וירוס כופר או RANSOMWARE הוא סוג של תוכנה זדונית, המדביקה את המחשב ומונעת גישה לנתונים ע״י הצפנה של המידע. התוקף דורש כופר מן הקורבן, ומבטיח, לא תמיד בכנות, לשחזר את הגישה לקבצים עם התשלום.
מעל ל- 90% מהארגונים הפיננסיים דיווח בשנת 2017 על מתקפות כופר כאשר בשנה שעברה הודבקו מעל ל-200,000 מחשבים שונים מ-150 מדינות בהתקפה בודדת אחת.
למשתמש מוצגות הוראות כיצד לשלם את התשלום כדי לקבל את מפתח הפענוח המאפשר גישה לקבצים המוצפנים. העלויות יכולות לנוע בין מאות לאלפי דולרים שישלמו לעבריינים ברשת.
וירוס זה בדרך כלל מדביק את המחשבים דרך דוא״ל, קבצים מצורפים שמגיעים במייל ומתחזים לקובץ שניתן לסמוך עליו. ברגע שהמשתמש מוריד ופותח את הקובץ, המחשב שלו מודבק בווירוס הכופר והקבצים שלו מוצפנים. במידע והמשתמש עובד בחברה, כלל הקבצים בחברה (שרת הקבצים הארגוני) מודבק בווירוס הכופר.
התוקפים בדרך כלל בוחרים ארגונים קטנים ובינוניים מכוון שהם נוטים להיות בעלי מודעות נמוכה יותר לאבטחת מידע ואין להם צוות אבטחת מידע ייעודי בארגון או אפילו אין להם אנשי IT בארגון. המודעות לגיבוי מידע היא נמוכה בארגונים האלה ומרבית החברות לא משתמשות בשירות גיבוי מידע לענן.
חשוב מאוד לא לשלם לתוקף את הכופר, כיון שלא בטוח שתקבלו את הקבצים שלכם בחזרה וייתכן שתתבקשו לשלם שוב ושוב.
ישנן מספר דרכים למנוע וירוס מסוג זה, כגון ביצוע עדכוני אבטחה, שינוי של הרשאות הניהול במערכת, התקנת תוכנת אנטי-וירוס, אי פתיחת צרופות חשודות בדוא״ל. אך לרוב, לא ניתן למנוע באופן מוחלט את וירוס הכופר ולכן מומלץ לבצע גיבוי למידע הארגוני על בסיס קבוע כדי לאפשר שחזור של המידע הארגוני במידת הצורך תוך זמן קצר לאחר מתקפה.
חברת אופק טכנולוגיית מספקת פתרון גיבוי מידע לענן הנותן מענה לכופרות. פתרון הגיבוי לענן של החברה כולל סוכנים המותקנים במחשבים של הלקוח ומשתמשים בטכנולוגיה מתקדמת של הגנת כופר.
כיצד הפתרון עובד?
מודל האבטחה מווירוס הכופר מותקן על השרתים ותחנות הקצה באתר הלקוח. המודל מנטר את הפעילות במחשב/שרת וכאשר הוא מזהה תהליך חשוד של הצפנת קבצים הוא נכנס לפעולה ועוצר את הווירוס, ניתן גם להגדיר את המודל לבצע שחזור אוטומטי של קבצים.
הניטור מתבצע בעזרת DRIVER על מערכת ההפעלה, שמזהה כתיבות וקריאות לדיסק המקומי (פתיחה, הצפנה ושינוי שם של קבצים) והמערכת מזהה תהליך של הדבקה – שבדרך כלל כרוך בשינוי של מספר גדול של קבצים בזמן קצר.
המערכת דורשים כ-10% מנפח הדיסק על מנת לשמור את הנתונים מקומית עבור שחזור מידע, הסוכן לא מעמיס על המחשב והשרת (בדרך כלל פחות מ 3% ממשאבי המערכת, אך בעת הדבקה הסוכן יכול להשתמש בעד 20% ממשאבי המערכת.
כיצד מומלץ לפרוס את המערכת?
שלב א׳ – פריסה על מספר תחנות מצומצם, במצב של התראה בלבד, שינוי של הגדרות של הסוכן ובדיקת ביצועים של המערכת.
שלב ב׳ – מעבר למצב מניעה ושחזור מידע.
שלב ג׳ – פריסה מלאה של המערכת.
חשוב לציין שהפתרון לא מחליף שימוש בתוכנת אנטי-וירוס למערכות, וניתן לשחזר את המידע מהעתק מקומי או משירות הגיבוי לענן של חברת אופק טכנולוגיות.
Comments