חברות ישראליות מציעות פתרון לתוכנת הכופר Petya
למרות האתגר שמציבה תוכנת הכופר החדשה לצד ההגנה, שתי חברות ישראליות כבר מספקות פתרון מניעה על בסיס המוצרים הקיימים שלהן - BUFFERZONE ו-Driveware
תוכנת כופר חדשה בשם Petya עוקפת את כל מנגנוני ההגנה של מערכת 'חלונות' בכך שהיא גורמת למחשב לעשות הפעלה מחדש ולעלות למערכת הפעלה חלופית. לאחר העליה מחדש, התוכנה מצפינה את קבצי המשתמש בדיסק. במתאר הזה, חלונות "מחוץ למשחק". סכום הכופר עומד על 382 דולרים למחשב.
למרות האתגר שמציבה תוכנת הכופר החדשה לצד ההגנה, שתי חברות ישראליות כבר מספקות פתרון מניעה על בסיס המוצרים הקיימים שלהן - BUFFERZONE ו-Driveware.
"לאחר הורדת הפוגען למחשב וניסיון להריץ אותו במחשב במקום לקבל לאחר 3-4 שניות מסך כחול ואז את הפעולה של ההצפנה במצב דוס, המחשב ממשיך לעבוד רגיל ולא קורה לו כלום", מסביר גיא אדרי, חוקר פוגענים ישראלי עצמאי שבדק את יכולת ההתמודדות של BUFFERZONE עם תוכנות הכופר Petya.
"אם מריצים את מנהל המשימות אפשר לראות את הפוגען מנסה לעבוד במשך 20-30 שניות ולא מצליח. הוא לוקח 50% מהמעבד כי הוא מנסה להקריס את מערכת ההפעלה אבל באפרזון מונע את הקריסה (BSOD). לאחר שהפוגען לא מצליח להקריס את המערכת הפרוסס נעלם מהזכרון וזהו."
פתרון נוסף לצד BUFFERZONE הוא זה של חברת Driveware. מדובר בפתרון הגנה בסייבר שמסוגל לנטר את התעבורה בין מערכת ההפעלה לחומרה ברמת ה-i/o.
"תוכנת הכופר הזו לא מצפינה את ה-MBR. אלא משנה אותו. המטרה של התוקפים היא לגרום למחשב לעלות באמצעות מערכת הפעלה חלופית שלהם", מסביר חגי ידידיה, מייסד ומנכ"ל חברת Driveware הישראלית שמפתחת מוצר להגנה בפני תוכנות כופר מסוג זה.
"ככה הם מצליחים להתחמק מכל מנגנוני ההגנה של מערכת חלונות. כאשר המחשב עולה עם מערכת הפעלה חלופית, הוא מצפין את כל הקבצים של המשתמש בדיסק הקשיח. אותה מערכת הפעלה מעלה דרייברים שמאפשרים לה 'לראות' את הקבצים ב-NTFS ולהצפין אותם".
הכנה להצפנה
לפני פעולת ההצפנה, תוכנת הכופר מבצעת מיפוי של הדיסקים, המחיצות וקבצי המשתמש במחשב היעד. התוכנה יודעת גם להצפין את כל הדיסקים המחוברים ללוח האם, וכן אמצעי אחסון מחוברים בממשק USB למחשב. שאלה פתוחה היא היכולת של התוכנה להצפין קבצים שנמצאים באחסון רשתי [NAS].
האם שימוש באמצעי הצפנה של הדיסק בחלונות כמו BitLocker יכול להפריע לתוכנת הכופר הזו?
"מבחינת התוקף הוא פשוט עושה הצפנה נוספת", מסביר יניב ביטון, סמנכ"ל מו"פ בחברה. "התוכנה לומדת את המחיצות והדיסקים. היא שומרת את המידע הזה שמכוון אותה לאחר הפעלה מחדש של המחשב לקבצים שצריך להצפין. היא שומרת את המידע במקום בדיסק כולל קישורים לקבצים האלו. אחר כך היא משנה את ה-MBR כדי להעלות את מערכת ההפעלה העצמאית שלה.
"כדי לשלם, המשתמש צריך לעבור למחשב אחר, להיכנס לפי ההוראות לאתר ברשת האפלה באמצעות דפדפן TOR. לאחר התשלום אתה מקבל מפתח, ואותו צריך להכניס במסך מיוחד במחשב הנגוע.
"צריך לזכור שעד היום תוכנות כופר הצפינו את קבצי המשתמש. אם הארגון היה יכול לוותר על הקבצים, הוא לא שילם כופר. במקרה הזה תוכנת הכופר משביתה את המחשב. כלומר, אם אותו מחשב משמש לתהליך קריטי של הארגון, אותו תהליך מפסיק לעבוד וזמינות הארגון נפגעת. אי תשלום משמעותו פירמוט והתקנה מחדש של מערכת ההפעלה.
"אפשר לחשוב על בית חולים או תשתית קריטית בהקשר זה. הקבצים פחות מעניינים. יותר חשוב זמינות התהליך. לכן, זו תוכנת כופר שמכוונת לכולם. גם לכאלו שיש להם קבצים חשובים וגם אלו שהזמינות חשובה להם".
לא מאפשרים שינוי של ה-MBR
"ברגע שהתוכנה ניגשת למקומות בדיסק, בשלב לפני ההצפנה, אנחנו מזהים אותה ועוקבים אחר הפעולות שלה", אומר ביטון. "צריך לזכור שאם נכנסים ל-VBR זו גישה חריגה יותר מאשר למערכת הקבצים. בנוסף, אם התוכנה עושה גישה לא רגילה לטבלת קבצים, למשל מעתיקה את כל הטבלאות, אנחנו גם יודעים. בסופו של התהליך, כאשר תוכנת הכופר רוצה לשנות ערכים ב-MBR, אנחנו חוסמים אותה. כאן נגמרת התקיפה".
ב-Driveware מסבירים שהפתרון שלהם לא נועד לעצור רק תוכנות כופר מסוג זה, אלא כל פוגען שמנסה להתעסק עם ה-MBR. "בנינו פתרון כללי לתקיפה של מתאר הכולל שינוי MBR", מסביר ידידיה. "טכנולוגיות רגילות יודעות להגן על חלונות. ולכן כאן הן יכשלו. ברגע שאתה מאתחל את המחשב, המשחק הוא ברמת החומרה מחוץ לחלונות. הפתרון שלנו נותן מענה לכל הגרסאות העתידיות של תוכנת הכופר Petya.
"אנחנו נותנים גם ערך מוסף לפורנזיק במקרה זה. Driveware יודעת להגן גם על סביבת הסנדבוקס מפני Petya, וגם יודעת לתת לחוקר נתונים על פעילות תוכנת הכופר שאי אפשר לראות בסנדבוקס רגיל".
לכתבות נוספות באתר ISRAEL DEFENSE היכנסו לעמוד הפייסבוק החדש של nrg
אקו"ם