שיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר
-
@עידו300 מגיטהאב?
תוכל לשלוח אותו \ קישור?
הבנתי שזאת נוזקה בינארית@מתכנת-חובב הקישור כבר לא פעיל.
כאןזה הפיענוח של סיבוב אחד אני חושב
מובן, אין לפתוח סתם בלי לדעת מה לא לעשות!
-
@מתכנת-חובב הקישור כבר לא פעיל.
כאןזה הפיענוח של סיבוב אחד אני חושב
מובן, אין לפתוח סתם בלי לדעת מה לא לעשות!
-
@עידו300 זה base64 בתוך base64 בתוך base64...
בכל אופן לא חקרתי לעומק כי אני קצת עסוק עכשיו אבל נראה שזאת לא הנוזקה בעצמה אלא משהו שמדבר עם השרת ואולי מוריד ממנו את הנוזקה (אגב למה שמת את זה ב utf16?) -
@מתכנת-חובב זה תוך כדי אוסף נתונים ואז משיך הלאה.
לא שמתי, ככה זה מגיע.@cfopuser הוא המומחה לענין.
@עידו300 כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
@מתכנת-חובב זה תוך כדי אוסף נתונים ואז משיך הלאה.
לא אוסף נתונים רק מדמה אוסף נתונים (וגם הם לא נתונים מעניינים)
-
@מתכנת-חובב הקישור כבר לא פעיל.
כאןזה הפיענוח של סיבוב אחד אני חושב
מובן, אין לפתוח סתם בלי לדעת מה לא לעשות!
@עידו300 זה לא מעניין הם ממש מעצבנים שעושים את זה בutf 16 מוזרים שיש שם הערות וזה נגמר ברצף פעולות חשבון שבסוף זה פשוט מוריד msi בדומה למה שכול השאר עושים (הוירוס הוא אותו אחד בכולם.
https://www.microsoft.com/en-us/security/blog/2025/05/21/lumma-stealer-breaking-down-the-delivery-techniques-and-capabilities-of-a-prolific-infostealer/ -
זה נראה אותו אחד,
גם הקבצים והפלואו של כול התהליך זהים ברובם.אגב נראה שהוא פשוט עובר אוטומטית שרת שרת של wordpress ומחפש פלאגינים לא מעודכנים...
זה תזכורת למי שמנהל אתר בוורדפרס לא לשכוח לעדכן הכול. -
בלת"ק לגמרי לא יכלתי לעבור על כל הנושא אבל היום שמתי לב לזה,
האם ידוע בודאות שהוירוס הזה עושה משהו חוץ מהקוד שהוא שולח למחשב, כי קיימים כל מיני מתחזים בשוק שרק מאיימים ואין להם שום גישה לשום כלום.
אגב כדאי להיכנס לאתר של רשות הסייבר ולבדוק האם כתוב שם את התופעה ומה יש להם להגיד,
בכל אופן לפני הרבה זמן קפצה לי איזה הודעה של רשות הסייבר על כל מיני עברות ברשת או משהו כזה לא זוכר במדויק, ושאני צריך לתת כופר לא וזכר כמה,
כמובן נלחצתי וזה ישב על מסך מלא בצורה שנראה שחסם את כל המחשב וגם היה מדויק כמו דף של רשות הסייבר ולא כמו מה שהעלו פה ממשטרת ישראל עם המון טעויות,
בכל אופן עברתי מחשב נכנסתי לכרום והתחלתי למחוק הכל כולל הכל בתקווה שזה לא מאוחר מידי, רצתי קניתי אונקי חדש גדול והעתקתי את כל החומר במחשב כמובן הייתי לחוץ ובמגבלת זמן:).
תכלס' בסוף לא קרה כלום ואח"כ הצלחתי להבין גם למצוא כל מיני שגיאות בדף אינטרנט שמוכיחות שזה לא כלום, וגם ככה היה כתוב ברשות הסייבר,
תכלס' אם אחרי 3 חודשים עם 265 פוסטים לא הוכח שבאמת יש להם גישה או משהו אני חושב שאפשר להתקדם הלאה ברוגע.
נ.ב. אגב כפי שכן הצלחתי להבין בשרשור עם נתנו זמן של שעה וחצי, וכבר עבר 3 חודשים ולא עשו כלום, ואולי היה כבר עוד כאלה כאן בפורום אז לענ"ד (שהיא באמת עניה בתחום הזה) אפשר להירגע וכמובן שאיני לוקח שום אחרת ע"ז. -
ע עידו300 התייחס לנושא זה
-
סוף סוף יש לזה התייחסות מרשות הסייבר של המדינה
https://www.gov.il/he/pages/titan250526
מה ש @יונימדיה דיווח עליו נקרא הונאת Click-Fix
הדאיג אותם שיפלו בזה עובדים מאיזו חברת תעשיה גדולה שיש לה נתונים רגישים או סתם משקל כלכלי גדול, על האזרחים הפרטיים הם פחות דאגו...
כמובן, הם טוענים שהם פתרו את הבעיה, אבל בינתיים הרבה אנשים נפלו בזה.
כידוע השכל והמשטרה תמיד באים מאוחר מדי...
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}