בקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware

משחזר מידע

@fshlomo בבקשה אם אתה מביא משו משפה זרה אל תשתמש עם translator
אין אפשרות להבין מילה אחת

FSHLOMO

@משחזר-מידע אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:

@fshlomo בבקשה אם אתה מביא משו משפה זרה אל תשתמש עם translator
אין אפשרות להבין מילה אחת

יש עוד דרך לתרגום אבל יותר טוב?

shloimy

@fshlomo אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:

יש עוד דרך לתרגום אבל יותר טוב?

להביא את זה לא מתורגם! מי שרוצה שיתרגם לעצמו.
אגב הכלי באתר שהבאת נראה לי שלא יעזור למקרה הנ"ל.

משחזר מידע

@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:

מכיר דרך קצרה יותר

כתבתי לך כבר כל דרך אחרת מאשר לקבל את מפתח ההצפנה לא תהי קצרה וגם לא זול יותר

אני מכיר דרכים אבל בפירוש לא קצרה

aiib

@משחזר-מידע אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:

בשביל 490$ (או אפילו כפול) לא שוה לקחת גוף(ים) שיטפלו בזה

השאלה המרכזית היא אם אחרי שהם יקבלו את הכסף הם ידרשו עוד ועוד כסף כדי לשחרר... כי לפי הסכומים והמשרד שהם בחרו למטרה נראה שלא מדובר בקבוצה מוכרת וידועה אלא רק בהאקר שעשה נסיון שהצליח, עכשיו הוא לא יעזוב את הטרף.... למה לו?!

משחזר מידע

@aiib כל השאלות ששאלת עניתי כבר במגילת אסתר

משחזר מידע

@aiib אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:

השאלה המרכזית היא אם אחרי שהם יקבלו את הכסף הם ידרשו עוד ועוד כסף כדי לשחרר...

כתבתי שיש סיכון...

משחזר מידע

@aiib אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:

כי לפי הסכומים והמשרד שהם בחרו למטרה נראה שלא מדובר בקבוצה מוכרת וידועה אלא רק בהאקר שעשה נסיון שהצליח

כתבתי ששיטת העבודה שלהם היא אנשים פרטיים ועסקים קטנים
ובכלל לא מדובר בהאקר פרטי
כתבתי שהם מהגדולים במגזרים האלה

ואגב אחרי הצילומ שהועלה לכאן אני כלל לא בטוח שהם בחרו בו
המזכירה שלחצה על ניקוי נגיף היא זאת שבחרה בהם

avramk100

@משחזר-מידע אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:

המזכירה שלחצה על ניקוי נגיף היא זאת שבחרה בהם

לא קורה בוקר אחד שהודעה כזו קופצת במחשב. מישהו אישר לאתר מסוים להציג הודעות.. וכו'
כשמאפשרים לכל משתמש זוטר להתקין ולהוריד כל מה שזז ברשת אז צריך לקחת בחשבון מוכנות גבוהה לוירוסים כאלו

avramk100

@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:

ובהתקנת הפורטי VPN מופיע האפשרות להגנה מפני הכופר
אז מדוע הוא לא עזר

למה אתה חושב שזה קשור לפורטי ? אם כבר הייתי בא בטענות לחברת chekpoint שלוקחת תשלום מידי חודש על שרות..

פלורידה

@avramk100 לפי הצילום מסך זו הודעת מייל

avramk100

@פלורידה אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:

@avramk100 לפי הצילום מסך זו הודעת מייל

זו הודעת דפדפן עפ רוב ונתקלתי בה כמה פעמים, לחיצה על ההודעה מעבירת אותך לעמוד שמבקש פרטי אשראי, עקבתי פעם אחת על פרטי ההודעה וראיתי את כתובת האתר שמקפיץ אותה

אמיר

@משחזר-מידע

אז כך

עד שהגעתי למקום הזה , המחשב הזה היה המחשב הראשי "שרת קבצים" כונן רשת בשם R ששותף לכל המחשבים שהיו ריכים גישה לחומר שבו ,
התיקיה הזו ישבה בתוך תקיית ה ONEDRIVE של המחשב שהיא מסונכרנת לענן .

במקום זה הזמנתי קשיח בממשק רשת ושמתי אותו בארון תקשורת והוא הפך לשרת הקבצים
אליו גם ניתבתי את הסריקות ממכונת הצילום , תקיה לכל פקידה .

