שיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר
-
@עידו300 לא עברתי על הכל אבל שים לב שקבצים בסל המחזור מקבלים שמות רנדומליים כאלו
כמו כן האנטי וירוס מנתח לפי תוכן ולא לפי סיומות כך שלא כל כך משנה הסיומת ששינית אבל אם כן אז באמת הקובץ לא רץ@מתכנת-חובב כן, זה מה שהרגיע אותי... אני לא מאמין שהוא יכול לרוץ כקובץ טקסט.
-
@מתכנת-חובב כן, זה מה שהרגיע אותי... אני לא מאמין שהוא יכול לרוץ כקובץ טקסט.
-
@מתכנת-חובב כן, זה מה שהרגיע אותי... אני לא מאמין שהוא יכול לרוץ כקובץ טקסט.
@עידו300 בטוח?כי בסופו של דבר הסל מיחזור זה כן מקום כלשהוא בדיסק
-
@עידו300 ליתר דיוק הוא לא קובץ טקסט אבל ווינדוס מריץ לפי הסיומת ולא לפי ה magic ולכן כנראה הוא לא רץ
לא הורדתי מהשרת שלהם.
העתקתי את מה שהיה בגיטהאב לאיזה אתר שמענח את הפורמט הנ"ל, לאחר שראיתי שא"א להעתיק את התוכן המפוענח הורדתי אותו כקובץ טקסט, העתקתי ממנו את החלק הרלוונטי ופענחתי שוב, וחוזר חלילה.בכזה מצב אין היגיון שהוא ירוץ בטעות, נכון שהתוכן הוא אולי וירוס אבל הסימות הוא txt והוא לא אמור לרוץ בלי פקודה נכונה להרצה. ככה לפחות דעתי.
-
@עידו300 בטוח?כי בסופו של דבר הסל מיחזור זה כן מקום כלשהוא בדיסק
@יוסי-רחמים כן אבל זה לא מקום שרץ, זה מקום מת.
-
לא הורדתי מהשרת שלהם.
העתקתי את מה שהיה בגיטהאב לאיזה אתר שמענח את הפורמט הנ"ל, לאחר שראיתי שא"א להעתיק את התוכן המפוענח הורדתי אותו כקובץ טקסט, העתקתי ממנו את החלק הרלוונטי ופענחתי שוב, וחוזר חלילה.בכזה מצב אין היגיון שהוא ירוץ בטעות, נכון שהתוכן הוא אולי וירוס אבל הסימות הוא txt והוא לא אמור לרוץ בלי פקודה נכונה להרצה. ככה לפחות דעתי.
-
@עידו300 לא הבנתי
ירד לך קובץ plain text? -
@מתכנת-חובב כן, קובץ טקסט רגיל
-
@עידו300 מגיטהאב?
תוכל לשלוח אותו \ קישור?
הבנתי שזאת נוזקה בינארית -
@עידו300 מגיטהאב?
תוכל לשלוח אותו \ קישור?
הבנתי שזאת נוזקה בינארית@מתכנת-חובב הקישור כבר לא פעיל.
כאןזה הפיענוח של סיבוב אחד אני חושב
מובן, אין לפתוח סתם בלי לדעת מה לא לעשות!
-
@מתכנת-חובב הקישור כבר לא פעיל.
כאןזה הפיענוח של סיבוב אחד אני חושב
מובן, אין לפתוח סתם בלי לדעת מה לא לעשות!
-
@עידו300 זה base64 בתוך base64 בתוך base64...
בכל אופן לא חקרתי לעומק כי אני קצת עסוק עכשיו אבל נראה שזאת לא הנוזקה בעצמה אלא משהו שמדבר עם השרת ואולי מוריד ממנו את הנוזקה (אגב למה שמת את זה ב utf16?) -
@מתכנת-חובב זה תוך כדי אוסף נתונים ואז משיך הלאה.
לא שמתי, ככה זה מגיע.@cfopuser הוא המומחה לענין.
@עידו300 כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
@מתכנת-חובב זה תוך כדי אוסף נתונים ואז משיך הלאה.
לא אוסף נתונים רק מדמה אוסף נתונים (וגם הם לא נתונים מעניינים)
-
@מתכנת-חובב הקישור כבר לא פעיל.
כאןזה הפיענוח של סיבוב אחד אני חושב
מובן, אין לפתוח סתם בלי לדעת מה לא לעשות!
@עידו300 זה לא מעניין הם ממש מעצבנים שעושים את זה בutf 16 מוזרים שיש שם הערות וזה נגמר ברצף פעולות חשבון שבסוף זה פשוט מוריד msi בדומה למה שכול השאר עושים (הוירוס הוא אותו אחד בכולם.
https://www.microsoft.com/en-us/security/blog/2025/05/21/lumma-stealer-breaking-down-the-delivery-techniques-and-capabilities-of-a-prolific-infostealer/ -
זה נראה אותו אחד,
גם הקבצים והפלואו של כול התהליך זהים ברובם.אגב נראה שהוא פשוט עובר אוטומטית שרת שרת של wordpress ומחפש פלאגינים לא מעודכנים...
זה תזכורת למי שמנהל אתר בוורדפרס לא לשכוח לעדכן הכול. -
בלת"ק לגמרי לא יכלתי לעבור על כל הנושא אבל היום שמתי לב לזה,
האם ידוע בודאות שהוירוס הזה עושה משהו חוץ מהקוד שהוא שולח למחשב, כי קיימים כל מיני מתחזים בשוק שרק מאיימים ואין להם שום גישה לשום כלום.
אגב כדאי להיכנס לאתר של רשות הסייבר ולבדוק האם כתוב שם את התופעה ומה יש להם להגיד,
בכל אופן לפני הרבה זמן קפצה לי איזה הודעה של רשות הסייבר על כל מיני עברות ברשת או משהו כזה לא זוכר במדויק, ושאני צריך לתת כופר לא וזכר כמה,
כמובן נלחצתי וזה ישב על מסך מלא בצורה שנראה שחסם את כל המחשב וגם היה מדויק כמו דף של רשות הסייבר ולא כמו מה שהעלו פה ממשטרת ישראל עם המון טעויות,
בכל אופן עברתי מחשב נכנסתי לכרום והתחלתי למחוק הכל כולל הכל בתקווה שזה לא מאוחר מידי, רצתי קניתי אונקי חדש גדול והעתקתי את כל החומר במחשב כמובן הייתי לחוץ ובמגבלת זמן:).
תכלס' בסוף לא קרה כלום ואח"כ הצלחתי להבין גם למצוא כל מיני שגיאות בדף אינטרנט שמוכיחות שזה לא כלום, וגם ככה היה כתוב ברשות הסייבר,
תכלס' אם אחרי 3 חודשים עם 265 פוסטים לא הוכח שבאמת יש להם גישה או משהו אני חושב שאפשר להתקדם הלאה ברוגע.
נ.ב. אגב כפי שכן הצלחתי להבין בשרשור עם נתנו זמן של שעה וחצי, וכבר עבר 3 חודשים ולא עשו כלום, ואולי היה כבר עוד כאלה כאן בפורום אז לענ"ד (שהיא באמת עניה בתחום הזה) אפשר להירגע וכמובן שאיני לוקח שום אחרת ע"ז. -
ע עידו300 התייחס לנושא זה
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}