כופרה

מתוך המכלול, האנציקלופדיה היהודית
קפיצה לניווט קפיצה לחיפוש

תוכנת כופר (על פי החלטת האקדמיה ללשון העברית: כָּפְרָה[1], בכתיב מלא: כופרה; באנגליתRansomware) היא נוזקה המגבילה גישה למערכות המחשב הנגוע בדרך מסוימת, ומשמשת לסחוט מהמשתמש תשלום כסף (דמי כופר) על מנת שתוסר מגבלת הגישה. חלק מתוכנות הכופר מבצעות הצפנה לקבצים על הכונן הקשיח, ובכך הופכות את תהליך הסרת ההצפנה לקשה מבלי לשלם כופר עבור מפתח ההצפנה, בעוד תוכנות כופר אחרות פשוט נועלות את המערכת ומציגות הודעת שווא כי לא ניתן לגשת לקבצים, על מנת לרמות את המשתמש ולהמריצו לשלם. לרוב, חודרת תוכנת הכופר למחשב כסוס טרויאני, המוסווה כקובץ תמים.

השימוש בתוכנות כופר היה נפוץ ברוסיה, אך מאז הוא התפשט לכל העולם. ביוני 2013 פרסמה חברת אבטחת המידע מקאפי מידע אשר הצביע על 250,000 דוגמאות ייחודיות של תוכנות כופר ברבעון הראשון של 2013, יותר מכפול מהכמות שהוצגה ברבעון הראשון של 2012. התקפות הקשורות בתוכנות כופר גברו באמצעות סוסים טרויאניים כגון קריפטולוקר, אשר גרם לנזק המוערך בכ-3 מיליון דולר לפני שהורד על ידי הרשויות, ו-Cryptowall, אשר לפי הערכת ה-FBI, גרם לנזק של כ-18 מיליון דולר נכון ליוני 2015.

מפעילים שונים בדארקנט מציעים תוכנות כופרה במודל של תוכנה כשירות.

פעולה

תוכנת כופר מוסווית לרוב כסוס טרויאני, ויכולה לחדור למערכת על ידי קובץ שהורד למחשב או ניצול פרצות בשירותי רשת שונים. לאחר מכן התוכנה מריצה את הפקודות הזדוניות. במסגרת הפעלת התוכנה ייתכן שתופיע הודעת אזהרה מזויפת מטעם רשויות החוק, לדוגמה, טענות שקריות על כך שהמערכת שימשה למטרות לא חוקיות, ושהיא מכילה תוכן לא חוקי ותוכן פיראטי, או שהמערכת היא גרסה לא חוקית של Microsoft Windows.

חלק מתוכנות הכופר מתוכננות לנעול או להגביל את המערכת עד שיבוצע התשלום. ההגבלה מבוצעת בשיטות שונות. ישנן תוכנות כופר שמשנות את ה-Master boot record או את הגדרות ה-Windows shell. הדרך המתוחכמת ביותר היא הצפנת קבצים: מרבית תוכנות הכופר משתמשות בהצפנה חזקה כך שרק לכותב הנוזקה יש מפתח ההצפנה המתאים.

לרוב, המטרה היא קבלת תשלום על מנת להסיר את תוכנות הכופר על ידי אספקת תוכנה אשר יכולה לפענח את הקבצים או על ידי שליחת הקוד המתאים לפתיחת ההצפנה - דבר שייתכן ואכן יקרה, וייתכן שלא. מרכיב מרכזי בדרישת התשלום היא שהתשלום יבוצע באמצעות מערכת תשלומים שלא ניתנת למעקב. קיים מגוון רחב של שיטות תשלום, כולל: העברה בנקאית, העברה באמצעות מסרון, ושימוש במטבע הדיגיטלי ביטקוין.

