שיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר
-
@צדיק-תמים אל תדאג זה פשוט ווירוס עובד כמו כל תוכנה רגילה על יד קוד. ויש חשש שהויירוס רץ על המחשב בגלל שאם הוא לא היה רץ אז בקוד של התוכנה - הווירוס יש סיכוי שהיה תנאי שאומר שאם זה לא רץ אז לא תוצג ההודעה [זה לפחות מה שאני הייתי עושה אם הייתי מפתח את הווירוס הזה]
@המלאך כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
@צדיק-תמים אל תדאג זה פשוט ווירוס עובד כמו כל תוכנה רגילה על יד קוד. ויש חשש שהויירוס רץ על המחשב בגלל שאם הוא לא היה רץ אז בקוד של התוכנה - הווירוס יש סיכוי שהיה תנאי שאומר שאם זה לא רץ אז לא תוצג ההודעה [זה לפחות מה שאני הייתי עושה אם הייתי מפתח את הווירוס הזה]
ממליץ שוב ללמוד קצת איך מערכות הפעלה עובדות לפני שמתחילים לפלפל סברות
-
-
@צדיק-תמים אני מתנצל היה פה אי הבנה אני דיברתי ל הווירוס ולא על המערכת הפעלה!
@שלמפוק כנראה אם אתה גם במק וגם לא עשית משהו מחוץ לדפדפן אין לך מה לחשוש ושוב אני לא מתחייב...
רבותי, אם יש למישהו משהו להוסיף.... -
@המלאך כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
מישהו פה מהמקצוענים ניסה לבדוק את הווירוס ולנתח?
אני לא משתייך למקצעוניים שפה
אבל אולי אחרי שמי שפתח את הפוסט יראה שבאמת לא קרה כלום למחשב ישלח את הקישור של התוכנה הזו שביקשה אימות אני לא רובט בצורה המוזרה הזו ואחר יהיה אפשר לראות מה קורה שם בקונסול או משהו כזה -
@LEVI-H למעשה הוירוס יותר חכם אולי הmsi חשוד בגלל המבנה הלא שגרתי שלו אבל הקבצים בפנים מעורפלים בצורה גבוהה מאוד.
https://www.virustotal.com/gui/file/1432faeddfe57877873e8608ace13739ca66e8ce12b3453531e7eec4753df21d
https://www.virustotal.com/gui/file/36cfc0c1a0754f46d4b1dabbd7eaa4e8597372c4761573b27e3ef83e76e647b3
https://www.virustotal.com/gui/file/c4d2681291a97a3e07003be246ceda5f58a624cba807a5738d9b27432c792143בנוסף שהוירוס משתמש בfuzzing כדי להילחם בהנדסה לאחור.
-
@שלמפוק לא יעזור להדליק ולכבות 20 פעם.
לכבות וזהו!לפעמים הוירוס לוקח את הזמן עד שהוא עובד ועושה את כל העבודה, לפעמים הוא סתם ישן כדי להרדים את האדם ואז מתעורר ועושה מה שצריך.
בקיצור, לא להדליק.
אני מסכים עם @צדיק-תמים מי שלא מתמצא לא כדאי להעיר הערות ולהביא עצות, הוירוסים הרבה הרבה יותר מתוחכמים ממה שחושבים.
לוירוס בקלות יכולה להיות גירסא למק/לינוקס/וינדוס שתרד לפי סוג המחשב שרוצים להדביק.
אם לא הורדת כלום אלא רק קפצה לך ההודעה סביר להניח שלא קרה כלום (נכנסת לאחד הקישורים כאן?) למרות שתמיד יגלו איזו פרצה שעוקפת ארגזי חול (היו דברים מעולם) ופוליסים למיניהם. בכל זאת כדאי להריץ אנטי וירוס בגרסת לייב, למרות שאני לא יודע איך עושים את זה במק.
-
@שלמפוק לא יעזור להדליק ולכבות 20 פעם.
לכבות וזהו!לפעמים הוירוס לוקח את הזמן עד שהוא עובד ועושה את כל העבודה, לפעמים הוא סתם ישן כדי להרדים את האדם ואז מתעורר ועושה מה שצריך.
בקיצור, לא להדליק.
אני מסכים עם @צדיק-תמים מי שלא מתמצא לא כדאי להעיר הערות ולהביא עצות, הוירוסים הרבה הרבה יותר מתוחכמים ממה שחושבים.
לוירוס בקלות יכולה להיות גירסא למק/לינוקס/וינדוס שתרד לפי סוג המחשב שרוצים להדביק.
אם לא הורדת כלום אלא רק קפצה לך ההודעה סביר להניח שלא קרה כלום (נכנסת לאחד הקישורים כאן?) למרות שתמיד יגלו איזו פרצה שעוקפת ארגזי חול (היו דברים מעולם) ופוליסים למיניהם. בכל זאת כדאי להריץ אנטי וירוס בגרסת לייב, למרות שאני לא יודע איך עושים את זה במק.
