פורסם מדריך למשתמשים ולארגונים על דרכי התמודדות עם כופרות Ransomeware
מאת: מערכת Telecom News, 7.8.19, 16:50

מהי כופרה? מהו וקטור הכניסה? מהם מאפייני ההדבקה בכופרה? מהן דרכי ההתמודדות עם כופרה? מטרת המדריך לסקור את נושא הכופרות, להמליץ כיצד להיערך טרם אירוע כופרה, ולסקור את האפשרויות העומדות בפני משתמש או ארגון, שהותקפו באמצעות כופרה.

מערך הסייבר הלאומי פרסם היום לציבור המשתמשים ולארגונים מדריך להתמודדות עם כופרות.

מהי כופרה?
כופרה Ransomware היא סוג של נוזקה המשמשת לסחיטת המשתמש לתשלום כסף - דמי כופר, בד"כ באמצעות הגבלת גישה למערכות מחשב או לקבצי מידע. חלק מתוכנות הכופרה מבצעות הצפנה לקבצים על הכונן הקשיח, ובכך הופכות את תהליך הסרת ההצפנה שלא בדרך של תשלום הכופר, לקשה. תוכנות כופרה אחרות נועלות את המערכת ומציגות הודעת שווא, שלא ניתן לגשת לקבצים, כדי לתעתע במשתמש ולהמריצו לשלם. בנוסף, קיימים סוגי כופרה, שמטרתם למנוע גישה לציוד קצה מסוים - טלפון נייד, מחשב.
 
תוכנות כופרה יכולות להצפין בנוסף לקבצים בתחנת העבודה המותקפת, גם כל קובץ הנמצא בכונן משותף מחלקתי או ארגוני ברשת הארגונית, וכן בהתקן אחסון המחובר למחשב. חלקן יודעות לבצע תנועה רוחבית בין עמדות ברשת.
 
לאחר תהליך ההצפנה, תוצג למשתמש הודעה, שעמדתו הותקפה והקבצים הוצפנו. בנוסף, יוצג מידע כיצד ניתן ליצור קשר עם התוקפים, לטובת תשלום דמי הכופר באמצעות מטבעות וירטואליים, וקבלת אמצעי הפענוח. התוקפים מבטיחים לבעלי המידע, שיעבירו לידיהם את האמצעי לשחזור הקבצים - מפתח הפענוח או תוכנת פענוח, תמורת תשלום דמי כופר.
 
וקטור כניסה
דואר אלקטרוני - השיטה הנפוצה ביותר היא שימוש בדואר אלקטרוני המכיל צרופה, שנראית תמימה, או קישור לאתר המתחיל את תהליך ההדבקה בכופרה.
 
הורדת קבצים - הפניה לאתר אינטרנט המכיל נוזקות, שמנצלות פרצות אבטחה בדפדפנים להדבקת העמדה בכופרה.
 
תוכנות חינמיות - הצעת תוכנות חינמיות, שהפעלתן על ידי המשתמש תגרום להדבקת העמדה בכופרה.

RDP - חיבור מחשב מרחוק - השתלטות על מחשב, שפתוח לחיבור מרחוק והדבקתו בכופרה באמצעות חיבור זה.
 
מאפייני הדבקה בכופרה
להלן מספר מאפיינים עיקריים המצביעים על הדבקות בכופרה:

אין אפשרות לפתוח קבצים ובעת פתיחת קובץ מתקבלת הודעת שגיאה על כך, שהקובץ פגום או שהסיומת שלו שגויה.

תמונת הרקע של שולחן העבודה מוחלפת בהודעת איום עם הנחיות לתשלום דמי הכופר לטובת שחרור הגישה לקבצים. לעתים בהודעה מופיעה ספירה לאחור עד המועד בו דמי הכופר יגדלו או המועד, שלאחריו לא ניתן יהיה לשחזר הקבצים כלל.

נפתח חלון, שהמשתמש אינו יכול לסגור.

בספריות שונות מופיעים קבצים בעלי שמות כגון "כיצד לפענח הקבצים" או "הוראות לפענוח הקבצים".
 
דרכי התמודדות עם כופרה
במקרה שזוהתה התקפת כופרה, מומלץ לפעול על פי ההמלצות הבאות:

ניתוק המחשב הנגוע מכל הרשתות, שאליהן הוא מחובר, כולל רשתות קוויות ואלחוטיות כגון WiFi או Bluetooth וניתוק כל הרכיבים החיצוניים המיועדים לאחסון קבצים או התקני זיכרון נייד. המטרה היא למנוע ככל האפשר התפשטות של הכופרה באמצעות רשתות אלו לעמדות נוספות.

הימנעות מביצוע פעולות כלשהן על המחשב הנגוע - בשלב זה אין למחוק קבצים, להפעיל כלי ניקוי דיסק או סריקות אנטי-וירוס.

