פורסם מדריך למשתמשים ולארגונים על דרכי התמודדות עם כופרות

דף הבית >> דעות ומחקרים >> מחקרים, מצגות מסמכים >> אבטחה וסייבר >> פורסם מדריך למשתמשים ולארגונים על דרכי התמודדות עם כופרות
פורסם מדריך למשתמשים ולארגונים על דרכי התמודדות עם כופרות Ransomeware
מאת: מערכת Telecom News, 7.8.19, 16:50CYBER FREE

מהי כופרה? מהו וקטור הכניסה? מהם מאפייני ההדבקה בכופרה? מהן דרכי ההתמודדות עם כופרה? מטרת המדריך לסקור את נושא הכופרות, להמליץ כיצד להיערך טרם אירוע כופרה, ולסקור את האפשרויות העומדות בפני משתמש או ארגון, שהותקפו באמצעות כופרה.

מערך הסייבר הלאומי פרסם היום לציבור המשתמשים ולארגונים מדריך להתמודדות עם כופרות.

מהי כופרה?
כופרה Ransomware היא סוג של נוזקה המשמשת לסחיטת המשתמש לתשלום כסף - דמי כופר, בד"כ באמצעות הגבלת גישה למערכות מחשב או לקבצי מידע. חלק מתוכנות הכופרה מבצעות הצפנה לקבצים על הכונן הקשיח, ובכך הופכות את תהליך הסרת ההצפנה שלא בדרך של תשלום הכופר, לקשה. תוכנות כופרה אחרות נועלות את המערכת ומציגות הודעת שווא, שלא ניתן לגשת לקבצים, כדי לתעתע במשתמש ולהמריצו לשלם. בנוסף, קיימים סוגי כופרה, שמטרתם למנוע גישה לציוד קצה מסוים - טלפון נייד, מחשב.
 
תוכנות כופרה יכולות להצפין בנוסף לקבצים בתחנת העבודה המותקפת, גם כל קובץ הנמצא בכונן משותף מחלקתי או ארגוני ברשת הארגונית, וכן בהתקן אחסון המחובר למחשב. חלקן יודעות לבצע תנועה רוחבית בין עמדות ברשת.
 
לאחר תהליך ההצפנה, תוצג למשתמש הודעה, שעמדתו הותקפה והקבצים הוצפנו. בנוסף, יוצג מידע כיצד ניתן ליצור קשר עם התוקפים, לטובת תשלום דמי הכופר באמצעות מטבעות וירטואליים, וקבלת אמצעי הפענוח. התוקפים מבטיחים לבעלי המידע, שיעבירו לידיהם את האמצעי לשחזור הקבצים - מפתח הפענוח או תוכנת פענוח, תמורת תשלום דמי כופר.
 
וקטור כניסה
דואר אלקטרוני - השיטה הנפוצה ביותר היא שימוש בדואר אלקטרוני המכיל צרופה, שנראית תמימה, או קישור לאתר המתחיל את תהליך ההדבקה בכופרה.
 
הורדת קבצים - הפניה לאתר אינטרנט המכיל נוזקות, שמנצלות פרצות אבטחה בדפדפנים להדבקת העמדה בכופרה.
 
תוכנות חינמיות - הצעת תוכנות חינמיות, שהפעלתן על ידי המשתמש תגרום להדבקת העמדה בכופרה.

RDP - חיבור מחשב מרחוק - השתלטות על מחשב, שפתוח לחיבור מרחוק והדבקתו בכופרה באמצעות חיבור זה.
 
מאפייני הדבקה בכופרה
להלן מספר מאפיינים עיקריים המצביעים על הדבקות בכופרה:

אין אפשרות לפתוח קבצים ובעת פתיחת קובץ מתקבלת הודעת שגיאה על כך, שהקובץ פגום או שהסיומת שלו שגויה.

