תוכנת כופר "פאנטום" - כך תזהו אותה

תוכנות כופר נמצאות איתנו מאז ומעולם אך בתקופה האחרונה הן תופסות תאוצה. הפעם אנחנו רוצים להכיר לכם תוכנת כופר זדונית ומתוחכמת במיוחד שעושה את כל המאמצים לתת לכם סיבה להאמין לה ולבטוח בה. אז קודם כל - מה היא תוכנת כופר?

תוכנת כופר היא נוזקה (/סוס טרויאני) שמגבילה את הגישה לנתונים שעל המחשב. קיימות דרכים מגוונות לגרום לה להגיע למחשב בפועל אבל המשותף לכולן היא המטרה - סחיטת כספים מהמשתמש. קיימים 2 סוגים של תוכנות כופר: תוכנה מצפינה ותוכנה לא מצפינה. תוכנה מצפינה תשנה את הקבצים הקיימים על הכונן הקשיח במחשב, ותוכנה שאינה מצפינה תשתול תכנים לא הולמים (כגון פורנו) שהסרתם תוכל להתבצע רק לאחר תשלום הכופר.

אז מה קורה בתוכנת כופר החדשה?

בניגוד לתוכנות כופר הקודמות שהיה ברור מהיכן הן מגיעות - בתוכנה הנוכחית לא ברור איך זה קורה. ההשערה היא שהתוכנה מגיעה ממייל לא מזוהה כקובץ הפעלה אך זה טרם הוכח. מה שכן ברור הוא שהתוכנה מתחזה לעדכון מיקרוסופט של Windows ועושה זאת בצורה מאוד משכנעת.

הקובץ, שנקרא a.exe, נראה בעל מאפיינים הגיוניים למדיי וכולל (כביכול) זכויות יוצרים של מיקרוסופט. לאחר הורדת הקובץ למחשב, תקפוץ התראה של עדכון קריטי למערכת הפעלה ומהרגע בו תאשרו את התקנת העדכון - יתחיל להתבצע תהליך הצפנת הקבצים ברקע.

כדי לוודא שלא תחשדו בתהליך - מפיצי הכופר דאגו להוסיף חלון טעינה שמזהיר מפני כיבוי המחשב בעת התהליך, ממש כפי שקורה בעדכון תקני של מיקרוסופט. מהרגע שהתוכנה מסיימת להצפין את כל הקבצים - תתווסף הסיומת “fantom” לכל הקבצים ויוחלף רקע שולחן העבודה לרקע הנ"ל:

מה אפשר לעשות אם התוכנה ירדה למחשב שלי והותקנה?

לצערנו, מלבד לשלם את הכופר (וגם בזה אין הבטחות וודאיות), לא ניתן לעשות דבר. מהרגע שלחצתם על תחילת ה"עדכון" תהליך ההצפנה רץ ברקע. גם אם תסגרו את החלון של העדכון המזוייף (ע"י Ctrl + F4 ) - ההצפנה תמשיך להתבצע ברקע ולא תיפסק.

איך נזהרים לא להידבק מראש?

ההמלצות שלנו רלוונטיות לכל תוכנות הכופר שמסתובבות בשוק: 1. אל תפתחו מייל מאנשים שאינכם מכירים ובמיוחד אם הכותרת מאוד אטרקטיבית ומעניינת! הרי זו כל המטרה – לפתות אתכם להיכנס. 2. במידה ובכל זאת נכנסתם למייל ובפנים יש קובץ מצורף – אל תורידו אותו למחשב. גם אם זה נראה לכם ממש מעניין.. 3. דאגו לגיבויים תקינים לכל החומרים החשובים לכם. לכל מקרה שלא יהיה. 4. כל תוכנות הכופר מותקנות באופן אוטומטי בעת הדבקה על כל הקבצים שבמחשב + אביזרים מחוברים כגון דיסק און קי, דיסק קשיח חיצוני ולעיתים אפילו שרתים. אנו ממליצים להקפיד לנתק כונני גיבוי מהמחשב ולחבר רק בעת הצורך. פעולה זו יכולה להקל עליכם מאוד גם במקרה של גניבה. 4. ספציפית לוירוס הנ"ל; במידה ואתם חושדים בהתראה שקפצה לכם אודות עדכון קריטי של מיקרוסופט - תכנסו באופן ידני ל- לוח הבקרה ---> Windows Updates ובצעו את העדכונים משם. במידה ולא תמצאו שם עדכונים שיש לבצע, דעו שהקובץ נמצא על המחשב שלכם הוא ככל הנראה תוכנת הכופר והגיעו אלינו מיידית להסרתו בטרם ייחל תהליך ההצפנה.