עמוד הבית > אבטחת מידע > WannaCry – מתקפת וירוס-כופר הגדולה ביותר
וירוס כופר wannacry

WannaCry – מתקפת וירוס-כופר הגדולה ביותר

מתקפת הסייבר הגדולה בהיסטוריה החלה להתגלגל ביום שישי, ה-12.05.2017 ופגעה ביותר מ-100 מדינות ב 75 אלף התקפות מזוהות. ההתקפה הנרחבת הכתה קשות בעשרות בתי חולים בבריטניה וכן פגעה בתשתיות לאומיות כמו בנקים, חברות ביטוח וחברות תקשורת.

התכנה הזדונית בהתקפה הנוכחית הופצה על ידי קבוצת האקרים המכונה "Shadow Brokers". יעדי הפריצה הנם מחשבים עם מערכת "חלונות" של חברת מיקרוסופט. למעשה, כבר מספר חודשים לפני ההתקפה פרסמו במיקרוסופט כלי הגנה, אך מכיוון שבארגונים גדולים יש נטייה לעכב את עדכון מערכות המחשב, הפכו אלה לטרף קל עבור האקרים. כמקובל בווירוס כופר, הנוזקה הנוכחית נועלת את המחשבים ודורשת תשלום כופר באמצעות מטבע הוירטואלי המכונה "ביטקוין", זאת בכדי לקבל מפתח הצפנה עבור לשחרור הנעילה. המשתמשים שנפגעו קיבלו הודעה "Ooops, your important files are encrypted" (אופס, הקבצים החשובים שלך הוצפנו) ונדרשים לשלם כופר לשחרור המידע.

מזה וירוס כופר?

בשנים האחרונות אנו רואים עליה משמעותית בתפוצת וירוס הכופר וכיום מדובר על איום-הסייבר הממשי והנפוץ ביותר. הווירוס נועל את קבצים, מחשבים, שרתים מצפין את המידע ודורש תשלום כופר לשחרורו.
קיימות גרסאות רבות של הווירוס וההפצה שלו מבוצעת ע"י גורמים שונים מכל העולם. תפוצתו הגדולה של הווירוס נובעת מעצם היותו "מודל עסקי" המכניס כסף רב לתוקף להבדיל מגרסאות וירוסים אחרות המכוונים לגרימת נזק בלבד ואינם מייצרים הכנסה לתוקף.

וירוס כופר גרסת WannaCry

WannaCry (רוצה לבכות) הנה גרסה של וירוס כופר המבוססת על כלי פריצה שפותח ע"י ה NSA (הסוכנות לביטחון לאומי של ארה"ב). הווירוס מצפין גם את המידע וגם את גרסאות השחזור המקומיות (Shadow Volume Copies). הווירוס מופץ באמצעות המייל וברגע שנפתח פוגע בכל רשת המחשבים. קבצים שהוצפנו יזוהו עם סיומת "wcry" ועל המחשב תופיע תמונה עם דרישת הכופר. בחלק מהמקרים הנעילה היא לא רק לקבצים אלא למחשב כולו.
דרישת הכופר מבקשת תשלום של 300$ ולאחר שלושה ימים הסכום מכפיל את עצמו ולאחר מכן המידע ימחק והנתונים יאבדו לנצח. במקרים רבים של תשלום כופר דרשו החוטפים לאחר התשלום הראשוני, תשלום גבוה  יותר וזאת באופן משמעותי. בחלק מהמקרים הסכומים משתנים ויכולים להגיע לאלפי דולרים ואף יותר.
הקבצים מוצפנים ע"י הצפנה של AES-128
סוגי הקבצים המוצפנים:

.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .aes, .ai, .ARC, .asc, .asf, .asp, .avi, .backup, .bak, .bmp, .brd, .c, .cgm, .class, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .dif, .dip, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .n, .nef, .odb, .odg, .odp, .ods, .odt, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh, .sin, .slk, .sql, .sqlite3, .sqlitedb, .stc, .std, .stw, .suo, .swf, .sxc, .sxd, .sxm, .sxw, .tar, .tarbz2, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip.