@עידו300 בתכלס הוירוס אכן מטרגט ווינדוס הוא משתמש באפליקצייה מוכרת כדי לקבל את האישור של אנטי וירוס
ומשם והלאה הוא מזריק את עצמו לתוך האפליקצייה המאושרת באמצעות הזרקת dlls לאחר מיכן הוא קורא לכמה כתובות שממה שראיתי חלקם לא רשומות עדיין.לא סיימתי את המחקר כי בסוף זה נהיה טיפה משעמם אבל רוב הרעיון קיים שם.
@עידו300 לצאת מסנדבוקס זה פרצה ששוה כמה מיליונים אין מה לדאוג שיבזבזו אותם עליך.
-
@נחמן-פלח לעזור? מה בדיוק?
הם רק אוספים נתונים ומפרסמים כתבות לפי זה מה הנוזקות העכשוויות. (בלי לזלזל)אגב יש כתבות כבר ממזמן על האקרים שמתחזים למשטרת ישראל שדורשים כופר ומנסים לחסום את המחשב, זה לא חדש.
@נוחעם-FM כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
הם רק אוספים נתונים ומפרסמים כתבות לפי זה מה הנוזקות העכשוויות. (בלי לזלזל)
נו מעולה ידע הציבור ויזהר
מן הסתם תהיה להם רשימה של יותר מ2 אתרים
ואני מאמין שהם כן יכולים לנסות לעזור למחוק את הווירוסיםהיי
-
C cfopuser התייחס לנושא זה
-
@נוחעם-FM כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
הם רק אוספים נתונים ומפרסמים כתבות לפי זה מה הנוזקות העכשוויות. (בלי לזלזל)
נו מעולה ידע הציבור ויזהר
מן הסתם תהיה להם רשימה של יותר מ2 אתרים
ואני מאמין שהם כן יכולים לנסות לעזור למחוק את הווירוסים -
@נחמן-פלח זה היה פרסומת...
איך תמנע מלהיכנס לפרסומת?חוץ מזה שמי שלוחץ על כפתורים במקלדת בגלל פרסומת לא יעזור לו כתבות ממה להזהר...
-
@יונימדיה כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
תפענחו מה עשה בדיוק הפקודה
תשובה מגרוק:
Clop (ידוע גם כ-Cl0p) הוא וירוס כופר שידוע בשימוש בפקודות PowerShell מעורפלות להורדה והרצה של מטענים זדוניים, כולל סקריפטים שמורדים מקבצים כמו txt. הפקודה שציינת דומה לדפוסים בשימוש על ידי Clop, שבהם PowerShell משמש להורדת תוכן מקישורים חיצוניים (למשל, באמצעות Invoke-WebRequest או אליאסים כמו wget) והרצתו, לעיתים עם ערפול כדי להימנע מגילוי.
מה הווירוס עושה (ברמה גבוהה):כניסה למערכת: מתפשט דרך פרצות אבטחה (כמו CVE-2023-34362 ב-MOVEit או פרצות אחרות), דוא"ל פישינג עם קבצים זדוניים, או גישה מרחוק דרך RDP עם אישורים גנובים.
הרצה ראשונית: משתמש בכלים כמו Get2 loader או SDBot כדי להוריד רכיבים נוספים. PowerShell משמש להרצת סקריפטים שמבצעים סריקה, העלאת הרשאות, והתקנת backdoors.
סריקה ותנועה רוחבית: סורק את הרשת אחר קבצים, תהליכים ומכשירים מחוברים. משתמש בכלים כמו Cobalt Strike או PowerShell כדי להתפשט למכשירים אחרים ברשת, כולל שרתי Active Directory.
הצפנת קבצים: מצפין קבצים חשובים (תמונות, מסמכים, מסדי נתונים) באמצעות אלגוריתמים כמו AES ו-Salsa20, ומוסיף סיומת כמו .clop או .CIop. מונע גישה לקבצים עד תשלום כופר.
גניבת נתונים: בגרסאות מתקדמות, גונב נתונים רגישים ומאיים לפרסם אותם אם לא משלמים (שיטת double-extortion).
מחיקת עקבות: מוחק עותקי גיבוי (כמו shadow copies), סוגר תהליכי אבטחה, ומנקה יומנים כדי למנוע שחזור.
דרישת כופר: משאיר קובץ ransom note (כמו ClopReadMe.txt) עם הוראות תשלום בביטקוין או מטבעות קריפטו אחרים, בדרך כלל בסכומים גבוהים.
השפעה נוספת: יכול להשבית תוכנות אבטחה, לשנות הגדרות מערכת, וליצור שירותים כדי להישאר persistent. -
@א.מ. למומחים לעניין:
אין דרך להנדס לאחור ופשוט לראות איך עובדת ההצפנה של הוירוס ואז לעשות פעולה הפוכה של פיענוח הווירוס??
עברו שעתיים וב״ה לא קרה כלום הידד.
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}