שחזור תיקי לקוחות במשרד עורכי דין לאחר התקפת כופרה – ללא תשלום כופר
הודעת כופר על מסך העבודה – וכל תיקי הלקוחות נעולים
משרד עורכי דין בגוש דן הגיע בוקר אחד למשרד וגילה שכל עמדות העבודה מציגות הודעת כופר: כל קבצי המשרד – חוזים, כתבי תביעה, תכתובות והתכתובת עם לקוחות – הוצפנו במהלך הלילה על ידי וירוס כופרה, והתוקפים דרשו תשלום במטבע קריפטוגרפי תוך 72 שעות, אחרת המידע יימחק לצמיתות. הגיבוי האחרון שנמצא היה מלפני כשלושה שבועות, מצב שהיה עלול לגרום לאובדן עבודה משמעותי ולפגיעה קשה באמון הלקוחות.
האתגר: הצפנה מלאה של שרת הקבצים ולחץ זמן קריטי
וירוס הכופרה שפגע במשרד הצליח להצפין את שרת הקבצים המרכזי ואת רוב עמדות העבודה המחוברות אליו, כולל תיקיות רגישות המכילות מידע חסוי של לקוחות. מעבר לצורך הטכני לשחזר את המידע, המשרד עמד גם בפני שיקולים משפטיים ואתיים – חובת הסודיות המקצועית מחייבת התייחסות זהירה במיוחד לכל מידע לקוח שנחשף לסיכון, וכל תשלום כופר היה עלול לממן פעילות פלילית מבלי להבטיח קבלת מפתח פענוח אמין.
הפתרון: ניתוק מיידי, זיהוי זן הכופרה ושחזור ללא תשלום דרישת הכופר
עם קבלת הפנייה, הודרך המשרד לנתק מיידית את כל העמדות והשרת מהרשת כדי לעצור הצפנה נוספת, ולהימנע מכל ניסיון הפעלה חוזרת. צוות צ'יפ מחשבים זיהה את זן הכופרה הספציפי על סמך סיומת הקבצים המוצפנים והודעת הכופר שהוצגה, ובדק אפשרות לפענוח באמצעות כלים ציבוריים הידועים לזן זה. במקביל, אותרו עותקי צל (Shadow Copies) ונקודות שחזור מערכת שלא זוהו או נמחקו על ידי התוקפים, ובוצע שחזור ישיר של קבצים נוספים ישירות מהדיסקים שלא נדרסו במלואם.
התוצאה: שחזור מלא של תיקי הלקוחות ללא תשלום כופר
תוך יומיים, שוחזרו כמעט כל קבצי המשרד – כולל תיקי לקוחות פעילים, ללא צורך בתשלום כופר לתוקפים. המשרד קיבל דוח מסודר של תהליך הטיפול באירוע, שסייע גם מול לקוחות שנדרשו לעדכן בדבר האירוע בהתאם לחובות הרגולטוריות. בעקבות המקרה, אימץ המשרד מדיניות גיבוי חדשה הכוללת עותק יומי מנותק מהרשת (Offline), ואימות דו-שלבי לכל גישה מרחוק למערכות המשרד.
רקע המקרה
האירוע
הודעת כופר על כל עמדות העבודה
משרד עורכי דין גילה בבוקר שכל קבצי המשרד הוצפנו במהלך הלילה, עם דרישת כופר ומועד אחרון של 72 שעות.
הסיכון המיוחד
חובת סודיות מקצועית כלפי לקוחות
מעבר לאובדן המידע, המשרד נדרש להתמודד עם שיקולי סודיות ורגולציה בנוגע לחשיפת מידע לקוחות באירוע.
תהליך השחזור
ניתוק מיידי מהרשת
עצירת ההצפנה
כל העמדות והשרת נותקו מיד עם גילוי האירוע, כדי למנוע הצפנה נוספת והתפשטות בין המחשבים.
זיהוי זן הכופרה
בדיקת אפשרויות פענוח פומביות
זיהוי מדויק של זן הכופרה אפשר לבדוק אם קיים כלי פענוח ציבורי רלוונטי מבעוד מועד.
שחזור מעותקי צל ונקודות שחזור
שחזור ללא תשלום כופר
איתור עותקים שלא נמחקו על ידי התוקפים אפשר שחזור ישיר של רוב הקבצים ללא צורך בתשלום.
בעיה
וירוס כופרה הצפין את שרת הקבצים המרכזי ורוב עמדות העבודה במשרד עורכי דין, כולל תיקי לקוחות חסויים, כאשר הגיבוי הזמין היה בן כשלושה שבועות.
פתרון
ניתוק מיידי מהרשת, זיהוי זן הכופרה, איתור עותקי צל ונקודות שחזור שלא נמחקו, ושחזור ישיר של קבצים מהדיסקים ללא תשלום כופר לתוקפים.
תוצאות
- שוחזרו כמעט כל קבצי המשרד, כולל תיקי לקוחות פעילים
- לא שולם כופר לתוקפים
- התהליך הושלם תוך יומיים בלבד
- המשרד קיבל דוח מסודר לצרכים רגולטוריים ומול לקוחות
- אומצה מדיניות גיבוי מנותקת ואימות דו-שלבי למניעת הישנות
שאלות נפוצות
- מדוע לא מומלץ לשלם את דרישת הכופר?
תשלום כופר אינו מבטיח קבלת מפתח פענוח תקין, מממן פעילות פלילית, ועלול לסמן את הארגון כיעד חוזר להתקפות עתידיות.
- איך הצליחו לשחזר מידע בלי לשלם כופר?
באמצעות איתור עותקי צל ונקודות שחזור מערכת שהתוקפים לא זיהו או מחקו, וכן שחזור ישיר של נתונים מהדיסקים המקוריים במקומות שלא נדרסו במלואם על ידי ההצפנה.
- מה החשיבות המיוחדת של תקיפת כופרה במשרד עורכי דין?
מעבר לנזק התפעולי, קיימת חובת סודיות מקצועית מחמירה כלפי לקוחות, ולעיתים גם חובת דיווח רגולטורית - מה שמחייב תיעוד קפדני של כל שלבי הטיפול באירוע.
- איך מונעים תקיפת כופרה חוזרת?
גיבוי יומי מנותק מהרשת, עדכוני אבטחה שוטפים, אימות דו-שלבי לגישה מרחוק, והדרכת עובדים לזיהוי הודעות פישינג.