WannaCry

שוטר סיני לאחר שנפגע מווירוס WannaCry

וירוס כופר – הנזקים

כמו כל פגיעה במערכות מידע, פגיעת וירוס כופר בעלת משמעות רבה וזאת מעבר לפגיעה בקבצים. חוסר זמינות של מערכות המחשוב מהווה נזק ישיר לגופים ציבוריים, ארגונים, בעלי עסקים וחברות. אלה ניזוקים במגוון דרכים הכוללות נזק כלכלי, חשיפה לתביעות, פגיעה תדמיתית וכו'. בתי חולים עלולים לאבד מידע חיוני על חולים. חברות בורסאיות מחויבות לדווח על אירוע אבטחה שיכול לפגוע במוניטין שלהן ולגרום לנזקים עקיפים של סכומי עתק. עבור עסקים קטנים לאיבוד מידע משמעות עצומה ואף פטלית. זאת עקב אבדן מידע חיוני לפעילותו התקינה של העסק כמו ספרי הנה"ח, רשימת לקוחות, הסכמים , תכניות עסקיות – נזקים שעסק פשוט לא יכול לשקם ולבנות מחדש אם לא היה ברשותו גיבוי אמין.

כיצד תגנו על המידע העסקי

הגנה על המידע הממוחשב בארגון מתחלק לשניים: רפואה מונעת ומערכות השיקום.
יש להשקיע את המרב ברפואה מונעת. עם זאת, אף מערכת לא יכולה להבטיח הגנה של 100% ולכן יש לדאוג לתכנית שיקום מסודרת.

  1. גיבוי – גיבוי מידע היא הדרך היחידה לשיקום במקרה של פגיעה. לא כל גיבוי יכול להגן על המידע ונדרש גיבוי מקצועי ועדיף גיבוי מנוהל הכולל בקרות אנושיות, שיחזור יזום תקופתי ובקרת מדיניות גיבוי ע"י גורם מקצועי.
    גיבוי  מקומי לדיסק, או לאחסון בענן כמו Dropbox, גוגל דרייב או כל שירות אחסון קבצים בענן אינו מהווה גיבוי ואף מעלה את רמת החשיפה לפגיעה במידע.
  2. עדכוני תוכנה – עדכוני מערכת הפעלה, מערכות אבטחה, ותכנות הם הבסיס לאבטחת המידע בארגון. שימוש בתכנות לא עדכניות הנו חור האבטחה הראשון שדרכו יחדרו האקרים לארגון. כאמור, לוירוס WannaCry שוחרר עדכון אבטחה המגן על מחשבים מעודכנים, אך אם אתם משתמשים בתכנות לא חוקיות רמת החשיפה שלכם גדלה, מכיוון שאלו אינן מאפשרות עדכוני-אבטחה.
    אם יש לכם ברשת מחשבים עם מערכות הפעלה ישנות כמו Windows XP אתם חושפים את כל הרשת לפגיעה. מערכות הפעלה ישנות אינן זוכות לעדכוני אבטחה כלל ולכן מומלץ להפסיק לעבוד איתן.
  3. אבטחה מנוהלת – אנטי וירוס ומערכת Firewall הן חובה בכל רשת ארגונית אך יש לוודא שמדובר במערכות עדכניות ומנוהלות. שירות לא מנוהל, אינו מתוחזק ומבוקר וכנראה שאינו מעודכן.
  4. הדרכת עובדים – עיקר הפגיעות נעשות בגלל חוסר מודעות של עובדים. מערכות אבטחה מתקדמות לא ימנעו טעות של עובד ולכן חשוב להקפיד על שגרת הדרכות ותרגולים לעובדים בכדי שיכירו את הסכנות העדכניות ונהלי העבודה הנכונים.
  5. המשכיות עסקית – תכנית פעולה למקרה אסון נדרשת בעיקר בארגוני ענק, אך גם ארגונים קטנים יכולים לבנות לעצמם תכנית בסיסית שתבטיח טיפול יעיל ואפקטיבי ביום של פגיעה במידע.

שאלות נפוצות בנושא וירוס כופר

נפגעתם ואתם לא יודעים מה לעשות? רוצים לדעת אם אתם מוגנים? האם לשלם את הכופר?
עמוד שאלות נפוצות מאתר ransomware.co.il

קישורים רלוונטים:

צור קשר

צור קשר

מעוניין לשמוע פרטים נוספים?
השאר פרטייך לשיחת חינם עם יועץ.

בדוק גם

wifi

WiFi לעסקים – תקשורת אלחוטית יציבה ומאובטחת

WIfi לעסקים מהווה את תשתית התקשורת העיקרית היום במרבית הארגונים. נפח השימוש גדל מיום ליום ודורש …

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *