תארו לכם שאתם מנסים לפתוח את תיקיית אלבום התמונות שלכם, אבל במקום להיפתח אתם מקבלים הודעה שהתיקייה הוצפנה ואם אתם רוצים לגשת אל הקבצים שלכם עליכם לשלם. זה בדיוק מה שקרה לגולשים רבים בארץ ובעולם שנפלו קורבן ל-CryptoLocker.
ה-CryptoLocker הוא וירוס מסוג Ransom Ware, או בעברית "תוכנת כופר". תוכנות הכופר אינן חדשות, אך נראה שהן עברו "לידה מחדש" בשנה וחצי האחרונות עם גרסאות מתוחכמות יותר שמצפינות קבצים רגישים - כמעט ללא יכולת שחזור.
ה-CryptoLocker היא מהמפורסמות, הנפוצות וכנראה שגם המתוחכמות ביותר מבין תוכנות הכופר שבהן אנחנו נתקלים היום. האנשים שעומדים מאחוריה דואגים להפיץ אותה בהיקף נרחב ולייצר לה גרסאות חדשות, שיקשו עלינו את הזיהוי שלה כשהיא מתנחלת על המחשב שלנו.
הבעיה עם תוכנות הכופר, ובייחוד עם ה-CryptoLocker, היא שלאחר שהתוכנה הצפינה את הקבצים לא נשאר הרבה שאתם יכולים לעשות כדי להשיג את הקבצים שלכם בחזרה, מלבד אולי לשלם את הכופר - למרות שאפילו זה לא מבטיח את הסרת ההצפנה ושחזור הקבצים.
אופן הפעולה של תוכנות הכופר הוא פשוט: בדרך-כלל תוכנות הכופר מתגנבות למחשב שלנו במסווה של קובץ מצורף להודעת דואר אלקטרוני. שברגע שתנסו לפתוח את הקובץ המצורף, תוכנת הכופר תתחיל במלאכת הצפנת הקבצים על המחשב שלכם. כאשר ההצפנה תסתיים, הווירוס יסיר את עצמו מהמערכת ולאחר-מכן תופיע הודעת הכופר על המסך, שתתריע למשתמש שהקבצים שלו נלקחו כבני ערובה וכדי לזכות בהם בחזרה עליו לשלם את הכופר.
אופן הפעולה הזה תועד כבר לפני עשור ברוסיה כאשר סוס טרויאני בשם Gpcode ניסה לסחוט כסף מהמשתמשים לאחר שהוא הצפין קבצים מסוימים במחשבים שלהם. אך הודות לטעויות שעשה כותב הנוזקה, הצליחו חוקרי אבטחה לפענח את ההצפנה ולהשיב את הקבצים לבעליהן החוקיים. ניתן להסתכל על ה-CryptoLocker כממשיך דרכו של אותו ה-Gpcode, אך בינתיים אף אחד לא הצליח לפצח את ההצפנה שלו.
ה-CryptoLocker לא מצפין פשוט את כל הדיסק הקשיח של המחשב כיחידה אחת. הוא חודר לתוך התיקיות של המחשב ומחפש קבצים כמו אופיס, PDF או כל קובץ אחר שיכול להכיל מידע חיוני למשתמש.
אם יש לכם USB שמחובר למחשב, ה-CryptoLocker לא יפסח אליו ויצפין גם את הקבצים השמורים בו. בנוסף, ככל שלמשתמש שלכם יש יותר הרשאות, כך הנזק יהיה גדול יותר.
כאשר ההצפנה הסתיימה, ה-Cryptolocker מעלה את הודעת הכופר לשולחן העבודה של המשתמש. ההודעה מציינת את סכום הכופר, שנע בדרך-כלל באזור ה-300 אירו, וגם את אופי התשלום האפשרי - היום בעיקר בביטקוין. הודעת הכופר גם מתריעה בפניו שכל ניסיון להסיר את התוכנה יגרום להשמדת מפתח ההצפנה היחידי שיכול פענח אותה.
בנוסף, כדי להגביר את הלחץ על הקורבן, התוקפים הוסיפו גם שעון עצר, שבדרך-כלל מכוון ל-72 שעות - פרק הזמן שעל הקורבן לשלם את תשלום הכופר לפני שהקבצים שלו - תמונות, סרטוני וידאו, מסמכים, מוזיקה ועוד - נמחקים לצמיתות.
הווירוס בנוי כך שזה למעשה בלתי אפשרי לפענח את ההצפנה ולשחזר את הקבצים, מכיוון שהמידע הדרוש כדי לעשות זאת נמצא רק אצל יוצר הווירוס. אלגוריתם ההצפנה בו משתמש ה-CryptoLocker בנוי משני מפתחות הצפנה - פרטי וציבורי. כאשר ה-CryptoLocker מצפין את הקבצים, הוא משתמש במפתח ההצפנה הציבורי ובאותו זמן הוא יוצר מפתח הצפנה פרטי לאותה ההצפנה. לאחר-מכן רק מפתח ההצפנה הפרטי, נשמר על שרת מרוחק הנשלט על-ידי התוקפים, יוכל לפענח את ההצפנה.
הסרת הווירוס עצמו מהמחשב לא ממש מועילה לקורבן, והשבתת השרת שמחזיק במפתח ההצפנה, בהנחה שאנחנו יודעים באיזה שרת מדובר, תסתכם באובדן הכלי היחידי שניתן באמצעותו להציל את הקבצים המוצפנים. אז רוב קורבנות ה-CryptoLocker נאלצים לשלם את הכופר או לאבד את הקבצים שלהם, אך לצערנו - וכפי שלמדו על בשרם גם משתמשים רבים ואפילו חברות - תשלום הכופר לא מבטיח את הסרת ההצפנה או שחזור הקבצים.