הבנת היקף הפגיעה - ביצוע סריקה לבירור כמות הקבצים שהוצפנו וסוגיהם. מומלץ לבדוק ב-Registry ,או בקבצים מסוימים שם הכופרה שומרת בד"כ את רשימת הקבצים, שהוצפנו על ידה.

בדקו האם לעמדה שהותקפה יש גישה ל:
תיקיות משותפות Folders Shared
כוננים קשיחים חיצוניים
אמצעי אחסון רשתיים
התקני זיכרון נייד Key On Disk
אמצעי אחסון בענן DropBox, Google Drive, Microsoft OneDrive/Skydrive וכד' 
והאם קבצים על אמצעים אלו הוצפנו.
 
בדקו באיזה סוג של כופרה מדובר - במידה וקיימים פרסומים ברשת לגבי סוג הכופרה, ניתן ללמוד מהם את היקף התקיפה הצפויה ומאפייני ההתפשטות השונים כגון:

סוגי קבצים מוצפנים.
האם מבוצעת תנועה רוחבית והצפנת קבצים ברשת או באזורי אחסון משותפים.
האם מבוצעת גישה לשירותי ענן.

עבור משפחות מסוימות של כופרות, קיימים כלי פענוח או שמפתח פענוח פורסם ע"י גורמים שונים, כגון סוכנויות אכיפת חוק או חברות אבטחה, שחקרו כופרות אלו. ניתן לחפש מידע זה באתרים שונים המרכזים מידע על כופרות, ואף עשויים להציע אפשרויות שונות לשחזור קבצים מוצפנים.

ניתן לחפש אחר הנחיות באתר, שהוקם בשיתוף משטרת ישראל - כאן.

יש לשים לב, שמשפחות כופרה מתעדכנות באופן תדיר. כך, שתוכנה או מפתח פענוח, שהיו זמינים עבור גרסה מסוימת, עלולים לא להועיל לגרסאות מתקדמות יותר. אם הדבר אפשרי, מומלץ לבצע פענוח קבצים במערכות הארגוניות, משום שפענוח הקבצים באמצעות שירותים חיצוניים, יחשוף את תוכן הקבצים לספק השירות.

החליטו על צעדי המשך - לאחר שידועים סוג הכופרה, סוגי הקבצים שהוצפנו וכמה קבצים נפגעו, ניתן לבחון את האפשרויות העומדות בפניכם:

שחזור הקבצים מגיבוי - במקרה, שקיימים קבצי גיבוי עדכניים, מומלץ לבחון האפשרות לשחזר את הקבצים מגיבוי .בדקו בנוסף גם את ה-Copies Shadow - העתקי צל, שיוצרת מערכת ההפעלה. כאשר מערכת ההפעלה Windows  יוצרת Point Restore לצורך שחזור, היא מייצרת Snapshot תמונת מצב של הקבצים ב-.Volume קיימות תוכנות ייעודיות היודעות לקרוא העתקים אלו ולשחזר מהם קבצים.

ניסיון לפענוח הקבצים המוצפנים, ע"י שימושבתוכנה או שירות צד ג' - עדיף להשתמש בכלי כזה רק לאחר בדיקה באמצעות מספר מנועי אנטי-וירוס, שהכלי אינו מכיל בעצמו נוזקה. בנוסף, מומלץ לבצע הפענוח באופן עצמאי במערכותיכם כדי למנוע הגעת העתק מפוענח של הקבצים לספק השירות.

לא לעשות דבר - לוותר על גישה ושימוש בקבצים בשלב זה, לגבות את הקבצים המוצפנים ולקוות, שבעתיד יימצא עבורם מפתח הפענוח או יפורסם כלי המאפשר את פענוחם.  בכל המקרים המתוארים לעיל, יש להסיר את נוזקת הכופרה עצמה.

לשם כך ניתן להשתמש בתוכנות אנטי-וירוס המזהות את הכופרה כדי להסירה, אך עדיף לפרמט ולהתקין מחדש את העמדה. זאת, כדי לוודא, שהנוזקה הוסרה לחלוטין. בנוסף, יש לנסות ולאתר את וקטור התקיפה ולטפל בו למניעת תקיפה חוזרת. ראו רשימת תיוג לפעולות השונות בנספח א" - כאן.

כיצד למנוע הדבקה?
מומלץ להתקין בהקדם האפשרי עדכוני אבטחה, שמפרסמים יצרני מערכות ההפעלה והיישומים השונים הפועלים במערכותיכם. התקנת העדכונים מפחיתה את אפשרויות התקיפה של נוזקות הכופרה Attack Of Surface ומקטינה את היכולת שלהן להצליח בשלב ההדבקה הראשוני.

מומלץ להסיר תוכנות, שאינן בשימוש. זאת, כדי למנוע שימוש בחולשות בתוכנות אלו לצורך תקיפה.

