לדף הבית

גל חדש של התקפות Cryptolocker


יום שני 5 ינואר 2015

התקפת Cryptolocker שמצפינה קבצים חשובים, ומציגה דרישה לתשלום עבור מפתח ההצפנה

 


מדובר בתופעה של תוכנות כופר (ransomware) שמופצות בימים האחרונים, אולם התופעה קיימת כבר כשנה וחצי.
הנוזקה מזוהה ע"י ESET בתור Filecoder והיא פועלת באמצעות טכנולוגיה שנקראת Cryptolocker אשר מקודדת קבצים בקידוד 256 ביט AES, ומגינה על מפתחות ההצפנה בקידוד 1024 RSA, מה שמונע פריצה של הקידוד באמצעים רגילים. הנוזקה מצפינה מסמכים, תמונות ואופיס במחשב, וברשתות היא מקודדת קבצים כנ"ל בתיקיות משותפות.
לאחר מכן נשלחת הודעה למשתמש או למשתמשים עם דרישה לתשלום (סכום שנע בין מאות לאלפי דולרים) בתמורה למפתח ההצפנה שיאפשר שחזור של הקבצים. בימים האחרונים ההודעה מופיעה בצורה פשוטה של קובץ readme.txt שמועתק לכל התיקיות המשותפות והתיקיות בהן הוצפנו קבצים.

 

בגל התקיפות האחרון מריצים התוקפים גם Bitcoin miner על השרת על מנת לנצל את המעבד שלו לייצור של ביטקוין עבור התוקפים.

 

ראשית כל, חשוב להבין שמדובר באיום שרק בחלק מהמקרים מגיע באמצעות וירוס. ההצפנה עצמה של הקבצים מתבצעת באמצעות כלי חינמי וחוקי שמצפין את הקבצים עם מפתח הצפנה ששמור בשרת מרוחק עליו שולט התוקף.

 

בכל המקרים בהם נתקלנו בימים האחרונים לא היה מעורב וירוס בתקיפה הנ"ל אלא אך ורק חומת אש שאיפשרה חיבור RDP בפורט ברירת המחדל 3389 ועם סיסמה פשוטה יחסית, שבאמצעותו התחבר התוקף לשרת והריץ את תוכנת ההצפנה בצורה ידנית.

 

לשימושכם מדריך מקיף שכתבנו המסייע במניעת ההתקפה - לחצו כאן >>


© כל הזכויות שמורות לקומסקיור בע"מ 2010.
סימנים מסחריים אשר בשימוש באתר זה הינם סימנים מסחריים או מותגים רשומים של ESET spol. s r.o. או ESET, LLC.
כל השמות והמותגים האחרים הם סימנים מסחריים רשומים של החברות הרשומות.