תמונת הרקע של שולחן העבודה מוחלפת בהודעת איום עם הנחיות לתשלום דמי הכופר לטובת שחרור הגישה לקבצים. לעתים בהודעה מופיעה ספירה לאחור עד המועד בו דמי הכופר יגדלו או המועד, שלאחריו לא ניתן יהיה לשחזר הקבצים כלל.

נפתח חלון, שהמשתמש אינו יכול לסגור.

בספריות שונות מופיעים קבצים בעלי שמות כגון "כיצד לפענח הקבצים" או "הוראות לפענוח הקבצים".
 
דרכי התמודדות עם כופרה
במקרה שזוהתה התקפת כופרה, מומלץ לפעול על פי ההמלצות הבאות:

ניתוק המחשב הנגוע מכל הרשתות, שאליהן הוא מחובר, כולל רשתות קוויות ואלחוטיות כגון WiFi או Bluetooth וניתוק כל הרכיבים החיצוניים המיועדים לאחסון קבצים או התקני זיכרון נייד. המטרה היא למנוע ככל האפשר התפשטות של הכופרה באמצעות רשתות אלו לעמדות נוספות.

הימנעות מביצוע פעולות כלשהן על המחשב הנגוע - בשלב זה אין למחוק קבצים, להפעיל כלי ניקוי דיסק או סריקות אנטי-וירוס.

הבנת היקף הפגיעה - ביצוע סריקה לבירור כמות הקבצים שהוצפנו וסוגיהם. מומלץ לבדוק ב-Registry ,או בקבצים מסוימים שם הכופרה שומרת בד"כ את רשימת הקבצים, שהוצפנו על ידה.

בדקו האם לעמדה שהותקפה יש גישה ל:
תיקיות משותפות Folders Shared
כוננים קשיחים חיצוניים
אמצעי אחסון רשתיים
התקני זיכרון נייד Key On Disk
אמצעי אחסון בענן DropBox, Google Drive, Microsoft OneDrive/Skydrive וכד' 
והאם קבצים על אמצעים אלו הוצפנו.
 
בדקו באיזה סוג של כופרה מדובר - במידה וקיימים פרסומים ברשת לגבי סוג הכופרה, ניתן ללמוד מהם את היקף התקיפה הצפויה ומאפייני ההתפשטות השונים כגון:

סוגי קבצים מוצפנים.
האם מבוצעת תנועה רוחבית והצפנת קבצים ברשת או באזורי אחסון משותפים.
האם מבוצעת גישה לשירותי ענן.

עבור משפחות מסוימות של כופרות, קיימים כלי פענוח או שמפתח פענוח פורסם ע"י גורמים שונים, כגון סוכנויות אכיפת חוק או חברות אבטחה, שחקרו כופרות אלו. ניתן לחפש מידע זה באתרים שונים המרכזים מידע על כופרות, ואף עשויים להציע אפשרויות שונות לשחזור קבצים מוצפנים.

ניתן לחפש אחר הנחיות באתר, שהוקם בשיתוף משטרת ישראל - כאן.

יש לשים לב, שמשפחות כופרה מתעדכנות באופן תדיר. כך, שתוכנה או מפתח פענוח, שהיו זמינים עבור גרסה מסוימת, עלולים לא להועיל לגרסאות מתקדמות יותראם הדבר אפשרי, מומלץ לבצע פענוח קבצים במערכות הארגוניות, משום שפענוח הקבצים באמצעות שירותים חיצוניים, יחשוף את תוכן הקבצים לספק השירות.

החליטו על צעדי המשך - לאחר שידועים סוג הכופרה, סוגי הקבצים שהוצפנו וכמה קבצים נפגעו, ניתן לבחון את האפשרויות העומדות בפניכם:

שחזור הקבצים מגיבוי - במקרה, שקיימים קבצי גיבוי עדכניים, מומלץ לבחון האפשרות לשחזר את הקבצים מגיבוי .בדקו בנוסף גם את ה-Copies Shadow - העתקי צל, שיוצרת מערכת ההפעלה. כאשר מערכת ההפעלה Windows  יוצרת Point Restore לצורך שחזור, היא מייצרת Snapshot תמונת מצב של הקבצים ב-.Volume קיימות תוכנות ייעודיות היודעות לקרוא העתקים אלו ולשחזר מהם קבצים.

