חוקר ישראלי גילה כיצד לבלום את תוכנת הכופר שפגעה במחשבים ברחבי העולם

Rotter, כותרות הסקופים, 28.06.18

מחשב שנדבק בתוכנת הכופרOleg Reshetnyak/אי־פי

עמית סרפר, חוקר ישראלי בחברת סייבריזון, גילה שיטה למנוע את הפעלת תוכנת הכופר שהיכתה אתמול במדינות רבות בעולם, ובהן גם ישראל.

התוכנה, שכונתה Petya בפי חלק מהחוקרים, הופצה לראשונה באמצעות עדכון תוכנה לחישוב מסים באוקראינה, התפשטה משם ופגעה בשורה ארוכה של ארגונים וחברות, באירופה, ישראל וארה"ב. תוכנות כופר משמשות פעמים רבות כאמצעי ליצירת רווחים להאקרים.

התקיפה הבולטת ביותר עד כה אירעה עם הפצת תוכנת WannaCry בחודש שעבר. התוכנה ניצלה את EternalBlue, אחד מכלי התקיפה של ה-NSA שהדליפה קבוצת ה-ShadowBrokers. גם בהתקפה הנוכחית, תוכנת הכופר ניצלה את אותו כלי שדלף מידי ה-NSA כדי להתפשט בתוך רשתות, אך השתמשה בעוד שתי דרכים נוספות.

בניגוד לקודמת, חוקרים דיווחו כי התוכנה הזו לא מסתפקת בהצפנה של קבצים ספיציפיים, אלא מצפינה את סקטור האיתחול של מחשבים (ה-MBR). זהו החלק בהארד דיסק שנטען ראשון עם פתיחת המחשב, הוא כולל מידע על המבנה של ההארד דיסק וכן משמש לטעינת מערכת ההפעלה.

סרפר מחברת סייבריזון גילה כי יש דרך למנוע ממנה לפעול ולהפיץ את עצמה. "כשהתוכנה הזדונית מתחילה לעבוד היא בעצם בודקת אם היא רצה בעבר והצפינה את הקבצים, כדי שלא להצפין אותם פעמיים", סיפר ל"הארץ" והוסיף: "היא מחפשת את שם הקובץ שהפעיל אותה, ללא סיומת, בתוך תיקיית ווינדוס".

לדברי סרפר, אם התוכנה מוצאת את הקובץ (C:\windows\perfc), הדבר משמש כסימן לכך שהמחשב כבר הותקף, ולכן התוכנה לא מפעילה את פונקציית ההצפנה.

 KILLSWITCH:Malware checks for the name of the dll inside c:\windows-If exists it won't run. Whats the original dll name?

לחץ כאן לצפיה דרך טוויטר

בעבר, במקרה של תקיפה באמצעות תוכנת Wannacry, גילה חוקר בריטי כי חלק מגרסאות התוכנה כללו מנגנון המאפשר למנוע את הפעלת התוכנה – המכונה "קיל סוויץ'". לדברי סרפר, לא מדובר בכלי זהה. "זה לא בדיוק 'קיל סוויץ', זה יותר חיסון", אמר.

http://www.haaretz.co.il/captain/software/.premium-1.4211246

98% sure that the name is is perfc.dll Create a file in c:\windows called perfc with no extension and  won't run! SHARE!! https://twitter.com/0xAmit/status/879764284020064256 

לחץ כאן לצפיה דרך טוויטר

לחץ כאן לצפיה דרך טוויטר

לפוסט

 

מודעות פרסומת
Post a comment or leave a trackback: Trackback URL.

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s

%d בלוגרים אהבו את זה: