Traders Ransomware
תוכנות כופר נותרות אחת מהאיומים המהירים והמשבשים ביותר העומדים בפני יחידים וארגונים. פריצה מוצלחת אחת יכולה להצפין שנים של עבודה, לחשוף נתונים פרטיים ולגרום להשבתות יקרות. שמירה על מידע על בעיות פעילות ויישום הגנות רב-שכבתיות מפחיתות באופן דרמטי הן את הסבירות והן את ההשפעה של מתקפה.
פרופיל איום - מה זה 'סוחרים'?
Traders היא תוכנת כופר להצפנת קבצים, שנצפתה על ידי אנליסטים של אבטחה במהלך חיפוש איומים וחקירות תוכנות זדוניות. לאחר שהיא צוברת אחיזה במערכת, היא מצפינה נתוני משתמש ומשנה שמות קבצים כדי לסמן את הקבצים כבני ערובה. לאחר מכן, המפעילים דורשים תשלום בתמורה למפתח פענוח, תוך הפעלת לחץ באמצעות איומי דליפת נתונים.
סמני קבצים נפרדים - כיצד הנתונים שלך משתנים בשם
לאחר ההצפנה, Traders מוסיף מזהה ספציפי לקורבן ואת הסיומת '.traders' לכל קובץ שנפגע. התבנית כוללת את מזהה הקורבן בסוגריים מרובעים, מה שמקל על זיהוי הקובץ בין תיקיות. לדוגמה:
- 1.png הופך ל-1.png.{C4FD8BC0-B92C-3E50-0D54-A8AAE232AC39}.traders
- 2.pdf הופך ל-2.pdf.{C4FD8BC0-B92C-3E50-0D54-A8AAE232AC39}.traders
שטר כופר - דרישות ותביעות התוקפים
סוחרים שולחים הערה בשם 'README.TXT'. ההודעה מציינת כי מסמכים, תמונות, מסדי נתונים וקבצים יקרי ערך אחרים הוצפנו וטוענת כי שחזור דורש מפתח פרטי ייחודי המוחזק על ידי התוקפים. ההערה בדרך כלל מרתיעה ניסיונות פענוח עצמיים על ידי אזהרה כי כלים לא מתאימים עלולים לפגוע בנתונים באופן בלתי הפיך. היא מספקת נקודות קשר, כתובת דוא"ל ('traders@mailum.com') ומזהה שליח Session, שדרכו הקורבנות מתבקשים לנהל משא ומתן.
סחיטה כפולה - גניבת נתונים כמינוף
מעבר להצפנה, הפתק מאיים כי נתונים שהוגנבו יימכרו או יפורסמו אם לא יבוצע תשלום. טקטיקת "סחיטה כפולה" זו מבקשת לאלץ קורבנות המסתמכים על גיבויים על ידי הוספת סיכונים תדמיתיים, משפטיים ופרטיות למשוואה.
מציאות ההחלמה - מה באמת עוזר
קבצים שננעלו על ידי תוכנות כופר מודרניות בדרך כלל מתקשים לשחזר ללא כלי פענוח של התוקפים. נתיבי שחזור מעשיים מוגבלים לגיבויים נקיים ולא מקוונים שלא היו נגישים במהלך האירוע. תשלום הכופר אינו מומלץ בתוקף: אין ערובה לקבלת כלי פענוח תקינים, והתשלום מלבה פעילות פלילית נוספת.
בלימה והשמדה - פעולות מיידיות
אם מתגלה Traders, יש לבודד את המכונות שנפגעו מהרשת באופן מיידי כדי לעצור הצפנה נוספת והתפשטות רוחבית. יש לשמור על ממצאים פורנזיים, כולל פתק הכופר, דוגמאות של קבצים מוצפנים ויומני רישום רלוונטיים. יש להשתמש בפתרון אנטי-וירוס/EDR בעל מוניטין כדי להסיר את המטען וכל מנגנון ההתמדה. לאחר ההשמדה, יש לבנות מחדש או ליצור תמונה מחדש של מערכות שנפגעו, לסובב אישורים ולבצע ביקורת על מפתחות גישה ואסימונים. רק לאחר מכן יש להתחיל לשחזר נתונים מגיבויים מאומתים תוך ניטור קפדני לאיתור הדבקה חוזרת.
גישה ומסירה ראשונית - כיצד סוחרים מגיעים למערכות
כמו משפחות רבות של תוכנות כופר, Traders מועברת דרך ערוצים מרובים. נקודות כניסה נפוצות כוללות קבצים מצורפים או קישורים זדוניים בדוא"ל, תוכנות טרויאניות או פיראטיות (כולל keygens ו-cracks), פיתויים מזויפים של תמיכה טכנית וניצול פגיעויות שלא תוקנו. גורמי איום גם מנצלים לרעה פרסום זדוני, אתרים פרוצים או דומים, מדיה נשלפת נגועה, רשתות P2P, פורטלי הורדה של צד שלישי וסוגי קבצים ממולאים כגון מתקינים ניתנים להרצה, מסמכי Office או PDF עם פקודות מאקרו או סקריפטים מוטמעים, וארכיונים דחוסים (ZIP/RAR) שפורקים קבצים מפורקים.
חזקו את ההגנה שלכם - נהלי אבטחה חיוניים
- שמור גיבויים לא מקוונים.
- עדכון מהיר. תן עדיפות לשירותים הפונים לאינטרנט ואפשר עדכונים אוטומטיים במידת האפשר.
- פרוס תוכנת אבטחה בעלת מוניטין עם הגנה בזמן אמת, חסימת התנהגות וגישה מבוקרת לתיקיות.
- הקשחת RDP וגישה מרחוק. השבתה אם אין צורך, הגבלה באמצעות רשימת היתרים/VPN, דרישה של MFA, וניטור של כניסות בכוח ברוט או חריגות.
- השבת פקודות מאקרו וסקריפטים מסוכנים. חסום פקודות מאקרו של Office מהאינטרנט, הגבל את PowerShell למצב שפה מוגבלת עבור אנשים שאינם מנהלי מערכת, ובקר ביצוע סקריפטים.
- דפדפנים והורדות מאובטחים. השתמשו רק בשירותים בעלי מוניטין, חסמו דומיינים זדוניים ידועים והימנעו ממורידים חיצוניים וממקורות P2P.
מחשבות אחרונות
תוכנת הכופר של סוחרים משלבת הצפנה חזקה עם לחץ סחיטה, מה שהופך את ההכנה להגנה הטובה ביותר. שמרו על תקינות המערכות, אכיפת גישה בעלת הרשאות מוגבלות, פריסת הגנה מתאימה לנקודות קצה, פילוח רשתות, ובעיקר, שמרו על גיבויים לא מקוונים שנבדקו. אם אתם כבר מושפעים, התמקדו בבלימתם ובתיקון מקצועי במקום בתשלום.