ניסיון לפענוח הקבצים המוצפנים, ע"י שימושבתוכנה או שירות צד ג' - עדיף להשתמש בכלי כזה רק לאחר בדיקה באמצעות מספר מנועי אנטי-וירוס, שהכלי אינו מכיל בעצמו נוזקה. בנוסף, מומלץ לבצע הפענוח באופן עצמאי במערכותיכם כדי למנוע הגעת העתק מפוענח של הקבצים לספק השירות.

לא לעשות דבר - לוותר על גישה ושימוש בקבצים בשלב זה, לגבות את הקבצים המוצפנים ולקוות, שבעתיד יימצא עבורם מפתח הפענוח או יפורסם כלי המאפשר את פענוחם.  בכל המקרים המתוארים לעיל, יש להסיר את נוזקת הכופרה עצמה.

לשם כך ניתן להשתמש בתוכנות אנטי-וירוס המזהות את הכופרה כדי להסירה, אך עדיף לפרמט ולהתקין מחדש את העמדה. זאת, כדי לוודא, שהנוזקה הוסרה לחלוטין. בנוסף, יש לנסות ולאתר את וקטור התקיפה ולטפל בו למניעת תקיפה חוזרת. ראו רשימת תיוג לפעולות השונות בנספח א" - כאן.

כיצד למנוע הדבקה?
מומלץ להתקין בהקדם האפשרי עדכוני אבטחה, שמפרסמים יצרני מערכות ההפעלה והיישומים השונים הפועלים במערכותיכם. התקנת העדכונים מפחיתה את אפשרויות התקיפה של נוזקות הכופרה Attack Of Surface ומקטינה את היכולת שלהן להצליח בשלב ההדבקה הראשוני.

מומלץ להסיר תוכנות, שאינן בשימוש. זאת, כדי למנוע שימוש בחולשות בתוכנות אלו לצורך תקיפה.

מומלץ לגבות באופן קבוע את קבצי המידע, רצוי ביותר משיטה אחת  - כונן חיצוני, התקן נייד, גיבוי לענן, גיבוי רשתי וכד'. מומלץ לוודא ,שמעת לעת חלק מקבצי הגיבוי נשמרים באופן שאינו מקווןOffline . כך, שאינם נגישים לכופרות.

מומלץ להגביל את סוגי הצרופות, שניתן לשלוח אל משתמשי הארגון, למינימום הנדרש לפעילות העסקית התקינה של הארגון Whitelist. ניתן לבחון שימוש בעמדות הלבנה המנטרלות קוד עוין אם קיים בקבצים, או בודקות באמצעות מספר שיטות הימצאות קוד מסוג זה. אם נעשה שימוש בעמדות אלו, יש לוודא, שכל קובץ המוכנס לרשת הארגון, ללא תלות באופן הכניסה - דוא"ל, הורדה מהרשת, החסן נייד, CD/DVD וכד', עובר דרכן טרם הגעתו לרשת הפנימית.

מומלץ להפעיל שיקול דעת לפני פתיחה של צרופה או הפעלת קישור בהודעות דוא"ל, וכן במסרים ברשתות חברתיות, אתרים מקצועיים וכד'. במקרה של הודעה ממקור בלתי צפוי, או אף הודעה בלתי צפויה ממקור מוכר, מומלץ לא לפתוח את הקישור/ צרופה, ולוודא מול הגורם השולח, בערוץ תקשורת שונה, האם אכן שלח את ההודעה.

