כל מה שחם בעולם המחשבים

מתקפת כופרה עולמית נוספת יצאה לדרכה – היזהרו!

מתקפת כופר נרחבת ברחבי העולם
מאת:
הרשות הלאומית להגנת הסייבר
נושא:
התרעות
תאריך פרסום:
27.06.2017
בשעות האחרונות זוהתה מתקפת כופרה נרחבת, שהחלה את פעילותה במזרח אירופה אך פוגעת במדינות נוספות. התקיפה עושה שימוש בווריאנט של הכופרה Petya.

הדיווחים הראשונים על התקיפה הגיעו מאוקראינה ולאחר מכן ממדינות נוספות באירופה. הכלי שתקף באוקראינה זהה לכלים שתקפו בהולנד ובריטניה.
על פי הערכה, ההדבקה הראשונית מבוצעת באמצעות דוא"ל על ידי שליחת קובץ Word עם סיסמא הפונה לכתובת ip 182.165.29.78
לאחר מכן ישנה הפצה בתוך הרשת באמצעות מספר פרוטוקולי תקשורת כגון SMBv1 (ETERNAL BLUE), ישנה הערכה על שימוש בפרוטוקולים נוספים ופורטים 139, 445 ו-135.
לאחר הדבקה מופיע צילום מסך כי המחשב מבצע סריקה על הכונן הקשיח (CHKDSK) כאשר על פי הערכה בפועל ברקע מבוצעת פעולת הצפנה.
מהות הפגיעה בדיסק המקומי גם היא עדיין לא ברורה. ישנם דיווחים על הצפנה רגילה של כופרה לצד דיווח בודד על החלפה של ה- BOOT LOADER.

המלצות
מומלץ להתקין את עדכוני האבטחה שמיקרוסופט הפיצה בחודשים האחרונים
MS-17-010 וגם CVE-2017-0199
יש לחפש ע"פ 2017-0199 בשדה CVE בקישור הבא
https://portal.msrc.microsoft.com/en-US/security-guidance

מומלץ לחסום את תעבורה מפורט 445 לרשת האינטרנט לכניסה ויציאה. מי שלא יכול לחסום, מומלץ להשתמש ב- VPN עם הזדהות חזקה.
במידת האפשר, יש למנוע תעבורה בין תחנות עבודה ברשת. לאפשר תעבורה רק בין תחנות לשרתים השונים ולהיפך.
יש לעדכן חתימות אנטי וירוס בהקדם האפשרי עם תעדוף למנועי סריקה של דוא"ל (שרתי דוא"ל Mail Relays ו-Mail Gateways) וכו'.
ראו קובץ אינדיקטורים, מומלץ להוסיף לכל מערכות הניטור הארגוניות.
במידת האפשר, לשקול מניעה של הרצת תוכנות מספריית %APPDATA%, .

במידה שבבדיקתכם התגלה ממצא כלשהו נבקש לקבל היזון חוזר. לכל מידע נוסף ניתן לפנות אלינו.

Comments are closed.