וירוס הכופר דורש: לשחרר את פלסטין

חוקרים ישראלים הבחינו בתוכנה שפועלת באופן דומה לתוכנות כופר, אבל במקום לדרוש כסף ולהציע מפתח בתמורה, היא מודיעה שהקבצים אבודים; לפחות עד שחרור פלסטין ותחיית המתים

עודד ירון
שתפו כתבה במיילשתפו כתבה במייל
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקים1
עודד ירון

חוקרים ישראלים הבחינו בתוכנה זדונית חדשה שמופצת ככל הנראה בידי האקרים אנטי ישראלים ופועלת בצורה דומה לתוכנות כופר. בניגוד לתוכנות מהסוג הזה שמציעות לרוב אפשרות לפתוח את ההצפנה תמורת תשלום בביטקוין או מטבעות דיגיטליים אחרים, הפעם התוכנה, עליה דיווח גם טל שורר בערוץ 10, נועדה להפיץ תעמולה נגד ישראל, ולפגוע במחשב מבלי לאפשר שחזור של הקבצים.

ארי איתן, מנהל המחקר בחברת Intezer, הסביר ל"הארץ" כי התוכנה החדשה לא עובדת כמו תוכנת כופר מסורתית. "זה לא בדיוק הצפנה, הוא פשוט משנה את התוכן שלהם לחלוטין", הסביר.

מסך התוכנה
מסך התוכנהצילום: Intezer

תוכן הקבצים מוחלף בהודעה באנגלית ועברית קלוקלת:
"Fuck-israel, {USERNAME} You Will never Recover your Files Until Israel disepeare" 

"מה קרה למחשב שליח?/ תוכלו לשחזר את ח/ .. בטח אתה יכול לשחזר את הקבצים שלך ולהבטיח כי בחינמח... כאשר אנו לשחזר קורבנות שלנו, הנשמות שלנו, החופש שלנו, כאשר אנו מחלים את פלסטין, כאשר אנו להתאושש אל AQSA". איפשהו בתוך כל הבלגן בעברית קלוקלת הבהיר היוצר "מזויינים לנצח!" - יש להניח שהוא התכוון לקבצים.

מפתחים חובבנים

איתן ציין כי למעשה נראה שמדובר בתוצר די חובבני.  "נראה שהוא עובר רק על חלק מהקבצים", ציין. "הקבצים בשולחן עבודה משתנים לגמרי, כנ"ל בתיקיית ההורדות. אבל קובץ שנשמר ב-Program Files נשאר תקין לחלוטין, גם לאחר הרצה".

גם עידו נאור, חוקר בכיר בחברת קספרסקי, בחן את הקוד של התוכנה וגילה כי התוכנה קורסת אם מכניסים קובץ ריק תחת השם ClickMe.exe בתיקיית Temp.

"מאיפה הווירוס הגיע וכמה הצליח להפיץ את עצמו - אפשר רק לנחש", הוסיף איתן. "נראה מהתוכן שהוא מיועד לתקוף ישראלים, ולפי אתר Virus Total הוא באמת קיים קצת פחות משבועיים. מה שמעניין לא פחות - הוא עלה לראשונה לשם מארצות הברית".

למי שלא מכיר, וירוס טוטאל הוא אתר שנרכש בידי גוגל, והוא מאגד עשרות מנועים של תוכנות אנטי-וירוס. ההעלאה הראשונה של הדגימה של הווירוס יכולה להעיד על שני דברים - הראשון הוא שמישהו הבחין לראשונה בהדבקה בארצות הברית. אבל חוקרי אבטחה שונים כבר סיפרו בעבר ל"הארץ" כי יוצרי תוכנות זדוניות מעלים אותן לא פעם לבדיקה באתר כדי לראות אם הן יזוהו בידי תוכנות אנטי וירוס.

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