לדף הבית

התפרצות נוספת של תוכנת כופר שמצפינה מסמכים


יום שלישי 20 ינואר 2015

לקוחות ושותפים יקרים,

עדכון חשוב לגבי התפרצות נוספת של תוכנת הכופר ממשפחת Cryptolocker שפגעה (שוב) בעסקים בישראל ב 24 שעות האחרונות:

אתמול ה- 19.01.2015 באזור 12 בצהריים התקבלו פניות מלקוחות ושותפים עסקיים על נוזקת CTB-Locker שמצפינה קבצים ודורשת כופר לשחרורם. ההתקפה הנ"ל היא זן חדש שממשיך את גל התקפות הכופר Cryptolocker שהחל לפני שנה וחצי בערך, ותקף עשרות מיליוני עסקים בעולם.

איך הנוזקה פעלה?

  1. הנוזקה הופיעה בתוך קובץ ZIP שצורף לאימייל המתחזה להודעת פקס
  2. משתמש שפתח את הקובץ המצורף והפעיל אותו – הדביק את המחשב שלו מקומית בלבד (למעט אם ברגע ההדבקה, תיקיות משותפות היו פתוחות ואז גם הן נדבקו).
  3. דגימות של הנוזקה הועברו מיידית ל-ESET והחל משעה 13:00 שוחררה גרסת חתימות (מספר: 11037) שזיהתה את הנוזקה כ : Win32/Filecoder.DA.

מרגע יציאת גרסת החתימות העדכנית, הנוזקה זוהתה ונעצרה בכל תחנת עם אנטי וירוס מעודכן של ESET.

להלן רשימת האנטי וירוסים שמזהים (ולא מזהים) את הנוזקה, נכון לאתמול 19.1.2015 ב 16:00 - לחצו לצפייה.

 

מה לעשות עם רשת שנפגעה מהנוזקה?

  1. לוודא שמדובר ב CTB-Locker (השם יופיע בכותרת של ההודעה), ולא cryptolocker או ransomware מסוג אחר.
  2. לוודא שהתחנה מעודכנת (חתימה: 11037), ולהפעיל סריקה מלאה של האנטי וירוס.
  3. לבדוק בממשק הניהול שכל התחנות מותקנות ומעודכנות לחתימה 11037.
  4. לשלוח סריקה מלאה לכל התחנות והשרתים ברשת.
  5. לבצע בתחנה שנפגעה שחזור של הקבצים שהוצפנו מ Shadow copy אם קיים, או מתוכנת גיבוי.
    ניתן להשתמש בכלי החינמי הבא כדי לשחזר מ shadow copy:
    http://www.shadowexplorer.com/

כיצד להגן טוב יותר על רשתות מאיומים דומים עתידיים:

1. לוודא שיש גרסה אחרונה בתחנות ובשרתים, לפחות גרסה 5.0.XXXX בתחנות או גרסה 4.5.XXXX בשרתים.

2. לוודא שמערכת Live Grid פעילה בתחנות ובשרתים.

3.כאשר Live Grid פעילה, יש להפעיל את ההגדרה Advanced Heuristics on file execution

 

 

4. במידה ומותקנת גרסת ESET Mail Security על שרת הדואר – יש לוודא שחסימת Potentially unwanted attachments מופעלת.

ובמידה ואין הגנה של ESET על שרת הדואר (או שמדובר בשירות דואר מבוסס-ענן), מומלץ לדרוש מספק השירות או להגדיר בתוכנת האנטי ספאם: לחסום קבצי מצורפים מסוג קבצי הפעלה (מכל הסוגים) או קבצי ZIP שמכילים קבצי הפעלה.

------------------------------------------------------------------------

במידה ויש לכם שאלות נוספות , אנחנו זמינים לכם בתמיכה: 03-5263220, support@eset.co.il

 ------------------------------------------------------------------------


© כל הזכויות שמורות לקומסקיור בע"מ 2010.
סימנים מסחריים אשר בשימוש באתר זה הינם סימנים מסחריים או מותגים רשומים של ESET spol. s r.o. או ESET, LLC.
כל השמות והמותגים האחרים הם סימנים מסחריים רשומים של החברות הרשומות.