מתקפות כופר, מה זה ?


שימו לב, הונאת האינטרנט הנקראת מתקפת כופר זו תוכנה המושתלת דרך קובץ מצורף במייל או אפילו דרך קישור באינטרנט ומצפינה את כל קבצי המחשב, תמונות, מסמכים, בסיסי נתונים של תוכנות ייעודיות, יישומי אופיס ועוד. התוכנה מבקשת כופר לתשלום וכל עוד לא תשלמו הקבצים נעולים עד פרק זמן שרץ על המסך, במידה ולא תשלמו בזמן הקבצים ימחקו לצמיתות ולא יהיה ניתן לשחזרם. לקוחות שנפגעו מספרים שגם כאשר שילמו הקבצים לא חזרו לקדמותם. חשוב לציין שעד היום לא הצליחו לעלות מאיפה זה מגיע ומאיזה ארגון.

אז מה ניתן לעשות?

ראשית, יש לבצע גיבוי מלא מרגע קבלת מייל זה לדיסק קשיח או אם אתם בעלי עסקים ניתן לקבל פתרון גיבוי ענן לחוות השרתים שלנו.

שנית, ניתן להיעזר בהוראות הטיפול שלנו.

הוראות טיפול לפניכם :

איך הנוזקה פועלת?

  1.  הנוזקה הופיעה בתוך קובץ ZIP שצורף לאימייל המתחזה להודעה קולית.
  2.  משתמש שפתח את הקובץ המצורף והפעיל אותו – הדביק את המחשב שלו מקומית בלבד (למעט אם ברגע ההדבקה, תיקיות משותפות היו פתוחות ואז גם הן נדבקו).
  3. דגימות של הנוזקה קיימות כבר אצלנו ומזוהות בתור Win32/Filecoder.DA או Win32/Filecoder.DZ.
  4. הקובץ הנוכחי שמגיע כמצורף לאימייל ומפעיל את הנוזקה, מזוהה בתור Win32/TrojanDownloader.Waski.Fאו בתור Win32/TrojanDownloader.Elenoocka.A.

מה לעשות עם רשת שנפגעה מהנוזקה?

  1. לוודא שמדובר ב CTB-Locker (השם יופיע בכותרת של ההודעה), או  Win32/Filecoder.DA או Win32/Filecoder.DZ.
     דגש חשוב: נא לשים לב שיש וירוסים נוספים שעושים את אותה פעולה כגון cryptolocker או ransomware אחר.
  2. לוודא שהתחנה מעודכנת עם תוכנת אנטי וירוס איכותית (לא חינמית - כי אינה כוללת תמיכה בחסינות מלאה) ולהפעיל סריקה מלאה של האנטי וירוס.
  3. בעלי עסקים: לוודא אנטי וירוס בעמדות העסק ולבצע סריקה מלאה לכל התחנות והשרתים ברשת.
  4. לבצע בתחנה שנפגעה שחזור של הקבצים שהוצפנו מגיבוי שביצעתם, או מתוכנת גיבוי אם יש ברשותכם בעסק.
     ניתן להשתמש בכלי החינמי הבא כדי לשחזר מ shadow copy:
     http://www.shadowexplorer.com/
  5.  במקרים מסוימים ניתן לשחזר את הקבצים המקוריים באמצעות תוכנת שחזור (תוכנת הכופר תחילה מעתיקה את הקבצים המקוריים, ורק אז מצפינה אותם, כלומר ייתכן והקבצים המקוריים נמחקו ולכן ניתנים לשחזור. קיימות תוכנות רבות לשחזור קבצים שנמחקו – לדוגמא ניתן להשתמש בתוכנה החינמית Recuva.