וירוס הכופר CryptoWall 4.0 שוחרר בחודש האחרון ברשת האינטרנט בגרסתו החדשה.
מעל למליוני מחשבים ברחבי העולם כבר נדבקו, ובמאמר הבא אני רוצה לפרט כיצד הוירוס פועל ואיך ניתן להתמודד מולו.
CryptoWall 4.0 – מידע כללי
CryptoWall זהו וירוס "כופר" אשר הופץ לראשונה בשנת 2013, הוירוס הצליח להדביק מעל למליון מחשבים ברחבי העולם "והשתלט" על מעל לביליון קבצים.
תיאור אופן הפעולה של הוירוס הוא מאוד פשוט – תחילה, הוירוס סורק את המחשב ומאתר את כל המסמכים הקיימים בדיסק הקשיח (תמונות,סרטים,מסמכי טקסט ועוד).
לאחר מכן, הוירוס מצפין את כל הקבצים אשר נסרקו ומונע גישה אליהם.
בשלב האחרון קופצת הודעה בשולחן העבודה אשר מציעה "לפענח" את כל הנתונים שהוצפנו בעבור 700$.
הכופר נעשה תוך 96 שעות בלבד, אם המשתמש אינו משלם במסגרת זמן זו, הכופר מכפיל את עצמו ל 1400$.
בהשוואה לגרסה הקודמת, CryptoWall 4.0 מגיע עם שינויים משמעותיים המקשים על הצלת הקבצים :
- הוירוס מסוגל להשבית את האפשרות "שחזור המערכת" של מערכת ההפעלה, ואף מסוגל לבטל את תיקון ההפעלה שלה.
- הוא לא רק מצפין את הקבצים הקיימים, הוירוס משנה את כל שמות הקבצים המוצפנים על מנת למנוע מהמשתמש לדעת אלו קבצים הוצפנו.
- הוירוס משתמש בפרוטוקול חדש בשונה מהגרסאות הקודמות שלו, נתון המקשה על תוכנות אנטי וירוס לאתר אותו.
איך נדבקים בוירוס CryptoWall 4.0 ?
תחילה, חשוב להבין שהוירוס מופץ ברחבי הרשת באמצעות שיטה הנקראת "סוס טרויאני".
"סוס טרויאני" זוהי תוכנה זדונית המנסה להיכנס אל המחשב תוך התחזות לתוכנה תמימה.
וירוס CryptoWall 4.0 מופץ בעיקר דרך דואר זבל המכיל קבצים מצורפים או קישורים לאתרים אשר נגועים בוירוס.
על פי מקורות שנפגעו על ידי הוירוס, תוארה השיטה הבאה אשר גרמה להם להידבק בוירוס :
ההודעות התחזו לדואר אשר נשלח מחברת ספנות עולמית כמו DHL או FedEx, בתוכן ההודעה נאמר למשתמש שהחברה ניסתה להעביר אליו חבילה אך לא הצליחה מסיבה כלשהי.
לפעמים ההודעות יתיימרו להיות הודעות על משלוח "שבוצע" על ידי המשתמש.
רוב המשתמשים אשר יהיו סקרנים לדעת מהו הדואר האלקטרוני המוזר שהם קבלו יתבקשו לפתוח קובץ המצורף להודעה שאמור להיות "העתק" של פרטי המשלוח.
או לחלופין להיכנס אל אתר מסוים באמצעות כתובת שתצורף לגוף ההודעה.
כאשר המשתמש יפתח את הקובץ או יכנס אל הקישור הוירוס יתקין את עצמו על המחשב באופן אוטומטי, ויחל לפעול מיד בתום התהליך.
שיטה נוספת היא על ידי "הזרקות נתונים" שיבוצעו כאשר משתמשים יגלשו באתרי אינטרנט שנגועים בוירוס.
מלבד ההזרקות, גלישה באתרים נגועים עלולה להקפיץ הודעות מזוייפות אשר יבקשו לבצע "עדכון" לתוכנת Adobe Flash Player.
כיצד הוירוס פועל ואילו מערכות הפעלה נמצאות תחת סכנה ?
וירוס CryptoWall 4.0 תוכנת לפעול בכל הגרסאות של מערכת ההפעלה Windows.
הוא מסוגל להדביק את כל הגרסאות של מערכת ההפעלה כולל הגרסה האחרונה שלה, Windows 10.
כאשר הוירוס מותקן לראשונה במחשב, הוא יוצר הפעלה חדשה באופן אקראי באחת מהתקיות הבאות :
%AppData% או %localAppData%
הפעלה זו תושק על ידי מערכת ההפעלה והיא תתחיל לסרוק את כל הכוננים במחשב על מנת לאתר קבצים שניתן להצפין.
הקבצים שבדרך כלל יאותרו ויוצפנו יהיו קבצי תמונה,סרטון ומסמכים.
כאשר קבצים אלו יוצפנו, הוירוס ידאג לשנות את שמם באופן אקראי על מנת למנוע מהמשתמש לאתר אותם, לדוגמא – "0hewendfq.p5r".
הוירוס מסוגל לאתר ולהצפין את מירב הקבצים הנמצאים על המחשב.
