הגעתם לעבודה, הדלקתם המחשב, לחצתם על המסמך עליו אתם עובדים כבר מספר חודשים, אתם צריכים לבצע תיקונים אחרונים לפני שליחה ללקוח המסמך לא נפתח …
קופצת הודעת שגיאה מאיימת הדורשת מכם לשלם כופר בכדי לקבל את הסיסמא אשר תשחרר את הקובץ שלכם, וכך גם נדבקים שאר המסמכים ברשת.
תרחיש הבלהות הזה, למרבה הצער, אינו פרי דמיוננו אלא תופעת סייבר ההולכת וצוברת תאוצה, ועונה לשם Ransomware ובעברית – כופרה .
מדובר בשם כללי למשפחת קוד מסוג נוזקה (וירוס) החודרת למערכת ומצפינה את הקבצים, שכדי לשחררם יהיה עליכם לשלם להאקר “כופר” הנע בין 400 ל-1,0000 יורו, ולעיתים סכומים גדולים הרבה יותר.
בשבועות האחרונים טיפלנו במספר לא מבוטל של אירועים כאלו בצורה יעילה ואינטנסיבית , איתרנו את מקור הוירוס, הסרנו את כל הקבצים שהוצפנו, ביצענו שחזורים מגיבוי לכל החומרים האבודים שהוצפנו במהירות המרבית , כדי שהלקוחות יוכלו לחזור לעבוד כרגיל , ללא איבוד מידע קריטי ובזמן הקצר ביותר.
אנחנו בגלובל נטוורקס דואגים לבדוק את הגיבויים של לקוחותינו מידי יום וזאת בכדי להמנע מאובן מידע שהוא הערך הקריטי עבור כל עסק .
לפניכם מספר דוגמאות של חברות שנדבקו בכופר, איבדו חומר רב, ונאלצו לשם עשרות אלפי דולרים:
עיריית נצרת עילית – בעירייה מתלבטים אם להיענות לבקשת הכופר של 10,000 שקלים שביקש ההאקר, או להסתכן באיבוד הקבצים החיוניים לתפקוד העיר
http://www.nrg.co.il/online/1/ART2/849/279.html
משרד רו”ח מוביל – קיבלו מייל הנראה תמים. ואולם, עם פתיחתו חדר המייל לתוך המחשב, נכנס לתוך הרשת הפנימית ונעל קבצי אקסל שולחי המייל דרשו כופר של 400 אירו בביטקוין המשרד שילם, אך הקבצים לא שוחררו.
http://www.globes.co.il/news/article.aspx?did=1000921759
בית מלון – האקרים השתלטו על דלתות החדרים במלון, דרשו כופר עבור שיחרור האורחים
http://www.geektime.co.il/hotel-paid-ransom-to-hackers/
בית חולים – תוכנת הכופר שפגעה במחשבי המרכז הרפואי הפרסבטריאני בהוליווד לפני יותר משבוע הצפינה את הקבצים ומפעיליה דורשים 3.6 מיליון דולר בכדי לשחרר את המחשבים
http://www.haaretz.co.il/captain/software/.premium-1.2853463
שימו לב!
בכדי לחזק את מנגנוני ההגנה נדרשת תשומת הלב שלכם.
א. אל תפתחו מיילים לא מזוהים, בדגש על מיילים עם קבצים מצורפים.
ב. לא ללחוץ על לינקים ממקור לא ידוע או חשוד.
ג. להקשיח את הססמאות בארגון, ססמאות פשוטות מהוות פרצות אבטחה דרכן חודרים וירוסים וכופרות.
ד. עדכנו את מערכת ההפעלה של מיקרוסופט – ככלל, מומלץ לוודא כי ביצוע עדכוני מערכת הפעלה מוגדר לביצוע אוטומטי.
ה. סגרו את פורט 445 – שירות ה SMB עובד בפורט 445, ולכן מומלץ לסגור אותו בחומת האש לחיבורים מחוץ ל LAN.
ו. בדקו האם המערכת פריצה – ברשותינו מגוון כלי בדיקה .
ז. סגרו את שירות ה SMB – במידה ולא ניתן לבצע מיידית את עדכוני האבטחה של מיקרוסופט, יש לחסום את הגישה מבחוץ לשירות ה SMB באמצעות חומת האש. ניתן גם לנטרל מקומית (מומלץ לכלל הרשת דרך GPO) את שירות ה SMB דרכו מתבצעות מרבית ההתקפות.