אבל אז נוצרה בעיית הסינכרון בין כונן הרשת הזה לבין ה ONEDRIVE שלא עובדת בגרסה הזו
והפתרון שעשיתי הוא בעזרת הפקודה/תוסף של ה Symbolic link
https://en.wikipedia.org/wiki/Symbolic_link
https://schinagl.priv.at/nt/hardlinkshellext/linkshellextension.html

שמה שהיא עושה זה תקיה מדומה שמסונכרנת בין שני מיקומים
וכך גרמתי לשירות של ONEDRIVE להעלות את התוכן של התקיה שנמצאת בכונן הרשת .

כלומר שהמזכירה הראשית עובדת מקומית על "תקיה במחשב שלה" שנמצאת בתקיית הדרייב
שהיא מסונכרנת לכונן הרשת שבארון
וכל הסינכרון/גיבוי לענן , תלוי בפעולת המחשב הזה .

מבדיקה שעשיתי עכשיו בכונן הדרייב שבאתר , הסינכרון האחרון התבצע לפני שנה ,
כנראה שמסיבה כל שהיא לא היה צורך בסינכרון למקום אחר ולא בדקו את זה .

כעת יש בידי שני כוננים קשיחים מפורקים
האחד SSD SANDISK שפורק מהמחשב המדובר שעליו מערכת ההפעלה והתקיית סינכרון ושהוא כעת מוצפן כולו .
וקשיח נוסף 3TB שפרקתי מהמארז שלו כדי לחבר אותו פיזית למחשב אחר שממנו אני סורק את הדיסק ,

וממה שנראה עד כה, כנראה שאותה תקיה אכן לא נמצאת על המחשב בכלל היא רק מקושרת
ולכן אין לי מה לחפש ב SSD הזה וגם לא בענן
ומה שנשאר לנו זה רק הכונן רשת הזה שקודד בשיתוף ברשת המקומית .

השאלה מה הסיכוי למצא את הגילגול הקודם של הקבצים שקודדו
תודה

avramk100

@אמיר חוץ מזה לא היה לך שום גיבוי נוסף של אקרוניס וכדו ששומר גיבויים לחודש אחורה?

אמיר

@avramk100

סמכתי על זה שיש 3 עותקים
ואולי אפילו עוד אחד במחשב הנייד של המזכירה בבית שמסונכרן
כעת מתברר שהתיקיה שבמחשב אינה מכילה את המידע עצמו
והסינכרון עצר

כל זמן שזה עובד ואין חששות מזניחים
עכשיו כנראה שכבר נתגבר גיבויים

אמיר

@משחזר-מידע

דפים נוספים שמצאתי , מקווה שהם אמינים ולא מהצד של הרעים

הם כותבים שלרוב הוירוס מגיע מהפיצוחים של KMSPICO שכולם משתמשים לפצח את אופיס וחלונות .

https://geeksadvice.com/decrypt-files-locked-by-stop-djvu-ransomware-virus/

https://geeksadvice.com/remove-djvu-ransomware-virus/

כוכב ירושלמי

@אמיר
https://www.myantispyware.com/2021/11/01/how-to-remove-cool-ransomware-decrypt-cool-files/#kill
לפעמים אתה יכול להסיר את ההתקנה האחרונה דרך מנהל המשימות להגיע למנהל המשימות הקש ctrl + alt + delete
ומידי פעם התוקף גורם שלא תוכל לפתוח את הקישורים האלו אז תצטרך לערוך קובץ הוסט ככה הבנתי

מתכנת חובב

@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:

הם כותבים שלרוב הוירוס מגיע מהפיצוחים של KMSPICO שכולם משתמשים לפצח את אופיס וחלונות .

לכן אני תמיד פורץ עם הסקריפט - עברתי על הקוד שלו פעם ולא ראיתי שם משהו חשוד

avramk100

@מתכנת-חובב אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:

@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:

הם כותבים שלרוב הוירוס מגיע מהפיצוחים של KMSPICO שכולם משתמשים לפצח את אופיס וחלונות .

לכן אני תמיד פורץ עם הסקריפט - עברתי על הקוד שלו פעם ולא ראיתי שם משהו חשוד

ברור, רוב אם לא כל תוכנות ה kmsauto/kmspico נגועות ומנגעות לחלוטין, לפעמים זה שקוף כאשר באמצע נסיון הפריצה של הווינדוס התוכנה מבקשת ממך לאשר לה התקנת "מתאם רשת vpn " .. ועוד

מתכנת חובב

@avramk100 אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:

ברור, רוב אם לא כל תוכנות ה kmsauto/kmspico נגועות ומנגעות לחלוטין, לפעמים זה שקוף כאשר באמצע נסיון הפריצה של הווינדוס התוכנה מבקשת ממך לאשר לה התקנת "מתאם רשת vpn " .. ועוד

לא הבנתי למה אתה מתייג אותי