היסטוריה

תוכנת כופר מצפינה

בשנת 1989 הופצה תוכנת הכופר הראשונה הידועה בשם AIDS (וגם בשם PC Cyborg) אשר נכתבה על ידי ג'וזף פופ, בהרצת התוכנה הוצגה הודעה כי הרישיון של תכנה מסוימת פג, בוצעה הצפנה לשמות הקבצים בכונן הקשיח, והוצגה דרישה לתשלום של 189 דולר ל"תאגיד PC Cyborg" במטרה לפתוח את נעילת המערכת. פופ טען לאי שפיות במשפטו והבטיח לתרום את הרווחים מהתוכנה למחקר בנושא איידס[2]. הרעיון להשתמש במפתח ציבורי להתקפות שכאלה הוצג על ידי אדם ל. יאנג ומוטי יונג האמריקאי הישראלי בשנת 1996. השניים גרסו כי תוכנת AIDS הייתה לא יעילה בשל השימוש בצופן סימטרי, והציגו וירוס הצפנה למקינטוש SE/30 באמצעות שימוש ב-RSA ו-Tiny Encryption Algorithm לטובת הצפנת המידע במחשב הקורבן. ההתקפה תוארה על ידם ב-IEEE S&P באותה שנה, כמתקפה בה התוקף סוחט כסף אלקטרוני מהקורבן, "וירוס ההצפנה המיוחד יכול להיות מעוצב כך שהוא יחפש אחר נתוני כסף אלקטרוני ויצפין אותם. בדרך זו כותב הוירוס יכול להחזיק בכל הכסף ככופר עד שיתנו לו חצי ממנו" (עמוד 135).

המודעות לסחיטה באמצעות תוכנת כופר עלתה בשנת 2005. עד אמצע 2006, סוסים טרויאניים כגון Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, ו-MayArchive עשו שימוש בהצפנות RSA מתוחכמות יותר, עם מפתח הצפנה שרק הולך וגדל. Gpcode.AG, שהתגלה ביוני 2006, הוצפן בעזרת מפתח ציבורי של 660-bit בהצפנת RSA. ביוני 2008 התגלתה גרסה מתקדמת יותר בשם Gpcode.AK. היא עשתה שימוש במפתח RSA של 1204-bit; האמינו כי המפתח היה גדול כל כך עד שיהיה ניתן לפצח אותו רק באמצעות מאמצי חישוב מבוזר.

תוכנות כופר מוצפנות חזרו למודעות הציבור בסוף שנת 2013 עם הפצת הקריפטולוקר שעשה שימוש בביטקוין לאסוף את כסף הכופר. בדצמבר 2013 העריכו ב-ZDNet כי מפעילי הקריפטולוקר גרפו לכיסם כ-27 מיליון דולר מקורבנותיהם בין 15 באוקטובר ל-18 בדצמבר. השיטה של קריפטולוקר הועתקה בחודשים שלאחר מכן, והוצגו גרסאות שונות.

מבחינה קריפטוגרפית, רוב תוכנות הכופרה היום עושות שימוש במודל הצפנה היברידי. כלומר, הן משתמשות באלגוריתמי צופן סימטרי ואסימטרי במקביל. לדוגמה, מודל הצפנה היברידי למטרת כופרה עשוי לעבוד בצורה הבאה: לקוח על המחשב הנגוע יצפין את הקבצים הרלוונטים (שלצורך העניין יסומנו ) באמצעות פונקציה סימטרית במפתח , כך שיתקבל המידע המוצפן:

לאחר מכן יצור באמצעות אלגוריתם הצפנה אסימטרי מפתח ציבורי ופרטי מקומיים שיקראו ו- בהתאמה. את המפתח המקורי יצפין באמצעות המפתח הציבורי , כלומר:

את המפתח הפרטי יצפין במפתח הציבורי שנוצר מראש עבור כל הקליינטים שיסומן , או בנוסחה מתמטית:

את המפתח הפרטי ישמור התוקף על השרת. כאשר ישלם הקרבן את הכופר הלקוח ישלח את המפתח הפרטי המוצפן לשרת שיפענח מתוכו את כך:

וישלח אותו חזרה ללקוח שיפענח באמצעותו את בפונקציה:

