המעבדה הירושלמית המרכזית למחשבים בע"מ
מעבדת מחשבים תמיכה מרחוק כניסה לחנות
    תתקשרו עכשיו 02-5611911 




 

מהן מתקפות Ransomeware שמצפינות קבצים חשובים ודורשות תשלום כופר עבור שחרורם – ואיך תתמודדו איתן?

 

מדובר בתופעה של תוכנות כופרransomware))שמופצות על ידי ארגוני פשע בשנים האחרונות כאשר  משפחת הנוזקות הנ"ל מזוהה ע"י ESET בתור FileCoder והיא פועלת באמצעות טכנולוגיה אשר מקודדת קבצים בקידודים שונים, ומגינה על מפתחות ההצפנה בקידוד נוסף, מה שמונע פריצה של הקידוד באמצעים רגילים. כדי להוסיף על הקושי בפריצת הקידוד, מאוחסנים מפתחות ההצפנה בשרתים מרוחקים.

הנוזקות מצפינות מסמכי אופיס, PDF ותמונות במחשב, וברשתות היא מקודדת קבצים כנ"ל בתיקיות משותפות שיש אליהן גישה והרשאות כתיבה מהתחנה שנפגעה. אם מתבצע גיבוי לכונן חיצוני או לשיתוף קבצים בענן, גם קבצים אלה יוצפנו. לאחר מכן מופיעה הודעה למשתמש או למשתמשים על גבי שולחן העבודה, או בקובץ שנוצר בכל התיקיות שמוצפנות ,עם דרישה לתשלום )סכום שנע בין מאות לאלפי דולרים( בתמורה למפתח ההצפנה שיאפשר שחזור של הקבצים.

במרבית המקרים המשתמשים מודבקים באמצעות אימייל שמתחזה להודעת פקס ,חבילה ,הודעה קולית או חשבונית עם קובץ מצורף, שברגע שהוא מופעל, הוא מוריד גרסה עדכנית של Filecoder ומפעיל אותה.

דוגמא למייל כנ"ל:


במספר מועט של מקרים לא מעורבת כלל נוזקה בהתקפה, והיא מתבצעת דרך RDP כאשר חיבור Remote Desktop פתוח ברשת עם סיסמה פשוטה יחסית, ואז התוקפים בדר"כ מסירים את האנטי וירוס ומריצים ידנית את תוכנת הכופר.

 

 

             

11 כללי מפתח למניעת התקפות כופר

1.       יש לוודא התקנה של אנטי וירוס מעודכן וחוקי במחשב או בכל התחנות ברשת.

אם מותקן ESET ברשת, לפחות גרסה5.0.XXXX  בתחנות או גרסה 4.5.XXXX בשרתים.

בגרסאות הביתיות יש לוודא שמותקנת גרסה 9.

 

2.       מומלץ וחשוב לוודא שממשק הניהול מותקן על מנת להיות בבקרה ובשליטה על רמת המוגנות ברשת.

 

3.       לבצע עדכוני מיקרוסופט קריטיים בשרתים ובתחנות.

 

4.       לוודא שמערכת ה LiveGrid פעילה בכל התחנות ברשת.

בעת התקנה עם ערכת ה ESET K.I.S.S אופציה זו מופעלת כברירת מחדל. זו הגדרה קריטית בהגנה בפני איומים כנ"ל וחשוב לוודא שהיא לא מנוטרלת. כדי לבצע את הבדיקה דרך ממשק הניהול שלנו:

 http://support.eset.com/kb5761/?viewlocale=en_US

 

5.       להשתמש בחומת אש המייצרת שכבת הגנה חיונית מפני תוכנות הכופר:  

a.       חשוב להשתמש בהתקן פיזי של חומת אש של אחת החברות המובילות כדוגמת Fortinet.

b.       יש להשתמש בתחנות בחומת אש מתקדמת של אחת החברות המובילות כדוגמת ESET Endpoint Security, במיוחד במחשבים ניידים שיוצאים מהרשת ואינם מוגנים ע"י חומת האש הארגונית. חומת האש המובנית כחלק ממערכת ההפעלה של מיקרוסופט אינה מספיקה על מנת להתמודד עם האיום הנ"ל.

 

6.       לסגור את הפורט של ה Remote Desktop בחומת האש, ולסגור את ה Service שלו במחשב או ברשת.

במידה וחייבים להשתמש בו, יש להחליף את פורט ברירת המחדל מ 3389 לפורט במספר רנדומלי הגבוה מ 000,20.

 

7. להגדיר סיסמת אבטחת מורכבת לחיבור מרחוק (באורך 11 תווים לפחות ומכילה

אותיות קטנות, גדולות, מספרים ותווים מיוחדים)כדי למנוע פריצה של הסיסמא בהתקפה של

  .Brute Force

8. להגדיר סיסמת הגנה לאנטי וירוס בתחנות על מנת למנוע הסרה ידנית או נטרול שלו:

 /http://support.eset.com/kb3090

9. לבצע גיבויים שבועיים או דו-שבועיים (מומלץ גיבוי אונליין ולא מקומי)

יש לגבות כל מידע חשוב בשרתים ובתחנות, וכמובן לבצע בדיקה תקופתית של שחזור הגיבויים כדי לוודא שהם תקינים. לגיבוי בענן לחץ כאן !

