תוכנת כופר חדשה מנצלת את שיגעון המטבעות הווירטואליים

בתחילת החודש, גילו חוקרי האבטחה של MalwareHunterTeam נוזקת כופר חדשה בשם MoneroPay מתחזה לארנק עבור מטבע מזויף בשם SpriteCoin. בעוד המשתמשים חושבים שהם רוכשים מטבע קריפטו חדש, MoneroPay מצפינה להם את הקבצים במחשב.

פוסט שהתפרסם ב-BitcoinTalk ב-6 בינואר, אחד הפורומים הגדולים והמוכרים למטבעות וירטואליים, הכיל קישור לאתר לא מקוון שהכיל דף מידע על SpriteCoin עם קישור נוסף לארנק. פוסט זה שימש להכרזה על השקה של מטבע קריפטוגרפי חדש בשם SpriteCoin.

למרות שהפוסט הוסר מאז, הוא פורסם בדיון בפורום שהוא מקום נפוץ למפתחי מטבעות קריפטו להכרזה על מטבעות חדשים. נושא המטבעות הווירטואליים כל כך חם עכשיו, ויש שיאמרו שמאוד משתלם, כך שכאשר מטבע חדש מושק אנשים רבים ממהרים להוריד את הארנק של המטבע כדי להתחיל לסחור בו לפני שהערך שלו עולה.

לאחר שהמשתמש מוריד ומפעיל את הארנק, הוא נטען ועובר דרך מה שנראה כהגדרה רגילה עבור ארנק חדש. אולם מכיוון שהיו הרבה התראות שווא לגבי ארנקים דיגיטליים, משתמשים נטרלו את מוצר האנטי וירוס שלהם כאשר הורידו ארנק חדש. נוזקת הכופר החדשה השתמשה בדפוס ההתנהגות הנ"ל על מנת לשתול את נוזקת הכופר מבלי שהמשתמש יבחין בכך, ברגע שהוא מבין שהותקף כבר מאוחר מדי.

MoneroPay מצפינה בשקט קבצים בזמן שהארנק המזויף מסנכרן: כאשר מתקינים ארנק של מטבע דיגיטלי בפעם הראשונה, הארנק צריך להתחבר לרשת של המטבע ולסנכרן את עצמו עם ה-blockchain. תלוי כמה מטבעות כבר נכרו ובמהירות של הרשת, תהליך זה יכול לקחת זמן רב.

בזמן תהליך הסנכרון, התוקפים מתחילים להצפין את המחשב בעוד המשתמש ממתין לסיום תהליך הסנכרון. בגלל שזה בדרך כלל דורש זמן רב ודורש פעולות רבות מהכונן, זה המסווה האולטימטיבי לתהליך ההצפנה של MoneroPay.

בעת הצפנת הקבצים MoneroPay תהפוך את סיומת הקבצים ל encrypted. לדוגמה test.png ישתנה ל-test.png.encrypted.

בעוד נוזקת הכופר פועלת ומצפינה את הקבצים, היא מנסה גם לאחזר סיסמאות המאוחסנות ב- Firefox ו-Chrome. סיסמאות אלה וכן מידע על הקורבן והמחשב שלהם מועלות לשרת שליטה ובקרה של התוקפים הממוקם בכתובת שנמצאת בדארקנט (רשת TOR).

כאשר הסנכרון המזויף הושלם, מסך הנעילה MoneroPay יופיע ויציג את הודעת הכופר. סביר להניח שזו תהיה הפעם הראשונה שהקורבן מבין כי הוא נדבק בנוזקת כופר. מסך נעילה זה דורש מהקורבן לשלם 3 מטבעות Monero, או כ-120 דולר על מנת לקבל את מפתח ההצפנה. לא ידוע עדיין אם מישהו שילם את כופר וקיבל את המפתח לפענוח הקבצים.

חובבי המטבעות הוירטואליים נדרשים לנקוט באמצעי זהירות נוספים כנגד נוזקות

כדי להגן על עצמכם מפני נוזקות כופר, חשוב שתנקטו בהרגלי גלישה בטוחים ותשתמשו בתוכנת אבטחה. בראש ובראשונה, תמיד תגבו את הנתונים שלכם, במקרה חירום כמו נוזקת כופר תוכלו לשחזר את הקבצים שהוצפנו.

חובבי מטבעות הקריפטו צריכים לתת תשומת לב רבה יותר לנושא האבטחה. למטבעות הוירטואליים יש היסטוריה של ארנקים נגועים, ניסיונות לגנוב מטבעות באמצעות תוכנה זדונית, ועוד. לכן זה בהחלט חשוב שכל מי שמוריד ארנק דיגיטלי חדש לקרוא עליו קודם לכן במקורות מידע אחרים, ולבצע סריקה שלו באמצעות תוכנת אבטחה.

גם אם הוא נמצא נקי, עדיין מומלץ לבדוק את הארנקים הראשונים באמצעות מכונה וירטואלית כגון VirtualBox ורק להשתמש בארנקים מארגונים ידועים. הסיבה לכך היא שגם כשנראה שארנק מגיע נקי ולא מציג כל התנהגות זדונית כלפי חוץ, עדיין אין לכם מושג אם הוא עושה פעולה זדונית מאחורי הקלעים.

תצטרכו גם תוכנת אבטחה המשלבת זיהוי התנהגותי כדי להילחם בנוזקות כופר, ולא רק זיהוי מבוסס חתימות. תוכנת האבטחה של ESET למשל משתמשת בזיהוי התנהגותי שיכול למנוע זיהומים רבים, ובמיוחד של נוזקות כופר המצפינות את המחשב, כמו גם רשת בענן שמתעדכנת בזמן אמת על איומים חדשים.

אמיר כרמי, מנהל הטכנולוגיות בחברת אבטחת המידע ESET בישראל, ממליץ לפעול לפי העקרונות הבאים, שישמרו עליכם מנוזקות כופר כאלה ובכלל:

• חשוב לבצע גיבויים אוטומטיים תקופתיים, וגם לבדוק ולוודא ששחזור מהגיבוי עובד בצורה תקינה. אפשר לגבות גם ידנית לדיסק חיצוני, כל עוד הוא מנותק מהמחשב ביום יום.

• אל תפתחו קבצים מצורפים למייל אם אתם לא יודעים מי שלח לכם אותם.

• אל תפתחו קבצים מצורפים עד שתאשרו שהאדם אכן שלח לכם אותם, סרקו קבצים מצורפים עם תוכנת אבטחה מוכרת.

• ודאו שכל עדכוני Windows מותקנים בצורה אוטומטית.

• הקפידו לעדכן את כל התוכנות במיוחד Java, Flash ו- Adobe Reader. תוכנות ישנות יותר מכילות חולשות אבטחה שעברייני הרשת מנצלים, לכן חשוב לוודא שכל התוכנות הללו מעודכנות.

• ודאו שיש לכם תוכנת אבטחה מוכרת המשתמשת בזיהויים התנהגותיים ומתעדכנת בזמן אמת מהענן.

• השתמשו בסיסמאות מורכבות ואל תעשו שימוש באותה סיסמא למספר שירותים.

'בחדרי' גם ברשתות החברתיות - הצטרפו!