הפתעה: לא צריך לשלם כופר לכופרת WaanaCry

ניתן לאחזר קבצי מידע שננעלו והוצפנו בעקבות חשיפה ל-WaanaCry, הכופרה שהתגלתה לפני כשבוע, ולעשות זאת בלא שימוש בגיבויים, אם אלה אכן בוצעו, ובלא צורך בתשלום דמי הכופר, כך על פי CyberGrip, חברת הסייבר הישראלית.

חוקרי החברה הישראלית בדקו תוכנה אותה פיתחו שלושה חוקרי אבטחה. הצוות כלל את אדריאן גואינט, מומחה אבטחה, מתיו סואישה, האקר בעל שם בינלאומי, ובנימין דלפי, עובד בבנק דה פראנס (Banque de France), שסייע להם אחרי שעות העבודה שלו, בלילות.

השלושה הזהירו מראש כי הפתרון שפיתחו יכול לעבוד רק בתנאים מסוימים, שהחשוב שבהם הוא שהמחשב לא עבר פירמוט ואתחול לאחר שהודבק בכופרה. מרכז הסייבר של הסניף האירופי של אינטרפול (Interpol), יורופול (Europol), בדק את הכלי והודיע כי "הוא עובד במקרים מסוימים".

אדם פלד, הבעלים של CyberGrip. צילום: יח"צ

לדברי אדם פלד, הבעלים של CyberGrip, "נדמה כי הכופרה הצליחה הרבה מעבר למשוער ולתכנון של הכותבים אותה. היא אמנם התפשטה מהר והצליחה להשבית מערכות קריטיות ברחבי העולם, אולם בפועל היא טורפדה בצורה מהירה יחסית, וגם שווי ההכנסות מדמי הכופר שנדרשו הסתכם בעשרות אלפי דולרים בודדים בסך הכל".

לדבריו, "אף שהגילוי שלנו מוציא את העוקץ מהכופרה ששיגעה את העולם בשבוע שעבר – לא נמעיט בערכה ונמליץ על עדכוני תוכנה רציפים ובדיקות חדירה תכופות, כדי לוודא שהארגון לא נחשף לנוזקות אלימות יותר בעתיד".

להלן לינק להורדת סרטון הדגמה. על מנת לשחזר את הקבצים, יש להוריד את התוכנה שהחוקרים פיתחו למחשב הנגוע ולפעול לפי ההוראות הרשומות כאן.

לדברי פלד, "התוכנה מצליחה בדרך כלל לשחזר את מפתח ההצפנה של הקבצים – כל עוד לא בוצע אתחול למחשב. לאחר שחזור המפתח, ניתן בעזרת תוכנה נוספת – כפי שמצוין בהוראות – לשחזר את כל הקבצים במחשב".

צפון קוריאה מכחישה

בתוך כך, צפון קוריאה הכחישה כי היא עומדת מאחורי מתקפת הסייבר הענקית. "קישור בין מתקפת הסייבר ובין צפון קוריאה הוא מעשה שטות מגוחך", אמר קים אין ריונג, סגן שגריר המדינה באו"ם.

"בכל פעם שקורה משהו מוזר, מתחיל תהליך מכוער של הדבקת תוויות על ידי ארצות הברית ושאר המדינות העוינות אותנו, עם קמפיין הטופל על צפון קוריאה אשמות שווא".

בתחילת שבוע שעבר פורסם כי ייתכן כי מאחורי מתקפת הסייבר הענקית הבינלאומית עומדת קבוצת ההאקרים לזרוס (Lazarus Group) – קבוצה שזוהתה בעבר כמקושרת עם צפון קוריאה, כך מסרו סימנטק (Symantec) וקספרסקי (Kaspersky Lab).

שתי החברות אמרו כי מוקדם לדעת אם צפון קוריאה אכן מעורבת במתקפת הסייבר הענקית, בהתבסס על הממצאים אותם פרסם ניל מהטה, חוקר אבטחה בגוגל (Google). המתקפות הן מהמהירות שבין מסעות הסחיטה שהופיעו אי פעם.

שתי חברות האבטחה אמרו שהן צריכות ללמוד את הקוד של הכופרה יותר לעומק, וביקשו סיוע מגורמים אחרים בלימוד ובסיוע בחקירה. זאת, בשל העובדה כי פעמים רבות האקרים עושים שימוש חוזר בחלקים משורות הקוד המרכיבות את הנוזקות.

הנזק החמור ביותר – למערכת הבריאות הבריטית

גורמי ביטחון בארצות הברית ובאיחוד האירופי אמרו כי מוקדם לומר מי עומד מאחורי המתקפות, אך לא שללו את צפון קוריאה כחשודה במעשים.

רשת ההאקרים הצפון קוריאנית, לזרוס, ביצעה מתקפות נגד 31 בנקים ברחבי העולם. קבוצה זו קושרה גם למתקפת הסייבר הגדולה שאירעה לפני כמה שנים נגד סוני (Sony).

לזרוס גם קושרה למתקפת הסייבר הענקית שאירעה בשנה שעברה, באמצעות ניצול לרעה של SWIFT – רשת הקישוריות בין בנקים בעולם.

ההאקרים תקפו את הבנק המרכזי של ארצות הברית – הפדרל ריזרב (Federal Reserve) – במטרה לגנוב מיליארד דולר מהבנק המרכזי של בנגלדש. בפועל, הם הצליחו לגנוב "רק" 81 מיליון דולר, וממשלות ארצות הברית ובנגלדש הצליחו, במאמץ משותף, להחזיר 15 מיליון מהם.

המתקפה הנוכחית בוצעה באמצעות תוכנת פריצה שהודלפה ברשת על ידי קבוצה בשם Shadow Brokers. היא הפיצה בשנה שעברה כלי פריצה שנגנבו מה-NSA, הסוכנות לביטחון לאומי של ארצות הברית.

המתקפה רחבת ההיקף בוצעה באמצעות נעילה של הגישה למחשבים בדרישה לכופר של 300-600 דולרים תמורת שחרור הנעילה, בתשלום בביטקוין – למניעת האיתור של ההאקרים. המתקפה פגעה ב-300 אלף מחשבים ב-150 מדינות ברחבי העולם, כשהנזק החמור ביותר נגרם למערכת הבריאות הבריטית.