5 דברים שכדאי לדעת על מתקפת הכופר האחרונה של Bad Rabbit

MiscellaneaDec 20, 2021

תוכנת הכופר של Bad Rabbit היא וירוס המחשב האגרסיבי והמסוכן ביותר כרגע

עובדות מובילות על וירוס תוכנת הכופר של Bad Rabbit

WannaCry ו-Petya הם לא הווירוסים היחידים שזכו לתהילה במהלך התקפות סייבר גלובליות. תוכנת כופר של ארנב רע, שעל פי החשד הוא גרסה חדשה של פטיה/לא פטיה/ExPetr, פגע קשות ברוסיה, אוקראינה, גרמניה, טורקיה ומדינות אחרות ברחבי העולם ב-24 באוקטובר.

תוכנת הכופר מצפינה את כל הנתונים במחשב ומשכתבת את Master Boot Record. כתוצאה מכך, התוכנה הזדונית מפעילה מחדש את המערכת ולאחר מכן מציגה פתק כופר על המסך. גרסת התוכנה החדשה כבר השפיעה על מספר מדינות שונות ברחבי העולם, ובהתחשב באיזו מהירות היא מתפשטת, חובה לדעת את העובדות העיקריות עליה.

זרימת המידע מואצת, ומשתמשי מחשב יכולים ללכת לאיבוד במהירות כאשר כל אתר חדשות מספק עוד ועוד פרטים על הנגיף. מומחים מצוות VirusActivity הכינו גיליון מידע על מתקפת סייבר בארנב רע, מה זה ומה צריכים משתמשי מחשב לדעת.

5 הדברים המובילים שצריך לדעת על מתקפת סייבר של BadRabbit

1. תוכנת הכופר מתפשטת באמצעות עדכוני Adobe Flash Player מזויפים.

לדברי מומחים, מפתחי תוכנת הכופר השתמשו בשיטת הפצת תוכנות כופר ותיקה ויעילה המסתמכת על עדכוני Flash Player מזויפים.

[1] נראה שהאקרים החדירו קודי JavaScript זדוניים ל-HTML של אתרי אינטרנט שונים (רובם רוסית, בולגרית או טורקית) ובדרך זו אילץ אותם להגיש חלונות קופצים מזויפים המציעים לעדכן פלאש מיושן שחקן.

במקרה שהקורבן לוחץ על כפתור "התקן", הסקריפט הזדוני מפנה את הקורבן לדומיינים עמוסי תוכנות זדוניות ומוריד את קובץ install_flash_player.exe. בשלב זה, הקורבן עדיין יכול לצעוד אחורה ולמחוק את הקובץ שהורד כדי למנוע השחתה מלאה של הנתונים. לרוע המזל, ביצוע הקובץ האמור מתחיל את תהליך הצפנת הנתונים מיד.

תוכנת הכופר אינה מתפשטת באמצעות פגיעות EternalBlue כפי שעשה וירוס NotPetya. במקום זאת, Bad Rabbit מסוגל להתפשט עוד יותר באמצעות מניות SMB.[2]

2. על פי החשד, Bad Rabbit הוא גרסה משופרת של תוכנת הכופר Petya/NotPetya

אם כבר מדברים על מקורותיו של הארנב הרע, עלינו להזכיר את תוכנת הכופר הידועה לשמצה המכונה Petya/NotPetya/ExPetr[3]. לשני הווירוסים יש קווי דמיון והבדלים, אבל הפרט הבולט ביותר הוא ששניהם משנים את Master Boot Record (MBR) ומציגים הודעה מפחידה על מסך המחשב.

3. הווירוס החדש אינו מגב ועובד כתוכנת כופר קריפטו אמיתית שגורמת לקבצים להיות חסרי תועלת לדרוש כופר.

BadRabbit, לעומת זאת, אינו מגב. בעוד NotPetya זוהתה בתחילה כתוכנת כופר, ניתוח נוסף גילה כי היא השחיתה את הנתונים במערכת היעד לצמיתות. את הנזק שנשא המטען הזדוני לא ניתן היה לבטל בשום אופן.

הגרסה החדשה, לעומת זאת, מצפינה קבצים באמצעות כלי השירות DiskCryptor. לקבצים המקודדים על ידי Bad Rabbit תצורף סיומת קובץ מוצפנת לשמותיהם.

4. תוכנת הכופר מבקשת לשלם 0.05 ביטקוין

לאחר הצפנת הקבצים במערכת היעד, התוכנה הזדונית משנה את MBR ומפעילה מחדש את המחשב. כתוצאה מכך, הקורבנות נתקלים בהודעה מפחידה למראה הכתובה באדום על רקע שחור. תוכנת הכופר מציעה לבקר בכתובת אתר בעלת מראה חשוד שלא ניתן לגשת אליה דרך דפדפני אינטרנט רגילים.

הקורבן צריך להוריד ולהתקין את דפדפן Tor כדי לגשת לאתר התשלום. לאחר מכן, האתר מבקש להזין את מפתח הזיהוי האישי. מתן המפתח הנתון מאפשר לקורבן לראות את כתובת הביטקוין של פושעים, אליה יש להעביר את התשלום. תוכנת הכופר נותנת 40 שעות להשלמת העסקה. מחיר הכופר עולה ברגע שחולפות 40 שעות.

5. אין דרך לפענח קבצים מוצפנים על ידי Bad Rabbit

למרבה הצער, לא משנה כמה תנסה, אין דרך לשחזר קבצים שנפגמו על ידי תוכנות זדוניות של Bad Rabbit. עדיין נותרה תקווה שאנליסטים של תוכנות זדוניות עלולות למצוא פגם בקוד תוכנת הכופר לאפשר להם ליצור כלי פענוח עובד, עם זאת, כרגע נראה ציפיות כאלה לא מציאותי.

נכון לעכשיו, הדרך היחידה האפשרית לשחזר קבצים שנפגמו על ידי גרסה חדשה זו של תוכנת כופר היא להשתמש בגיבוי נתונים.[4] עם זאת, ראשית תצטרך להסיר תוכנות זדוניות של Bad Rabbit. אם אינך מכיר את הכלים הטובים ביותר להסרת תוכנות זדוניות בימינו, אנו ממליצים בחום לקרוא ביקורות באתרים הקשורים לאבטחה כגון 2-Spyware.com.