במהלך השבת הותקפו מעל 100 אתרים ישראלים ובמקום חלק מהתוכן המקורי שלהם הופיע דף שחור ועליו הכיתוב באדום “Jerusalem Is The Capital Of Palestine”. התוקפים המכנים את עצמם OpJerusalem גם טמנו באתרים שהותקפו תוכנת כופר.
לדברי עידו נאור, מנהל מחקר בקספרסקי ישראל, ההתקפה נצפתה באתרים רבים, והיא מגיעה מאותו השורש – קוד עוין אשר הוחלף בקוד של תוסף אשר אתרים רבים מוסיפים בדף האתר שלהם על מנת לאפשר לאנשים בעלי מוגבלויות גישה לתכנים באתרים שלהם.
לדברי נאור, תוסף זה שייך לחברה בשם Nagich.co.il, המתמחה בהנגשת תכנים לבעלי מוגבלויות. מכיוון ולקוחותיה של נגיש (סופר פארם, מקדונלדס, בנק הפועלים, פרטנר ורבים רבים נוספים) בסך הכל מטמיעים את הקוד בדף האתר שלהם, הקוד בעצם נשלט משרתי חברת נגיש ולמי שיש גישה לקוד יכול לשנותו.
האקרים שגילו את הפלאגין השכילו להבין שדי בפרצה אחת על מנת להדביק מאות אלפי משתמשים. ההאקרים פנו לשורש הפלאגין הזה – שם מתחם משני של חברת נגיש – js.nagich.co.il - ושם הושתל הקוד הזדוני. דבר זה גרם לטעינה של הקוד בכל דף בו קיים לינק ההנגשה, ולכאורה להורדה של תוכנת כופר למחשבם של ישראלים המבקרים באתרים הללו.
לדברי נאור, הסיבה להחלפת הקוד הייתה בראש ובראשונה הצגת דף HTML ובוא תוכן תעמולתי. לאחר מכן, בקוד המקור של אותו הדף נעשה זיהוי של סוג מערכת ההפעלה ולאחר מכן ניסיון הורדה של קובץ המתחזה לעדכון תוכנה של Adobe Flash Player. מאחורי ה"עידכון" עומדת תוכנת כופר אשר בעת הפעלתה תנעל את קבצי המחשב הקורבן ותדרוש 500$ במטבעות וירטואליים, עבור שחרור הקבצים. בנוסף, על הקורבן יהיה להתקין דפדפן חדש בשם Tor דרכו יגלוש לאתר אשר לא ניתן למצוא אותו ברשת האינטנרט הרגילה – אתרים אלו הינם בעלי סיומת onion ונמצאים ברשת הדארקנט.
תוכנת הכופר מכילה קובץ המקפיץ הודעת שגיאה מזויפת ולאחר מכן, באופן מיידי, יפתח חלון פקודות במחשב הקורבן ובוא יהיה כתוב #OpJerusalem והסבר על כך שהקבצים במחשב מוצפנים וניתן לשחררם רק באמצעות תשלום כופר. סיומות הקבצים הינם JCRY שככל הנראה משמשים כקיצור של Jerusalem Cry.
בשלב זה לא ידועה זהות התוקפים ואין בהכרח קשר בינם לבין המתקפה השנתית של OPISRAEL.
המלצות:
(1) מעבדת קספרסקי אינה ממליצה לשלם את הכופר
(2) יש לעדכן תוכנת אנטי וירוס
(3) קספרסקי מזהה את תוכנת הכופר וחוסמת אותה על פי ניתוחים היוריסטים
(4) במידה והקובץ ירד למחשב ואכן הותקנה תוכנת הכופר, יש ליצור קשר עם מומחה על מנת לנסות ולאחזר את הקבצים
