מתקפת קריפטו: המצפין שיהרוס לכם את המידע הארגוני

‏זה עלול לקרות בכל רגע. קיבלתם אי-מייל תמים, פתחתם קובץ מצורף, ועד שנפתח המסמך אסון התרחש ברשת המידע הארגונית שלכם.

מהו קריפטו לוקר?

קריפטו לוקר הוא כינוי לאפליקציית כופר (Ransomware) – מתקפה המצפינה את כל המידע החשוף במחשב המקומי או ברשת הארגונית. כשארגון מצפין את המידע של עצמו זה מצוין, אבל הבעיה העיקרית של מתקפה זו שבמקום לאפשר לנו, לבעלי המידע, לראות אותו במצבו הטבעי היא שולחת את מפתח ההצפנה לאתר או מחשב מרוחק ומותירה אותנו עם מאות, אלפי, ואפילו מיליוני קבצים שמעתה, במקום מידע חיוני, מכילים ג'יבריש חסר תועלת. מיד לאחר מכן נקבל הודעה, וכמו בסרט קולנוע לא מתוחכם במיוחד, תבקש מאתנו לשלם כופר עבור מפתח ההצפנה באמצעות רשת הדארק-נט ומטבע הביטקוין (Bitcoin), שכמעט ואינם ניתנים למעקב ואיתור. חשוב להבין, מכיוון שההצפנות של תוכנות אלה חזקות יחסית, בייחוד בגרסאות החדשות והמשופרות שלהן, ניסיונות פיצוח לא יועילו. הם יגבו מכם יותר מידי משאבים ובדרך כלל יותירו אתכם מאוכזבים, עם המון זמן שבוזבז אבל מבלי להציל את המידע.

האפליקציה מפיצה את עצמה בדרך כלל באמצעות הונאות פישינג למיניהן כמו שליחת מייל בו השולח מתחזה לבנק שלך או באמצעות שליחת מספר מעקב של שירות משלוחים אשר בלחיצה על כפתור מראה את סטטוס החבילה שמעולם לא שלחת, אבל הלחיצה הזו תגרום לך ליפול קורבן למתקפה.

מה עלול להיפגע?

קריפטו, על גרסאותיו השונות, הוא תוכנה המנצלת באופן יעיל למדי את הגישה של המשתמש למידע. כלומר, מחשב שנדבק בתוכנה יתחיל להמיר את כל הקבצים אליו תהיה לו גישה; קבצי אופיס, דטה, קבצים בכוננים מקומיים, שרתים ואפילו את החלק במערכת ה-DR (התאוששות מאסון) המעתיק את המידע אליו למחשב יש הנגוע יש גישה. כלומר, ההרס עלול להיות טוטאלי.

אז מה עושים?

לאחר הפגיעה אין יותר מדי מה לעשות. את נוזקות הקריפטו ניתן אמנם להסיר באמצעות כמעט כל אנטי וירוס מעודכן, אבל הקבצים עצמם שנדבקו יוותרו במצבם עד שתצליחו להשיג את מפתח ההצפנה. השגה של המפתח הזה כרוכה בכניעה לסחיטה, ומכיוון שמדובר במו"מ עם פושעים, איש אינו מבטיח לכם שגם אם תשלמו תקבלו את המידע בחזרה.

איך מתמודדים עם קריפטו?

כמו כלבת, למחלה הזו אין תרופה יעילה, אבל חיסון יש ויש. ההתמודדות מורכבת מכמה נדבכים. ראשית, אתם זקוקים למערכת גיבוי יעילה שמסוגלת לשחזר את המערכת למספר רב של נקודות זמן ביממות הקודמות להידבקות. הרעיון המרכזי הוא להתחיל לשחזר את המערכת הארגונית לסביבה ניסויית (סביבת טסטים) בכל פעם בנקודת זמן אחר, על מנת לתפוס את רגע הזהב- השעה האחרונה לפני שנדבקתם, השעה לפני שהקריפטו החל להצפין את המערכת. ישנן מערכות כגון Arcserve UDP או Druva, המאפשרות להקים את אותה סביבת המחשוב על גבי מערכת ההתאוששות מאסון (DR) האירגונית. צורת עבודה זו מאפשרת למערכת להתאושש בצורה כמעט מושלמת מאחורי הקלעים, ורק לאחר שהשתכנענו שהכל עובד, להחזיר את הקבצים הבריאים למערכת הייצור ולהמשיך קדימה, כל זאת, מבלי להיכנע לסחיטה.

ממה צריך להיזהר?

לפני שמתחילים בתהליך השחזור חייבים לבדוק שהנוזקה הוסרה לחלוטין. הסיבה ברורה; אם לא הסרתם אותה כל קובץ שתחזירו יוצפן מיידית. זאת ועוד, אם תאפשרו גישה של המערכת הנגועה אל מערכת הגיבוי, היא עלולה להדביק אותה ולהרוס את המידע בה. לכן, חשוב לבצע את התהליך בזהירות ולהיעזר במומחים שכבר ביצעו עבודות דומות בעבר. אחרי הכול, זה המידע הקריטי שלכם.

עומר יפהר הוא מומחה טכנולוגי בחברת שארקסרב