תשעה טיפים למניעת מתקפות כופר בעסקים

מתקפות כופר – על מה כל המהומה וההיסטריה?

מדובר בתופעה של תוכנות כופר (Ransomware) שמופצות על ידי ארגוני פשע בשנים האחרונות.

הנוזקות מצפינות מסמכי Office ,PDF ותמונות במחשב, וברשתות הן מקודדות קבצים כנ"ל בתיקיות משותפות שיש אליהן גישה והרשאות כתיבה מהתחנה שנפגעה. אם מתבצע גיבוי לכונן חיצוני או לשיתוף קבצים בענן, גם קבצים אלה יוצפנו. לאחר מכן מופיעה הודעה למשתמש או למשתמשים על גבי שולחן העבודה, או בקובץ שנוצר בכל התיקיות שמוצפנות, עם דרישה לתשלום (סכום שנע בין מאות לאלפי דולרים) בתמורה למפתח ההצפנה שיאפשר שחזור של הקבצים.

במרבית המקרים, המשתמשים מודבקים באמצעות אימייל שמתחזה להודעת פקס, חבילה, הודעה קולית או חשבונית עם קובץ מצורף, שברגע שהוא מופעל הוא מוריד גרסה עדכנית של Filecoder ומפעיל אותה.

בחלק מהמקרים ההדבקה מתבצעת באמצעות JavaScript באתרי אינטרנט לגיטימיים שמודבקים, או מתוך אתרים נגועים שהמשתמשים מקבלים אליהם הפניה מאימיילים או רשתות חברתיות.

במספר מועט של מקרים לא מעורבת כלל נוזקה בהתקפה, והיא מתבצעת דרך RDP כאשר חיבור Remote Desktop פתוח ברשת עם סיסמה פשוטה יחסית, ואז התוקפים בדרך כלל מסירים את האנטי-וירוס ומריצים ידנית את תוכנת הכופר.

מה אפשר לעשות?

על כן, הנה מספר טיפים אשר יעזרו לכם למנוע מתקפות כופר:

● יש לוודא התקנה של אנטי-וירוס מעודכן וחוקי במחשב או בכל התחנות ברשת.

● מומלץ וחשוב לוודא שממשק הניהול מותקן על מנת להיות בבקרה ובשליטה על רמת המוגנות ברשת.

אם תשלמו – תשוחררו. אילוסטרציה: BigStock

● יש לבצע עדכוני מיקרוסופט (Microsoft) קריטיים בשרתים ובתחנות.

● יש להשתמש בחומת אש המייצרת שכבת הגנה חיונית מפני תוכנות הכופר:
• חשוב להשתמש בהתקן פיזי של חומת אש של אחת החברות המובילות, כדוגמת פורטינט (Fortinet).
• יש להשתמש בתחנות בחומת אש מתקדמת של אחת החברות המובילות במיוחד במחשבים ניידים שיוצאים מהרשת ואינם מוגנים על ידי חומת האש הארגונית. חומת האש המובנית כחלק ממערכת ההפעלה של מיקרוסופט אינה מספיקה על מנת להתמודד עם האיום הנ"ל.

● יש לסגור את הפורט של ה-Remote Desktop בחומת האש, ולסגור את ה-Service שלו במחשב או ברשת. במידה וחייבים להשתמש בו, יש להחליף את פורט ברירת המחדל מ-3389 לפורט במספר רנדומלי הגבוה מ-20 אלף.

● יש להגדיר סיסמת אבטחת מורכבת לחיבור מרחוק (באורך 11 תווים לפחות ומכילה אותיות קטנות, גדולות, מספרים ותווים מיוחדים) כדי למנוע פריצה של הסיסמא בהתקפה של Brute Force.

● יש להגדיר סיסמת הגנה לאנטי-וירוס בתחנות על מנת למנוע הסרה ידנית או נטרול שלו. לבצע גיבויים שבועיים או דו-שבועיים (מומלץ גיבוי אונליין ולא מקומי). יש לגבות כל מידע חשוב בשרתים ובתחנות, וכמובן לבצע בדיקה תקופתית של שחזור הגיבויים כדי לוודא שהם תקינים. ניתן להגדיר גיבוי של מערכת ההפעלה לתיקיות חשובות או משותפות ב-Shadow Copy של מיקרוסופט.

● יש לבטל הרשאות Administrator למשתמשים ברשת – ההתקפות הללו מאתרות פרצות דרכן ניתן לרוץ על הפרופיל המקומי ובאמצעותו להדביק את שאר הרשת. מומלץ שלא לאפשר הרשאות כתיבה לתיקיות משותפות בהן למשתמש אין צורך בשינוי או הוספה של קבצים.

● יש לחסום סיומות EXE ו-SCR בתוכנת האנטי-וירוס שסורקת את הדוא"ל – במקרים רבים מודבקים מחשבים באמצעות קובץ EXE או SCR שמצורף לאימייל. באופן כללי, אין סיבה שקבצי הפעלה ישלחו למשתמשים ברשת, ולכן מומלץ לאכוף מדיניות של חסימת סיומות של קבצי הפעלה, ובמיוחד קבצי EXE ו-SCR.

ומה לעשות אם כבר נפגעתם מתוכנת כופר?

● מומלץ שלא לשתף פעולה עם העבריינים הדורשים כופר – במקרים רבים גם לאחר תשלום הכופר לא מועבר מפתח ההצפנה ולא ניתן לפתוח את הקבצים. כמו כן, הפעולה תעודד את העבריינים לתקוף את המחשב או הרשת בהמשך.

● לאחר ביצוע הפעולות המומלצות להתגוננות, שמטרתן לוודא שלא קיים וירוס פעיל במחשב או ברשת, ניתן לשחזר את הקבצים מהגיבוי.

● לשחזר את הקבצים מתוך Shadow copy – במידה והיה פעיל באותה התיקייה, בשימוש במדריך מיקרוסופט. גם כאן חשוב לבצע קודם לכן את הפעולות המומלצות להתגוננות.

● לשחזר את הקבצים המקוריים – חלק מגרסאות ה-Ransomeware מעתיקות את הקבצים המקוריים, ורק לאחר מכן מצפינות אותם. במקרים אלה ניתן לנסות לשחזר את הקבצים המקוריים שנמחקו. חשוב לזכור שככל שיהיה שימוש נוסף בתחנה לאחר הפגיעה, יכתבו קבצים נוספים במיקום הפיזי של הקבצים שנמחקו, ולא יהיה ניתן לשחזר אותם.

● לבדוק מהו המחשב הנגוע שממנו קודדו הקבצים – במקרים בהם מוצפנים קבצים בתיקיות משותפות בשרתים, ניתן לבדוק מהי התחנה ממנה הם הוצפנו על ידי בדיקה של הבעלות על הקבצים, ולנקות את התקנה על מנת שהקבצים לא יוצפנו מחדש לאחר שחזור.

הכותב הינו מנהל הטכנולוגיות של ESET.