במקרים בהם מופיעה התרעה ממקור כלשהו - מערכת ההפעלה, יישום, אנטי-וירוס וכד', לגבי חשד לשימוש לא ראוי בצרופות, מומלץ לא לאשר את פתיחת הקובץ ויש לדווח לגורמי אבטחת המידע הארגוניים.

מומלץ לפתוח מסמכי Office מרשת האינטרנט רק כאשר הפעלת Macros מנוטרלת ותחת View Protected. יש לחשוד בכל מסמך או הודעה המנסים לשכנע את המשתמש להסיר אמצעי הגנה אלו.

אם הדבר אפשרי מבחינה עסקית, מומלץ לנטרל הפעלת קוד JavaScript בקורא קבצי PDF.

אם אינכם עושים שימוש בסקריפטים שונים מבוססי VBS או JavaScript, ניתן לשקול לנטרל את רכיב ה-Windows Host Scripting . יש לבחון הגדרות אלו בסביבת ניסוי טרם הטמעה בסביבת ייצור.

מומלץ לשקול להתקין כלים העושים שימוש בשיטות הונאהDeception , שעלולים להסיט את פעולת הכופרה למטרה, שהוכנה לשם כך מראש, ובכך לזהותה.

מומלץ להימנע מלתת למשתמשים הרשאות מנהלן מקומי  .Local  Administrator

מומלץ לעשות שימוש במערכות כגון LAPS המנהלות את חשבונות המנהלן המקומי בעמדות בצורה מרוכזת, מגדירות סיסמה שונה לכל אחת מהעמדות, ומחליפות את הסיסמה באופן אוטומטי מעת לעת.

לפרטים נוספים ראו פרסום – כאן.

מומלץ להגדיר את ארכיטקטורת הרשת כך, שעמדות קצה תוכלנה לתקשר אך ורק עם שרתים ושירותי רשת מרכזיים, ולא ישירות עם עמדות קצה אחרות ברשת. יש לבחון ארכיטקטורה זו בסביבת ניסוי טרם הטמעה בסביבת ייצור.

מומלץ לבחון את הצורך העסקי בגישה מרחוק למערכות ארגוניות ולאפשר זאת רק עבור עמדות או משתמשים הזקוקים לכך.

מומלץ לא לחשוף עמדות נגישות מרחוק ישירות לרשת האינטרנט, אלא לאפשר גישה אליהן באמצעות תשתית  VPN  ארגונית הכוללת הצפנה מתאימה והזדהות חזקה.

מומלץ לעשות שימוש במנגנונים שונים של מערכת ההפעלה, כגון Exploit Guard ,(ASR) Attack Surface Reduction ,Application Whitelisting וכו', כדי למנוע הרצת והפעלת תוכנות לא מוכרות בעמדות הקצה. יש לבחון הגדרות אלו בסביבת ניסוי טרם הטמעה בסביבת ייצור.

מומלץ להעביר הכשרות מתאימות למשתמשים מהי כופרה ומהם הסימנים המעידים על הימצאותה. בנוסף, מומלץ לבחון שימוש בתוכנה או שירות המדמים התקפת כופרה, כדי לתרגל את המשתמשים בפועל.

מומלץ לבחון ולעדכן את מסמכי הארגון בנושא המשכיות עסקית והתאוששות מאסון, וכן לתרגל תרחישים בנושא זה באופן עיתי.
NORDVPN



 
 
Bookmark and Share


 

לוח מודעות
מחפשים הגנה מושלמת על הגלישה הניידת והנייחת ועל הפרטיות מפני כל תוקף? הפתרון הזול והטוב בעולם - כאן.

לוח אירועים וכנסים של עולם ההיי-טק - כאן.

מחפש מחקרים? מאות מחקרים עדכניים מהשנה האחרונה מצויים כאן

מחפש תוכנות חופשיות? תוכל למצוא משחקיםתוכנות לפרטיים ותוכנות לעסקיםתוכנות לצילום ותמונות, הכל בחינם.


