להורדת המסמך בפורמט PDF - המרכז הלאומי להתמודדות עם איומי סייבר
Transcription
להורדת המסמך בפורמט PDF - המרכז הלאומי להתמודדות עם איומי סייבר
משרד ראש הממשלה המרכז הלאומי להתמודדות עם איומי סייבר Prime Minister's Office National Cyber Event Readiness Team :TLPלבן -1- העדכון שלפניכם לוקט ועובד במסגרת פעילות ה CERT-הלאומי על בסיס מגוון מקורות רחב ,כדי לרכז מידע רלוונטי ואקטואלי לעוסקים בתחום הגנת הסייבר .כפועל יוצא ,ה CERT-הלאומי אינו יכול לערוב לחלוטין למידע המובא בעדכון או למסקנות המשתמעות ממנו ,ואין באמור בעדכון משום המלצה לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת .אין באזכור חברות אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס אליהם או לשירותים או המוצרים המוצעים על ידם. 19מאי 2015 א' סיון תשע"ה סימוכין :ל-ס108- הנדון :התרעה על פוגעני AlphaCrypt / TeslaCrypt רקע: מידע שהתקבל לאחרונה ב CERT-הלאומי מצביע על גל תקיפה חדש באמצעות דוא"ל המכיל צרופה נגועה בפוגען כופר ( )Ransomwareמסוג .AlphaCrypt / TeslaCrypt שלבי תקיפה: .1התקנת הפוגען על המחשב ויצירת קובץ מסוג .EXEבתיקיית .%AppData% .2הרצת הקובץ אשר סורק את המחשב בחיפוש אחר קבצי נתונים. .3הצפנת קבצים בעלי סיומות רלוונטיות באמצעות הצפנת .AES .4מתן סיומת חדשה לקבצים המוצפנים .קבצים המוצפנים על ידי פוגען TeslaCryptיקבלו את הסיומות .ECC או ,.EXXבעוד קבצים המוצפנים על ידי פוגען AlphaCryptיקבלו את הסיומת .EZZ .5הצגת הוראות הכופר לשם החזרת הקבצים ,הכוללות קישור לאתר ובו שירות הפענוח .באתר זה נכתב גם סכום הכופר אותו נדרש המשתמש לשלם. אינדיקטורים ()IOC ( - )Indicators Of Compromiseמאפיינים שנצפו ברשת או במערכת ההפעלה שעשויים להעיד על חדירה או פגיעה במערכות מחשב. להלן החתימות הידועות ושרתי ה C&C-שנצפו בתקיפות נוספות: (יתכן וחתימות מסוימות לא יופיעו כלל עקב אי הפעלת שלב מסוים ,או עקב שינוי בשמות הקבצים ,יתכן אף כי גם כתובות ה IPשל שרתי ה C&C -משתנות ואינן הכתובות שנצפו בתקיפות שהתגלו) המידע המובא לעיל לוקט ועובד על ידי CERT-ILבמטרה לספק ידע רלוונטי ואקטואלי לעוסקים בתחום ההגנה בסייבר לטובת השכלה וידע כללי .אין במידע זה משום המלצה לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת .אין באזכור חברות אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס אליהם או לשירותים או המוצרים המוצעים על ידם. משרד ראש הממשלה המרכז הלאומי להתמודדות עם איומי סייבר Prime Minister's Office National Cyber Event Readiness Team לבן:TLP -2- :Domains destinazione.grippertires.net dpckd2ftmf7lelsa.afnwdsy4j32.com is6xsotjdy4qtgur.tor2web.blutmagie.de is6xsotjdy4qtgur.afnwdsy4j32.com is6xsotjdy4qtgur.9isernvur33.com 24u4jf7s4regu6hn.htye943kjc38.com 24u4jf7s4regu6hn.p0oekds4we39.com 24u4jf7s4regu6hn.tor2web.org :IP 94.242.255.60 104.28.15.226 192.251.226.206 104.28.14.226 104.18.47.12 104.31.65.160 104.18.51.205 194.150.168.70 23.101.187.68 :)Files( תיקיות וקבצים file.swf ljbvumg.exe kfibpjs.exe