יישומים והגבלות מאקרו : השבתת פקודות מאקרו של Office כברירת מחדל, חסימה של ביצוע ממיקומים נפוצים של שימוש לרעה (למשל, %AppData%, תיקיות זמניות) והשתמשת ברשימת היתרים של יישומים במידת האפשר.

הערות סיום

סולרה ממחישה סיכונים נפוצים הקשורים לבוני תוכנות כופר הזמינים לציבור: פורקים ווריאציות מתרבים, ותוקפים מתאימים ללא הרף שיטות הפצה כדי למקד קהילות ספציפיות (דוחות מדגישים פורומי משחקים וערוצי תוכנה פיראטיים כפיתיונים סבירים). ההגנות הטובות ביותר הן מניעה, גיבויים חזקים, בלימה מהירה ועבודה עם צוותי תגובה מיומנים, ללא תשלום כופר. אם אתם חושדים בפגיעה וזקוקים לעזרה בניקוי שלב אחר שלב, אספו מדדים לדוגמה (שמות קבצים, גיבוב, טקסט הערת כופר) והתייעצו עם ספק תגובה לאירועים מהימן או עם ספק האבטחה שלכם לקבלת הדרכה בבלימה ושחזור.