מעוניין לבנות ולתפעל אתר אישי או עסקי מקצועי? לחץ כאן.


 




לוח האירועים המלא לגולשים מצוי כאן.

28-29/10/19 - Smart Mobility Summit 2019 

17-24/11/19 - שבוע היזמות העולמי 2019  

17-21/11/19 - Oracle Week 

3/12/19 - ועידת ההייטק החרדי 2019  

4/12/19 -  GO Mobile #8 

11/12/19 - Next Case  

12/2/20 - Teleco 2020

 

הכי ניצפים 

דירוג הסמאטרפונים הטובים ביותר בעולם לספטמבר 2019 עפ"י Business Insider - כאן

תאגיד השידור - "עלינו". איך עשו עלינו סיבוב והשאירו את אגרת הטלוויזיה - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק א': בזק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק ג' - ההפסד הצרכני - כאן

כמה מפסידים בביצועים של הפס הרחב במעבר ל"שוק הסיטונאי"? - הרבה - כאן

למה מבלבלים את המוח לציבור בנושא המכונה "שוק סיטונאי"? - כאן

למה בכלל צריך להחליף / לרכוש נתב במעבר ל"שוק סיטונאי"? - כאן

איך אני יודע כמה מגהרץ יש בחיבור LTE? מי ספק הסלולר המהיר בישראל? - כאן

חשיפת המחדל המדהים המוסתר מהציבור של הרס רשתות הסלולר - כאן

חשיפת מה שאילנה דיין לא פרסמה ב"ערוץ 2" על תעלולי השר משה כחלון - כאן

איך רבע מיליון לקוחות נפלו בפח ועברו להסדר המכונה בטעות "שוק סיטונאי" - כאן

ההגנה המושלמת על הגלישה ניידת והנייחת ועל הפרטיות מפני כל תוקף - כאן

מבחן דרך: חיבור VPN - האם זו ההגנה המושלמת על הגלישה ועל הפרטיות? - כאן

המשך חשיפת הבלוף ששמו "מהפיכת הסלולר" ואיך מסרסים את הנתונים לציבור - כאן

סיכום ביקור בסיליקון ואלי - למה 3 הגדולות משקיעות ומפתחות באותם תחומים - כאן

שלמה פילבר (עד לאחרונה מנכ"ל משרד התקשורת) - עד מדינה? הצחקתם אותי! - כאן

"יש אפליה בחקירה"? חשיפה: למה השר משה כחלון לא נחקר עד היום? - כאן

חשיפת חשד לשחיתות הדומה לזו של "תיק 4000" אך בתחום הסלולר - כאן

חשיפת ההונאה הגדולה שהובילה לכך שמוצרי התקשורת יקרים יותר בישראל - כאן

בלעדי לקוראי האתר: 1 ש"ח ליום שיחות וגלישה ללא הגבלה בחו"ל... - כאן

חשיפת מה שלא רוצים  שתדעו בעניין פריסת אנלימיטד (בניחוח בלתי נסבל) - כאן

חשיפה: איוב קרא אישר לקבוצת סלקום בדיוק מה שביבי אישר ל-Yes ולבזק - כאן

האם השר איוב קרא היה צריך בכלל לחתום על האישור, שנתן לקבוצת סלקום? - כאן

האם ביבי וקרא קבלו בכלל תמורה עבור ההטבות הרגולטוריות שנתנו לסלקום? - כאן

המסמכים בנושא בזק-Yes (תיק 4000) מוכיחים "תפירת תיק" לאיש הלא נכון! - כאן

עובדות ומסמכים המוסתרים מהציבור: האם ביבי כשר תקשורת עזר לקב' בזק? - כאן

מה מקור ה-Fake News שהביא לתפירת תיק לביבי והעלמת החשודים הנכונים - כאן

