זינוק בנוזקות כופר לאנדרואיד – איך מתגוננים?

מגמת זיהוי נוזקות הכופר לאנדרואיד

פרט לטקטיקת ההפחדה הנפוצה ביותר של נעילת המסך והצגת הודעה מתחזה הטוענת כי במכשיר נמצא תוכן לא חוקי (Police Ransomware), פושעי הסייבר השקיעו מאמצים מרובים לשמור על פרופיל נמוך ולכן מצפינים את הנוזקה עמוק בתוך התוכנות הנגועות על מנת שלא יזוהו.

כלכלת תוכנות הכופר, לפי ה-FBI, הכניסה להאקרים כמיליארד דולר ב-2016, והסכום הזה רק מהווה תמריץ עבור התוקפים להמשיך ולהרחיב את פעילותם. חשוב להיות מודעים לכך שהאיום הזה נמצא גם במובייל ולנקוט צעדי מניעה. הצעדים הראשונים והחשובים ביותר הם להימנע מרכישה בחנויות אפליקציות לא רשמיות ולוודא שעל מכשירכם מותקנת אפליקציית אבטחה מעודכנת. בנוסף חשוב מאוד שיהיה גיבוי של המכשיר המכיל את כל המידע הקריטי שנשמר עליו. כך, גם אם תפלו קורבן, הקבצים המוצפנים יהיו נגישים בגיבוי וכל הסיפור יסתיים במטרד מינורי.

מה עוד אפשר לעשות כדי למנוע מנוזקה להשתלט לכם על הטלפון? חשוב תמיד לבדוק את רשימת ההרשאות שמבקשת אפליקציה בעת ההתקנה, ולחשוב אם הן באמת דרושות לה, ולא משנה אם זו אפליקציה של חברה קטנה או של חברה גדולה ומוכרת כמו Facebook Messenger. אותו הכלל תקף גם כאשר יורדים עדכונים אוטומטיים והאפליקציה מבקשת מאיתנו לאשר הרשאות נוספות. אחד היתרונות בגרסה 7 האחרונה של אנדרואיד, הוא החזרה של מערכת ההרשאות לאפליקציות. זו מקפיצה חלונות התראה כאשר אפליקציות מבקשות הרשאות נוספות, ונותנת אפשרות לשלול מהאפליקציה הרשאות שכבר הענקנו לה.

אל תשלמו

אם בכל זאת נדבקתם בתוכנת כופר במכשיר שלכם, יש כמה דרכים להסירה, והן משתנות לפי סוג הנוזקה.
נעילת מסך "פשוטה": מדובר על מרבית המקרים של התקפות הכופר באנדרואיד. כדי להתגבר על כך העבירו את המכשיר ל"מצב בטוח", כך שאפליקציות צד שלישי (כולל תוכנת הכופר) לא יוכלו לפעול ותוכלו להסיר את האפליקציה הזדונית בקלות. שימו לב שאם בעת התקנת האפליקציה נדרשו הרשאות מנהל, ראשית יש להסיר את ההרשאות מתפריט ההגדרות ורק לאחר מכן להסיר את האפליקציה.

נעילת המסך בקוד PIN: אם תוכנת כופר בעלת הרשאות מנהל נעלה את המכשיר באמצעות קוד PIN של המכשיר או באמצעות סיסמת נעילת המסך, המצב קצת יותר מורכב. ניתן לשחרר את הנעילה באמצעות Google’s Android Device Manager , באמצעות שירותים ייחודיים לכל יצרנית, כמו זה של סמסונג או באמצעות כלי ניהול עסקי למובייל (MDM).

מתוך האתר של גוגל google.com/android/devicemanager

כמו כן, אם במכשיר מאופשרות "אפשרויות מפתח", ניתן גם לחבר את המכשיר למחשב ולמחוק את קובץ ההגדרות שמכיל את קוד הנעילה, באמצעות ADB tools. במכשירי אנדרואיד בגרסה 4.4 (Kitkat) ומטה, ניתן להשתמש ב-Google Login: יש להקליד את הקוד 5 פעמים בצורה שגויה, ואז להגיע למסך שמאפשר חיבור לחשבון הגוגל ואיפוס סיסמה. המוצא האחרון הוא איפוס הגדרות היצרן, שימחק את כל הנתונים על המכשיר, ויש להשתמש בו רק אם אין פתרונות אחרים שזמינים בכלי ניהול המובייל.

גם אם אלה לא עובדים מומלץ לא לשלם את הכופר הנדרש. נכון, בחלק מהמקרים מי שישלם את הכופר יצליח לשחרר את הקבצים המוצפנים, אבל זה לא תמיד מה שקורה בפועל. כאמור, תוכנות כופר שמצפינות את הקבצים הן הפופולריות בקרב יוצרי הנוזקות, ורבים מפושעי הסייבר קפצו על הטרנד הזה בתקווה לשחזר את ההצלחה של קודמיהם. אבל, לפי מחקר של ESET, רבות מהנוזקות הללו מיושמות באופן גרוע, ועבור המשתמשים זה אומר שני דברים: ראשית, גם אם תשלמו לא תוכלו לקבל את מפתח ההצפנה לקבצים שלכם; ושנית, בגלל חוסר התחכום ייתכן שתוכלו לחלץ את הקבצים שלכם מבלי לשלם.

כאשר מדובר במתקפות על מכשירי אנדרואיד, קיימים מקרים שבהם מפתח ההצפנה או הקוד לשחרור נעילת המסך בכלל לא קיימים, כך שתשלום הכופר לא היה מאפשר את שחרור הקבצים או המכשיר בכל מקרה. בנוסף, ובעיקר אצל משתמשים בודדים או עסקים שנופלים קורבן למתקפת כופר ומתמודדים עם אובדן נתונים, אף אחד לא מבטיח שפושעי הסייבר יעמדו בתנאי ההסכם וישחררו את המידע לאחר התשלום, וגם אם שילמתם לא בטוח שהם, או תוקפים אחרים, לא יחזרו לתקוף בשנית.