swf.sw jjnlhul.exe cfsfnql.exe foaluon.exe : שנמצאוMD5 מזהי 8b207494dab106168f8d48e4c1e70b0f a08784f5691a0a8ce6249e1981dea82c 1c71d29bede55f34c9b17e24bd6a2a31 7d876df50581deb711df9af0029f64e4 : שנמצאוSHA-1 מזהי 90c4505bb482423457b080a77554b2db6387e64a fdfd630730da8c6dc075fb4a9a1011ec53914562 8e321256ec8cc6b4c0b079fedebf58de20a71061 6490f18f6a878faeaa5d8beb714592dbeb063d4a : שנמצאוSHA-256 מזהי 8677dd7497e2062fafb8e4dfe485fc76e87050aed2e072a67f3f93f6debc7d17 99fc04d82877aea0247286d41186b985ab773b19c8cef8786ffc1fa50e35af29 במטרה לספק ידע רלוונטי ואקטואלי לעוסקים בתחום ההגנה בסייבר לטובתCERT-IL המידע המובא לעיל לוקט ועובד על ידי אין באזכור חברות. אין במידע זה משום המלצה לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת.השכלה וידע כללי .אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס אליהם או לשירותים או המוצרים המוצעים על ידם משרד ראש הממשלה המרכז הלאומי להתמודדות עם איומי סייבר Prime Minister's Office National Cyber Event Readiness Team לבן:TLP -3- 7bdc23cc435305da225148b643fc5273a0bf4e227327e15309fe8d5d98c12c20 cb02bd62e843b45a78e16a5be6ac3bbc1650d1e9446e964ace518a6b7b3e8f54 : שנמצאוSHA-512 מזהי 008c8dce9fcb3703cede1f36b68c302cf4bdf2302f774640ec13de17ba589ba631 de6d7f13789ffea710ce7d549abd12cd7a3a40446f181c58d6009c518b6e2d 4e7e3b77ec0f911da80f569cd5b3cab79b62f7377d6d87b7816e140208a53997 0c30b795c0906ead27e1080c55e2e818b0b766808feb079f824dd70978c95ef9 :URLs destinazione.grippertires.net/scenically-septic-caricaturedejects/147586249566271245 destinazione.grippertires.net/vw7-1xTy9o8XTXeans-WHTPFNWLnQL4D73by26k99EB-Zo3 destinazione.grippertires.net/X-f-R3Zyg_ltm8haiRSbyoS8M7fTef6eZQjdcxMqAnjml_0 dpckd2ftmf7lelsa.afnwdsy4j32.com/tsdfewr2.php?U3ViamVjdD1QaW5[l ong string of characters] dpckd2ftmf7lelsa.afnwdsy4j32.com/tsdfewr2.php?U3ViamVjdD1Dcnl[l ong string of characters] is6xsotjdy4qtgur.afnwdsy4j32.com/?enc=18J4NwHDFdeJVc94cpc9FTeLZ Qnx7iu2YP is6xsotjdy4qtgur.afnwdsy4j32.com/check.php is6xsotjdy4qtgur.afnwdsy4j32.com/style.css is6xsotjdy4qtgur.afnwdsy4j32.com/favicon.ico is6xsotjdy4qtgur.afnwdsy4j32.com/img/curr.svg is6xsotjdy4qtgur.afnwdsy4j32.com/img/decrypt.svg .במידה ובבדיקתכם התגלה ממצא כלשהו נבקש לקבל היזון חוזר .לכל מידע נוסף ניתן לפנות אלינו במידה, הלאומי איננו מחליף חובת דיווח לגוף מנחה כל שהואCERT - שיתוף מידע עם ה:הערה .שהתגלה צורך כזה ,בברכה CERT-IL 03-7450801 :טל team@cert.gov.il www.cert.gov.il במטרה לספק ידע רלוונטי ואקטואלי לעוסקים בתחום ההגנה בסייבר לטובתCERT-IL המידע המובא לעיל לוקט ועובד על ידי אין באזכור חברות. אין במידע זה משום המלצה לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת.השכלה וידע כללי .אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס אליהם או לשירותים או המוצרים המוצעים על ידם