אחת הרגליים של "תיק 4000 התפור" התמוטטה היום בניצחון (כפול) של בזק - כאן

איך כתבות מפנקות הפכו לפתע לטובת הנאה שהיא מיסודות עבירת השוחד? - כאן

שערוריית הקנס הענק על בזק וחשיפת "תעודת הביטוח" של נתניהו בתיק 4000 - כאן

תיק 5000: סלקום - IBC לא תפרוס סיבים ותרכב על גב הרכוש הפרטי של בזק - כאן

ערוץ 20: "תיק תפור": אבי וייס חושף את מחדלי "תיק 4000" - כאן

התבלבלתם: גיא פלד הפך את כחלון, גבאי ואילת לחשודים המרכזיים בתיק 4000 - כאן

פצצות בתיק 4000: האם היו בכלל התנגדויות למיזוג בזק-יס? - כאן

נמצא מסמר נוסף בארון הקבורה של תיק 4000 התפור - כאן

נחשפה עוד עובדה חשובה בדרך אל ההלוויה של תיק 4000 - כאן

תיק 4000 לא הושלם: האם היועמ"ש קיבל את כל המידע הנחוץ לחקר האמת? - כאן

תיק 4000: גם תקנות התקשורת התומכות בגרסת נתניהו לא נכללו בחקירה - כאן

חשיפת שקרים נוספים בתיק 4000: הטעיית הציבור נמשכת ללא הרף - כאן

תיק 4000: נחוצה ועדת חקירה ממלכתית לגבי "אישום" שר התקשורת - נתניהו - כאן

תיק 4000: חשיפת "דבר ראשון" בעניין היועמ"ש - היבטים חמורים חדשים - כאן

תיק 4000: היועמ"ש לממשלה אישר "מיזוג" בזק-יס. צריך ועדת חקירה ממלכתית - כאן

אוסף הטעויות בתיק 4000: "אני מאשים" - לא חתרו כלל לגילוי המאת - כאן

שערוריית תיק 4000: איך יש 2 גרסאות שונות של כתב החשדות של היועמ"ש? - כאן

ערוץ 20: אבי וייס חשף טענות שגויות בכתב החשדות נגד רוה"מ בתיק 4000 - כאן

תיק 4000: חשיפת מסמך נוסף שיסייע גם הוא לחיסול תיק 4000 התפור - כאן

ערוץ 20: אבי וייס ואלי ציפורי חשפו שקרי הפרקליטות לגבי ההדלפות בתיק 4000 - כאן

תיק 4000: מתי מדוע ואיך הוא הפך מ"תיק בזק" ל"תיק תפור" ומחורר? - כאן

הספינים והשקרים בתיק 4000 חזרו. הם חלק מניסיון הפיכה שלטונית שיש לחקור - כאן

סודות ושקרים בפרקליטות והיועמ"ש: מי היה ב"ניגוד עיניינים" בתיק 4000? - כאן

תיק 4000 יושלך לפח האשפה של ההיסטוריה עקב חקירה רשלנית ללא מסמכים - כאן

תיק 4000: מסמר נוסף ענק לארון הקבורה שלו (פרי חשיפה של אלי ציפורי) - כאן

תיק 4000: בעיות זיכרון, חקירה משובשת ושקרים המכוונים להפיכה שלטונית! - כאן

חשיפות חדשות בעקבות הדלפת עדויות שלמה פילבר - "עד המדינה" בתיק 4000 - כאן






 
זרקור חברות
 
פורטינט
 
NORDVPN
 
Telecom Expert
 
טלקום אקספרטס
 
NordVPN
 
עדן אימון עסקי
 
כמה זה? השוואת מחירים
 
PIXABAY
 
Telecom Experts
 
טלי וייס
 
 
Slideshare Linkedin Twitter
Youtube Instagram Facebook
Google+ live Zappix
Bitly Vimeo Pinterest
אנדרואידאנדרואיד-ברקוד אפל ברקודאפל

 
  מהירות גלישה Your IP שירותנט
לייבסיטי - בניית אתרים