עוקף אנטי וירוס: תוכנת כופר חדשה מעלה את המחשב במצב בטוח
עמי רוחקס דומבה
| 10/12/2019
bigstock
חוקרי SophosLabs חקרו סדרה מתמשכת של התקפות כופר בהן ההפעלה של התוכנה מאלצת את מערכת Windows לעלות מחדש למצב בטוח לפני תחילת תהליך ההצפנה. התוקפים עשויים להשתמש בטכניקה זו בכדי לעקוף את הגנת נקודות הקצה, שלעתים קרובות לא תפעל במצב בטוח.
תוכנת הכופר, שקוראת לעצמה Snatch, מגדירה עצמה כשירות שיפעל במהלך אתחול מצב בטוח. כאשר המחשב עולה במצב זה, שבו רוב התוכנות (כולל תוכנת אבטחה) אינן פועלות, Snatch מצפינה את הכוננים הקשיחים של הקורבן. בשביל לרוץ, תוכנת הכופר צריכה הרשאות שיאפשרו לה לבצע הגדרות ברישום של Windows טרם הפעולה במצב בטוח.
אנליסטים של סופוס נתקלו לראשונה בכלי Snatch לפני כשנה. נראה כי זהות שחקן האיום שמאחורי התוכנה היה פעיל מאז קיץ 2018. SophosLabs מאמינה כי פעילות במצב הבטוח היא תכונה חדשה שנוספה. התוכנה נכתבה בשפת GO של גוגל, ואינה כוללת תצורה של ריבוי פלטפורמות, אלא מיועדת רק לסביבת Windows. כדי לוודא שהם יקבלו כסף, התוקפים מוחקים את כל הShadow Copies של הקבצים כחלק מפעולת תוכנת הכופר.
חברת Coveware, חברה המתמחה במשא ומתן לסחיטה בין נפגעי כופר לתוקפים, סיפרה כי ניהלו משא ומתן עם מפעילי תוכנת Snatch ב12 הזדמנויות בין יולי לאוקטובר מטעם לקוחותיהם. דרישות כופר (בביטקוין) נעו בערך של 2,000-35,000 דולרים למקרה.
bigstock
חוקרי SophosLabs חקרו סדרה מתמשכת של התקפות כופר בהן ההפעלה של התוכנה מאלצת את מערכת Windows לעלות מחדש למצב בטוח לפני תחילת תהליך ההצפנה. התוקפים עשויים להשתמש בטכניקה זו בכדי לעקוף את הגנת נקודות הקצה, שלעתים קרובות לא תפעל במצב בטוח.
תוכנת הכופר, שקוראת לעצמה Snatch, מגדירה עצמה כשירות שיפעל במהלך אתחול מצב בטוח. כאשר המחשב עולה במצב זה, שבו רוב התוכנות (כולל תוכנת אבטחה) אינן פועלות, Snatch מצפינה את הכוננים הקשיחים של הקורבן. בשביל לרוץ, תוכנת הכופר צריכה הרשאות שיאפשרו לה לבצע הגדרות ברישום של Windows טרם הפעולה במצב בטוח.
אנליסטים של סופוס נתקלו לראשונה בכלי Snatch לפני כשנה. נראה כי זהות שחקן האיום שמאחורי התוכנה היה פעיל מאז קיץ 2018. SophosLabs מאמינה כי פעילות במצב הבטוח היא תכונה חדשה שנוספה. התוכנה נכתבה בשפת GO של גוגל, ואינה כוללת תצורה של ריבוי פלטפורמות, אלא מיועדת רק לסביבת Windows. כדי לוודא שהם יקבלו כסף, התוקפים מוחקים את כל הShadow Copies של הקבצים כחלק מפעולת תוכנת הכופר.
חברת Coveware, חברה המתמחה במשא ומתן לסחיטה בין נפגעי כופר לתוקפים, סיפרה כי ניהלו משא ומתן עם מפעילי תוכנת Snatch ב12 הזדמנויות בין יולי לאוקטובר מטעם לקוחותיהם. דרישות כופר (בביטקוין) נעו בערך של 2,000-35,000 דולרים למקרה.