ניתן להגדיר גיבוי של מערכת ההפעלה לתיקיות חשובות או משותפות ב Shadow Copy כפי שמוסבר במאמר של מיקרוסופט.

10. לבטל הרשאות Administrator למשתמשים ברשת -  

התקפות אלה זה מאתרות פרצות דרכן ניתן לרוץ על הפרופיל המקומי ובאמצעותו להדביק את שאר הרשת. מומלץ שלא לאפשר הרשאות כתיבה לתיקיות משותפות בהן למשתמש אין צורך בשינוי או הוספה של קבצים.

 

11. לחסום סיומות EXE ו SCR בתוכנת האנטי וירוס שסורקת את הדוא"ל  -  

|מקרים רבים מודבקים מחשבים באמצעות קובץ EXE או SCR שמצורף לאימייל. באופן כללי, אין סיבה שקבצי הפעלה ישלחו למשתמשים ברשת, ולכן מומלץ לאכוף מדיניות של חסימת סיומות של קבצי הפעלה, ובמיוחד קבצי EXE ו SCR.

 

 

כיצד להתמודד עם מחשב או תיקיות משותפות שהוצפנו בהם כבר קבצים?

 

          חלק מהסוגים של תוכנות הכופר ניתנים לשחזור באמצעות כלים חינמיים של ESET (כרגע קיימים כלים עבור 6 משפחות של Filecoder). רשימת הסוגים והכלים המתאימים זמינה באתר שלנו:

 /http://www.eset.com/int/download/utilities

 

          במידה וסוג ה Filcoder שהדביק את המחשב או התיקיה אינו נמצא ברשימה, מומלץ לפנות לתמיכה שלנו על מנת לבדוק האם ניתן יהיה לפתח כלי מתאים:

 http://kb.comsecure.co.il/Ticket.aspx

 

          מומלץ שלא לשתף פעולה עם העבריינים הדורשים כופר – במקרים רבים גם לאחר תשלום הכופר לא מועבר מפתח ההצפנה ולא ניתן לפתוח את הקבצים. כמו כן, הפעולה תעודד את העבריינים לתקוף את המחשב או הרשת בהמשך.

 

          לשחזר את הקבצים מגיבוי – לאחר ביצוע הפעולות המומלצות להתגוננות ,שמטרתן לוודא שלא קיים וירוס פעיל במחשב או ברשת, ניתן לשחזר את הקבצים מהגיבוי.

 

          לשחזר את הקבצים מתוך shadow copy - במידה והיה פעיל באותה התיקייה, בשימוש במדריך מיקרוסופט. גם כאן חשוב לבצע קודם לכן את הפעולות המומלצות להתגוננות.

 

          לשחזר את הקבצים המקוריים - חלק מגרסאות ה Ransomeware מעתיקות את הקבצים המקוריים ,ורק לאחר מכן מצפינות אותם .במקרים כנ"ל ניתן לנסות לשחזר את הקבצים המקוריים שנמחקו .

חשוב לזכור שככל שיהיה שימוש נוסף בתחנה לאחר הפגיעה, יכתבו קבצים נוספים במיקום הפיזי של הקבצים שנמחקו, ולא יהיה ניתן לשחזר אותם. ניתן להשתמש במגוון תוכנות לשחזור קבצים כמו:

 https://www.piriform.com/business/recuva-business-edition

 

          לבדוק מהו המחשב הנגוע שממנו קודדו הקבצים – במקרים בהם מוצפנים קבצים בתיקיות משותפות בשרתים, ניתן לבדוק מהי התחנה ממנה הם הוצפנו על ידי בדיקה של ה ownership של הקבצים ,ולנקות את התקנה על מנת שהקבצים לא יוצפנו מחדש לאחר שחזור.


  להורדת הקובץ לחתץ על המדריך למניעת כופר 
מדריך למניעת כופר  


 

     

 

מספר המוצרים בסל : 0
חיפוש :   
מחיר : נמוך|גבוה שם : א-ת|ת-א
  1. /
  2. מאמרים וטיפים
  3. /
  4. הדרכים למניעת וירוס הכופר
מעבדת מחשבים    תמיכה מרחוק כניסה לחנות מחשוב לעסקים
  אודות
     >>>   דף הבית  
      >>>   פרופיל חברה
      >>>    צור קשר
   מחשוב לעסקים בירושלים 
      >>>    שירותי ענן לעסקיםי
      >>>    גיבוי בענן לעסקיםי
    חנות מחשבים 
     >>>    ציוד ארגונומי  
     תיקון טאבלטים
    >>>    תיקון אייפד
    >>>    תיקון גלקסי
    >>>    תיקון טאבלט


רח' הפלמח 14, ירושלים, טלפון 02-5611911, פקס 02-5660688
שעות הפעילות: א-ה 9:00-18:00 יום ו' 9:00-12:00
חנות מחשבים ומעבדת תיקון מחשבים בירושלים  

הקליקו לשיחת חינם
חסכו המתנה והתקשרות
 

מתלבטים? צריכים עזרה? מלאו פרטים
ונציג ישוב אליכם ברגע שיתפנה תוך דקות
 
 
 
 
x סגור חלוןPowered By IPracticom
האתר נבנה במערכת 2all | בניית אתרים