רשימת סיומות קבצים אשר מוצפנים על ידי הוירוס :
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt
בסיום תהליך ההצפנה, הוירוס יצור את קובץ הטקסט "HELP_YOUR_FILES.TXT" בשולחן העבודה של המחשב, קובץ זה הוא למעשה מכתב הכופר.
בנוסף, הוירוס יצור מכתב כופר נוסף בכל תקיה אשר הוצפן בה לפחות קובץ אחד, הקובץ יהיה בשם "HELP_YOUR_FILES.HTML".
לאחר מכן, טפט שולחן העבודה של מערכת ההפעלה ישונה לקובץ התמונה "HELP_YOUR_FILES.PNG" אשר מגיע עם הוירוס.
קבצי הטקסט האלו הם למעשה מכתב הכופר, בו יפורט למשתמש כיצד הוא יכול להשיב את הקבצים חזרה.
| שימו לב ! אם אתם לא מתכננים לשלם את הכופר, ורוצים לנסות לשחזר את הקבצים שלכם, אתם יכולים לעקוב אחר המדריך הבא.
חשוב להבין שעל ידי התחלת תהליך ההסרה, אתם מסתכנים באיבוד כל הקבצים שלכם, אשר ישארו מוצפנים גם לאחר הסרת הוירוס. |
מדריך להסרת CryptoWall 4.0 מהמחשב
בהמשך המאמר יהיה מדריך מקיף להסרת הוירוס CryptoWall 4.0 מהמחשב שלכם, למרות זאת, אני לא יכול להבטיח לכם או להיות אחראי לכך שהקבצים האישיים שלכם יחזרו לקדמותם.
המדריך הבא נועד לנקות את המחשב מהוירוס על מנת לבצע שחזור מידע למערכת (במידה ויש לכם).
שלב 1 : מחיקת CryptoWall 4.0 מהמחשב בעזרת Malwarebytes
Malwarebytes היא תוכנה חינמית המשתמשת בטכנולוגיה המובילה בתחום כדי לזהות ולהסיר את כל העקבות של תוכנות זדוניות,תולעים,סוסים טרויאניים,רוגלה ועוד.
את התוכנה ניתן להוריד דרך הלינק הבא, או להיעזר במדריך הקיים בבלוג.
לאחר הורדת התוכנה, התקינו אותה על המחשב, בצעו עדכון למסד הנתונים, והריצו סריקה מלאה של המחשב.
בסיום הסריקה יש לאשר לתוכנה למחוק את כל הוירוסים שהיא זיהתה על המחשב, שימו לב שלעיתים תדרשו גם להפעיל את המחשב מחדש מספר פעמים לפי דרישת התוכנה.
שלב 2 : בדיקה חוזרת של הוירוס CryptoWall 4.0 באמצעות HitmanPro
HitmanPro נמצאת במקום השני בבחירת סורק תוכנות זדיוניות ווירוסים.
התוכנה לזהות ולמחוק תוכנות זדוניות,וירוסים,סוסים טרויאניים ועוד, ומסוגלת לעבוד לצד אמצעי הגנה אחרים ללא כל האטה.
את התוכנה ניתן להוריד דרך הלינק הבא. (מדריך ההתקנה נמצא בדף ההורדה).
לאחר ההתקנה, התקינו את התוכנה ובצעו סריקה מלאה למחשב.
בסיום תהליך הסריקה מחקו את כל הוירוסים שנמצאו, בשלב זה התוכנה תבקש ממכם להפעיל אותה באמצעות חשבון קיים.
בחרו באפשרות "Activate free license" אשר יפתח לכם את התוכנה ל 30 ימי התנסות בחינם.
*במקרים מסויימים תאלצו למחוק ידנית את קובץ הודעת הכופר HELP_YOUR_FILES.HTML, ואת הקובץ הנוסף HELP_YOUR_FILES.TXT.
בנוסף, תאלצו לשנות ידנית את טפט שולחן העבודה שלכם, ולבצע חיפוש ומחיקה לקובץ HELP_YOUR_FILES.PNG.
בסיום השלב הזה הוירוס CryptoWall 4.0 הוסר במלואו מהמחשב, אך הקבצים אשר נדבקו עדין ישארו מוצפנים.
בשלב זה ניתן לנסות לבצע שחזור מידע למערכת.
סיכום
כדי להגן על המחשב שלכם מפני הוירוס CryptoWall 4.0, עליכם תמיד להיות בעלי תוכנת אנטי וירוס פעילה במחשב.
לבעלי עסקים ואנשים אשר מחזיקים מידע חשוב במחשב הייתי ממליץ לרכוש חשבון פרימיום של תוכנת Malwarebytes אשר יקנה לה
את האפשרות "סריקה בזמן אמת", אופציה אשר מעלה את אבטחת המחשב לדרגה גבוהה.
בנוסף, יש לבצע גיבוי מידע מלא למסמכים האישיים שלכם, וגיבוי למערכת ההפעלה.
חשוב לזכור – לא לפתוח דואר אלטרוני ממקורות לא ידועים, במיוחד אלו שמצורפים אליהם קבצים חשודים.