"פתחתי את ההודעה והכל נעלם" || כך מתרחשת מתקפת כופרה

אחרי שתיארנו את ה'פישינג' שבמסגרתו נותן הקורבן בעצמו את פרטיו האישיים או קודים וסיסמאות לאחר שהוא נופל בפח – אנו מתקדמים אל עסקים, ארגונים ומוסדות שנופלים קורבן למתקפות כופרה | וכאן, מספיק דוא"ל זדוני אחד שנפתח בתום לב, כדי להפוך את החומר החשוב שעל המחשב, לבן ערובה עד לתשלום הכופר | הפרק החמישי בסדרת הסייבר

מרים פרצמן 04.01.2024
אבטחת מידע, הגנה על הפרטיות | צילום : Maksim Kabakou, שאטרסטוק

"לפני כמה שנים קיבלתי מייל מכתובת שהייתה נראית לי מוכרת ממבט ראשון". כך מתחילה אוסנת אבוחצירא, שכירה מאשדוד, את סיפור הפריצה שלה. "לאחר מעשה התברר שהפורץ הצליח לזהות איש קשר מוכר שלי, ולזייף כתובת דומה אליו כדי להפיל אותי בפח. ואכן, נפלתי – ועמוק… פתחתי את ההודעה בחוסר שימת לב, לחצתי על הקובץ המצורף, ותוך שברירי שניות נעשה המסך כולו שחור.

לפרק הקודם בסדרה

לרגע קפאתי, עוד לא ממש הבנתי מה קרה. לפני שהספקתי להתאושש כבר עלתה על הצג הודעה קצרה וברורה מאוד. הטקסט היה מסר מהפורץ בו הודיע לי באופן לקוני כי נפרצתי, ואם אני רוצה לקבל את הקבצים שלי בחזרה עליי לשלם סכום אסטרונומי כלשהו לחשבון הבנק שנקב.

בנוסף, הופיעה למטה שורה נוספת: 'חלק מהחומר שברשותנו הוא רשימת אנשי הקשר שלך. אם לא תפדי אותה, אנו נפגע גם בהם'.

נלחצתי כראוי. סכום הכופר היה מופקע, לא משהו שיכולתי לממן בכלל או לחשוב על פדייה. מאידך, לא הייתי מוכנה לפגוע באנשי הקשר שלי. החלטתי כי את הכופר לא אשלם, אבל אנסה למנוע את הנזקים ככל שבידיי. יצרתי קשר עם כל מי שזכרתי והזהרתי אותם על הפריצה. הודעתי להם שלא יפתחו שום מייל שהם לא בטוחים לגבי טיבו, לא יורידו קבצים ובאופן כללי שיהיו זהירים".

עמוד זדוני להזנת פרטי אשראי

והקבצים שלך?

"הלכו", מעדכנת אוסנת בצער. "את חלקם הצלחתי לשחזר. בודדים מהעבודה נשלחו אליי מעותק גיבוי שהיה במשרד, וכל השאר – הלכו ללא שוב… מאז אני כמובן לא פותחת שום מייל שאינו מוכר לי לחלוטין, אלא מוחקת אותו מיידית. למדתי את הלקח, אך בצורה כאובה למדי…"

מה את ממליצה לאחרים כדי להימנע מהסיוט?

"קודם כל לגבות הכל", עונה אוסנת מיד. "לסדר גיבוי אוטומטי בסוף כל יום או שבוע, להיות מוכנים לכל מקרה שיפרצו אליכם חלילה. וכן, כמובן, להיזהר ממיילים לא מוכרים, ולא ללחוץ על קבצים מצורפים".

עוקץ ארגוני

אצל רבקי מ., מנהלת עמותה בבני ברק, הסוף לא היה זול כל כך, והעמותה שלה נעקצה בכמה אלפי שקלים.

"בתאריך התשעה עשר בינואר שנת 2015 הייתה התקפה של וירוס CTB-Locker בישראל", מספרת רבקי. "במהלך עשרים וארבע שעות הותקפו עשרות אנשים ברחבי הארץ. אנחנו היינו אחד הקורבנות".

איך התבצעה התקיפה?

קשה לרבקי לספר את החוויה שזכורה לה כסיוט, אבל היא משתפת אותנו כדי לחסוך אותה מאחרים. "יום אחד קיבלנו מייל מאדם לא מוכר", היא מתחילה. "היות ופתחנו אותו דרך אאוטלוק ולא דרך ג'ימייל – הקובץ ירד למחשב באופן אוטומטי, גם בלי ללחוץ עליו. עוד לא חשדנו בכלום. רק אחרי כחצי שעה הרגשנו שהמחשב נעשה איטי יותר. נכנסנו למנהל היישומים, והבחנו בתהליך כלשהו שעובד ברקע.

ניסינו ליצור קשר עם הטכנאי שלנו, אך ניסיונות ההתקשרות לקחו זמן רב מהמצופה. כשסוף סוף הוא עלה על הקו והורה לנו לסגור את השרת ולהפעילו מחדש – כבר היה מאוחר מדי. לחרדתנו הרבה גילינו כי כל הקבצים בשרת מוצפנים. קבצי וורד, אקסל, אקסס, אאוטלוק, קבצי תמונה ועוד – כולם קיבלו סיומת נוספת בשם oiyyqyh. הגרוע מכל היה שגם לאחר הורדת סיומת הקוד – הקבצים נותרו לא תקינים".

