קספרסקי ומשטרת הולנד עצרו תוכנת כופר כלל עולמית

שיתוף הפעולה המתהדק בין קספרסקי (Kaspersky) לאינטרפול ולגורמי אכיפה נוספים ברחבי העולם ממשיך להביא תוצאות: לאחר שנחשף כי הם עצרו את התפשטותה של הנוזקה Simda, הודיעו ענקית האבטחה ומשטרת הולנד בסוף השבוע כי הצליחו לעצור אפליקציה שדרשה תשלום כופר כדי לאפשר לקורבנות שלה לאחזר את הנתונים של מכשיריהם.

ההכרזה בוצעה במסגרת הכנס השנתי של קספרסקי, Cyber Security, שנערך במרכז הכנסים Marina Bay Sands בסינגפור, ובכנס הגלובלי Interpol World 2015, שנערך במקביל, בו השתתף גם ניצב דני חן, ראש אגף התכנון של משטרת ישראל. בהכרזה נחשף כי הפעולה של קספרסקי ומשטרת הולנד הביאה לכך שהקורבנות של האפליקציה המדוברת, CoinVault, לא צריכים עוד לשלם את הכופר על מנת לאחזר את הנתונים שלהם, ויכולים לעשות זאת כבעבר.

הופיעה לכם תמונה כזו על המסך? סימן שנדבקתם ב-CoinVault

תוכנת הכופר פועלת מזה כמה שנים, והיא מצפינה קבצים של משתמשים תמימים ודורשת תשלום בביטקוין כדי לשחרר אותם בחזרה. על מנת לסייע לקורבנות להתאושש מהמתקפה, משטרת הולנד ומשרד התובע המחוזי של המדינה השיגו בסיס נתונים, לאחר שזיהו והשתלטו על שרתי הפיקוד והשליטה של CoinVault. בסיס הנתונים מכיל פקודות אתחול, מפתחות וארנקי ביטקוין פרטיים, ואלה סייעו למעבדת קספרסקי ולמשטרה ליצור מאגר מיוחד של מפתחות לפיענוח הצפנה. ככל שתימשך החקירה יתווספו מפתחות נוספים למאגר.

ניצב דני חן, ראש אגף התכנון של משטרת ישראל, ביקר בכנס Interpol World 2015 ופקד את הביתן הישראלי, שהיה הגדול ביותר בתערוכה, פרט לביתנה של סינגפור, המארחת. הביתן הכחול לבן אורגן על ידי מכון הייצוא והציג פתרונות של 15 חברות ישראליות שעסקו באבטחת גבולות, מניעת פשיעה ואבטחת סייבר. צילום: פלי הנמר

שני הגופים העלו לרשת מפתחות הצפנה ואפליקציית פיענוח הצפנה, כולל הוראות ברורות כיצד להטמיע אותם. כל מי שחש כי נפגע מהתוכנה מוזמן לבדוק זאת באתר, אליו העלתה קספרסקי מספר גדול של מפתחות. יוג'ין קספרסקי, מייסד, יו"ר ומנכ"ל החברה, המליץ לקורבנות שלא ימצאו תיעוד עבור ארנק הביטקוין שברשותם לבדוק שוב במועד קרוב, שכן החברה ומשטרת הולנד ממשיכים לעדכן את המאגר כל העת.

הנוזקה CoinVault פגעה במעל 1,000 מחשבים מבוססי Windows ביותר מ-20 מדינות, כשרוב הקורבנות היו בהולנד, גרמניה, ארצות הברית, צרפת ובריטניה. נרשמו קורבנות גם בבלגיה, אוסטריה, שווייץ, נורבגיה, שבדיה, לוקסמבורג, דנמרק, סלובקיה, סלובניה, ספרד, איטליה, הונגריה, אירלנד, קרואטיה, רוסיה, קנדה, איחוד האמירויות הערביות, סין, אינדונזיה, תאילנד, דרום אפריקה, אוסטרליה, ניו-זילנד, פנמה, הרפובליקה הדומיניקאנית, מכסיקו וישראל.

מומחי האבטחה של מעבדת קספרסקי ביצעו ניתוח דוגמיות של הקוד הזדוני, וכתוצאה מכך תכננו ובנו כלי לפענוח הצפנה, שיכול לפתוח קבצים ולמחוק את תוכנת הקוד הזדוני CoinVault מהמחשב הנגוע.

הכותב היה אורח החברה בכנס Interpol World 2015.