ובכך יקבל את המפתח לפונקציה הסימטרית. לבסוף הלקוח יפענח את המידע המוצפן ויוכל שוב לגשת לקבצים שנלקחו בערובה. כלומר:

תוכנת כופר לא מצפינה

באוגוסט 2010 עצרו הרשויות ברוסיה מספר בני אדם הקשורים לתוכנת הכופר WinLock. בשונה מ-Gpcode, ב-WinLock לא נעשה שימוש בהצפנה. במקום זה נעשה שימוש בהגבלת הגישה למערכת על ידי הצגת תמונות מאוסות, והמשתמשים התבקשו לשלוח SMS למספר בתעריף גבוה (כ-10 דולר להודעה) על מנת לקבל קוד לביטול נעילת המערכת. העוקץ פגע במספר גבוה של משתמשים ברוסיה ובמדינות השכנות - על פי דיווחים הקבוצה הרוויחה כך מעל 16 מיליון דולר.

בשנת 2011 הופצה תוכנת כופר אשר הציגה חיקוי של מסך האקטיבציה של Windows, והודיעה למשתמשים כי נדרשת אקטיבציה מחדש בשל הונאה. הוצעה אפשרות לאקטיבציה באמצעות האינטרנט (בדומה לתהליך האמיתי), אך היא לא פעלה ועל כן הוצע למשתמשים להתקשר  למספר בינלאומי על מנת לקבל את קוד האקטיבציה. בעוד התכנה הציגה את המספר כשיחת חינם, השיחה נותבה למדינות בעלות תעריף שיחה גבוה ושם השאירו את המתקשרים על המתנה, מה שגרר עלויות שיחות בינלאומיות גבוהות.

בפברואר 2013 הופצה תוכנת כופר באמצעות אתרי שירותי אירוח למיזמי תוכנה חופשיתסורספורג' ו-GitHub. ביולי 2013 הופצה תוכנת כופר אשר כוונה למערכות OS X, התכנה הציגה עמוד אינטרנט שהאשים את המשתמש בהורדת חומר בוטה. בשונה מהתכנות ל-Windows, התוכנה לא חסמה את כל המחשב, אלה רק ניצלה את התנהגות הדפדפן.

ביולי 2013, אדם בן 21 מוירג'יניה הסגיר עצמו למשטרה בעקבות תוכנת כופר שהתחזתה להודעה מטעם ה-FBI והאשימה אותו בצריכת חומרים אסורים. חקירה גילתה כי הוא החזיק על מחשבו האישי תמונות של ילדות קטינות איתן יצר קשרים ברשת, והוא הואשם בהתעללות בילדים. בינואר 2016 התגלתה תוכנת כופר המאיימת על המשתמש כי תופץ היסטוריית הגלישה שלו.

התגוננות

בדומה לנוזקות אחרות, ייתכן שתוכנת אבטחה לא תזהה את תוכנת הכופר אלא רק אחרי שההצפנה תושלם, בפרט אם מדובר במתקפת אפס ימים. אם מתעורר חשד להתקפה, או שהיא מתגלה בשלביה המוקדמים, יש עדיין זמן עד שההצפנה תושלם; הסרה מיידית של תוכנת הכופר (תהליך פשוט למדי) לפני שהתהליך הושלם תמנע נזק נוסף למידע, אך מבלי אפשרות להציל את המידע שכבר נפגע. מומחי אבטחה מציעים אמצעי זהירות להתמודדות עם תוכנת כופר. שימוש בתוכנות אבטחה והגדרות אבטחה לחסימת התקנתן של תוכנות כופר ידועות יעזרו למנוע הדבקה, אך לא יגנו מפני כל ההתקפות. יש לשמור את הגיבויים במיקום שאינו נגיש למחשב הנגוע – תוכנת הכופר יכולה להצפין למשל דיסק און קי אם הוא מחובר למחשב. גיבוי בנפרד מהמחשב הנגוע יאפשר לאחזר את המידע שאבד בהצפנה.

ראו גם

קישורים חיצוניים

הערות שוליים