כלומר, הקבצים נפגמו.

"נפגמו כולם", מאשרת רבקי בעוגמה. "מדובר היה באלפי קבצים חשובים מאוד, שלחלקם לא היה גיבוי. יותר מכך, גם הגיבוי הפנימי שהיה בשרת עצמו נפגם. ולא, אנחנו לא טירונים: בדיוק יומיים לפני הפריצה עמדנו לחתום חוזה על גיבוי בענן, אבל דחינו אותו 'רק עוד קצת'… הפריצה הקדימה אותנו".

קובץ ZIP בהודעה זדונית

הווירוס המדובר הוא זן שהמשיך את גל התקפות הכופר Cryptolocker   – שתקף עשרות מיליוני עסקים בעולם באותה תקופה, כך עולה מדיווחי אבטחה של חברת ESET יום לאחר ההתקפה. הנוזקה החדשה הופיעה בתוך קובץ ZIP, שצורף לאימייל זדוני שנשלח לקורבנות. משתמש שפתח את הקובץ המצורף והפעיל אותו – הדביק את המחשב שלו בווירוס שהצפין את הקבצים הקיימים בו.

"לאחר נבירה קצרה במעמקי השרת הפגוע מצאנו בתקיית המסמכים שלנו הודעה מהפורצים", ממשיכה רבקי, "ובה בקשת הכופר. החלטנו לעת עתה לנסות לשחזר את הקבצים בעצמנו, כיוון שתשלום כופר אינו ערובה לקבלת הקבצים חזרה. פנינו לבעלי מקצוע שונים שניסו לפענח את הצפנת הקבצים – או לחילופין לשחזר את החומר מגיבויים ישנים, אך ללא הועיל. בינתיים גבר החשש שכתוצאה מניסיונות הפיענוח נפסיד את יכולת השחזור, באם נשלם את הכופר, כך שבמקביל ביצענו גם גיבוי לדיסק הקשיח הנגוע.

דארק נט, הרשת האפלה | מקור: pixabay

"מבירור עם אנשים נוספים שנפגעו בווירוס, התברר כי משרד רואי חשבון ישראלי נדרש לשלם 400 יורו – אך לאחר התשלום לא קיבל דבר. לעומת זאת היו אחרים שטענו שקיבלו שחזור חלקי, כך שנראה שעל אף שאיש לא ערב לנו שנקבל את החומר לאחר תשלום הכופר, עדיין קיים הסיכוי שזה יקרה.

"לאחר אינספור דיונים, חששות, ניסיונות וכשלונות, נפלה ההחלטה: לוקחים סיכון ומשלמים את הכופר".

בעמקי הדארקנט

"נכנסנו לרשת האפלה, לפי ההוראות שהושארו במחשב. הכל היה ברור ומזמין, כאילו מדובר בעסקים רגילים של יום-יום… ובאמת, בעולם האפל ההוא, אלו העסקים הרגילים. שילמנו את הכופר בשלוש מטבעות ביטקוין, בסך הכל שווי של שמונה מאות וחמישים דולר. עצרנו נשימתנו בחרדה ו… חיכינו. לאחר זמן המתנה מורט עצבים התקבלה התוצאה המרגיעה. קיבלנו את קוד השחזור, וברוך השם – כל החומר שהיה על המחשב שוחזר בהצלחה".

מה את ממליצה לאחרים כדי להימנע מהסיוט?

"החשוב מכל הוא גיבוי טוב", גם רבקי נחושה בעניין, ומפרטת: "יום אחרי וירוס הכופר דאגנו לכך. פרמטנו את כל המחשבים, מכיוון שהתברר שאם הפורצים הצליחו בפעם הראשונה – הם מנסים בכל דרך לחדור פנימה שוב. רכשנו שירות אנטי-ספאם למייל המרכזי של העמותה, זה שממנו התקבל המייל הזדוני הראשון, ודאגנו לשטח אחסון רציני בענן כדי לגבות את המחשבים מחדש.

הרשאות אתר זדוני

"שנתיים אחר כך הייתה התפרצות נוספת של וירוס הכופר בישראל. הוא ניסה לחדור אלינו דרך השרת בחיבור מרחוק, אך ברגע שזיהינו אותו ביצענו כיבוי של המחשבים באופן ידני. שוב היינו צריכים לקרוא לאיש מחשבים שיפרמט לנו את המחשבים כדי למנוע את התפשטות הווירוס, אך הפעם, למזלנו, לא היינו צריכים לשלם כופר ולא להשקיע משאבים בשחזור. הכל היה מגובה עד הרגע האחרון.

"זאת הקריאה שלי אל כל אדם שקורא את החוויה שעברנו", מסכמת רבקי. "בבקשה, אל תגרמו לעצמכם את הסיוט הזה. גבו את החומר שלכם".

תגיות: , , , , , , ,

מומלץ עבורך

איך תזהו מהו פריסייל אמיתי בירושלים?

מה ליפא לא מצא בשום פינה בבדיקת חמץ?

מה ליפא לא מצא בשום פינה בבדיקת חמץ?

תגובה אחת ל: ""פתחתי את ההודעה והכל נעלם" || כך מתרחשת מתקפת כופרה"

  1. שמואל קופיץ

    11/01/2024 8:41

    גם לי פרצו לאתר שלי והייתי צריך לשלם לטכנאי שיעיף אותם. אין מילים כמה צריך להיזהר! תודה!

כתיבת תגובה