מומלץ לגבות באופן קבוע את קבצי המידע, רצוי ביותר משיטה אחת  - כונן חיצוני, התקן נייד, גיבוי לענן, גיבוי רשתי וכד'. מומלץ לוודא ,שמעת לעת חלק מקבצי הגיבוי נשמרים באופן שאינו מקווןOffline . כך, שאינם נגישים לכופרות.

מומלץ להגביל את סוגי הצרופות, שניתן לשלוח אל משתמשי הארגון, למינימום הנדרש לפעילות העסקית התקינה של הארגון Whitelist. ניתן לבחון שימוש בעמדות הלבנה המנטרלות קוד עוין אם קיים בקבצים, או בודקות באמצעות מספר שיטות הימצאות קוד מסוג זה. אם נעשה שימוש בעמדות אלו, יש לוודא, שכל קובץ המוכנס לרשת הארגון, ללא תלות באופן הכניסה - דוא"ל, הורדה מהרשת, החסן נייד, CD/DVD וכד', עובר דרכן טרם הגעתו לרשת הפנימית.

מומלץ להפעיל שיקול דעת לפני פתיחה של צרופה או הפעלת קישור בהודעות דוא"ל, וכן במסרים ברשתות חברתיות, אתרים מקצועיים וכד'. במקרה של הודעה ממקור בלתי צפוי, או אף הודעה בלתי צפויה ממקור מוכר, מומלץ לא לפתוח את הקישור/ צרופה, ולוודא מול הגורם השולח, בערוץ תקשורת שונה, האם אכן שלח את ההודעה.

במקרים בהם מופיעה התרעה ממקור כלשהו - מערכת ההפעלה, יישום, אנטי-וירוס וכד', לגבי חשד לשימוש לא ראוי בצרופות, מומלץ לא לאשר את פתיחת הקובץ ויש לדווח לגורמי אבטחת המידע הארגוניים.

מומלץ לפתוח מסמכי Office מרשת האינטרנט רק כאשר הפעלת Macros מנוטרלת ותחת View Protected. יש לחשוד בכל מסמך או הודעה המנסים לשכנע את המשתמש להסיר אמצעי הגנה אלו.

אם הדבר אפשרי מבחינה עסקית, מומלץ לנטרל הפעלת קוד JavaScript בקורא קבצי PDF.

אם אינכם עושים שימוש בסקריפטים שונים מבוססי VBS או JavaScript, ניתן לשקול לנטרל את רכיב ה-Windows Host Scripting . יש לבחון הגדרות אלו בסביבת ניסוי טרם הטמעה בסביבת ייצור.

מומלץ לשקול להתקין כלים העושים שימוש בשיטות הונאהDeception , שעלולים להסיט את פעולת הכופרה למטרה, שהוכנה לשם כך מראש, ובכך לזהותה.

מומלץ להימנע מלתת למשתמשים הרשאות מנהלן מקומי  .Local  Administrator

מומלץ לעשות שימוש במערכות כגון LAPS המנהלות את חשבונות המנהלן המקומי בעמדות בצורה מרוכזת, מגדירות סיסמה שונה לכל אחת מהעמדות, ומחליפות את הסיסמה באופן אוטומטי מעת לעת.

לפרטים נוספים ראו פרסום – כאן.

מומלץ להגדיר את ארכיטקטורת הרשת כך, שעמדות קצה תוכלנה לתקשר אך ורק עם שרתים ושירותי רשת מרכזיים, ולא ישירות עם עמדות קצה אחרות ברשת. יש לבחון ארכיטקטורה זו בסביבת ניסוי טרם הטמעה בסביבת ייצור.

מומלץ לבחון את הצורך העסקי בגישה מרחוק למערכות ארגוניות ולאפשר זאת רק עבור עמדות או משתמשים הזקוקים לכך.

מומלץ לא לחשוף עמדות נגישות מרחוק ישירות לרשת האינטרנט, אלא לאפשר גישה אליהן באמצעות תשתית  VPN  ארגונית הכוללת הצפנה מתאימה והזדהות חזקה.

מומלץ לעשות שימוש במנגנונים שונים של מערכת ההפעלה, כגון Exploit Guard ,(ASR) Attack Surface Reduction ,Application Whitelisting וכו', כדי למנוע הרצת והפעלת תוכנות לא מוכרות בעמדות הקצה. יש לבחון הגדרות אלו בסביבת ניסוי טרם הטמעה בסביבת ייצור.

מומלץ להעביר הכשרות מתאימות למשתמשים מהי כופרה ומהם הסימנים המעידים על הימצאותה. בנוסף, מומלץ לבחון שימוש בתוכנה או שירות המדמים התקפת כופרה, כדי לתרגל את המשתמשים בפועל.

מומלץ לבחון ולעדכן את מסמכי הארגון בנושא המשכיות עסקית והתאוששות מאסון, וכן לתרגל תרחישים בנושא זה באופן עיתי.