בקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware

avramk100

@אמיר חוץ מזה לא היה לך שום גיבוי נוסף של אקרוניס וכדו ששומר גיבויים לחודש אחורה?

אמיר

@avramk100

סמכתי על זה שיש 3 עותקים
ואולי אפילו עוד אחד במחשב הנייד של המזכירה בבית שמסונכרן
כעת מתברר שהתיקיה שבמחשב אינה מכילה את המידע עצמו
והסינכרון עצר

כל זמן שזה עובד ואין חששות מזניחים
עכשיו כנראה שכבר נתגבר גיבויים

אמיר

@משחזר-מידע

דפים נוספים שמצאתי , מקווה שהם אמינים ולא מהצד של הרעים

הם כותבים שלרוב הוירוס מגיע מהפיצוחים של KMSPICO שכולם משתמשים לפצח את אופיס וחלונות .

https://geeksadvice.com/decrypt-files-locked-by-stop-djvu-ransomware-virus/

https://geeksadvice.com/remove-djvu-ransomware-virus/

כוכב ירושלמי

@אמיר
https://www.myantispyware.com/2021/11/01/how-to-remove-cool-ransomware-decrypt-cool-files/#kill
לפעמים אתה יכול להסיר את ההתקנה האחרונה דרך מנהל המשימות להגיע למנהל המשימות הקש ctrl + alt + delete
ומידי פעם התוקף גורם שלא תוכל לפתוח את הקישורים האלו אז תצטרך לערוך קובץ הוסט ככה הבנתי

מתכנת חובב

@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:

הם כותבים שלרוב הוירוס מגיע מהפיצוחים של KMSPICO שכולם משתמשים לפצח את אופיס וחלונות .

לכן אני תמיד פורץ עם הסקריפט - עברתי על הקוד שלו פעם ולא ראיתי שם משהו חשוד

avramk100

@מתכנת-חובב אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:

@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:

הם כותבים שלרוב הוירוס מגיע מהפיצוחים של KMSPICO שכולם משתמשים לפצח את אופיס וחלונות .

לכן אני תמיד פורץ עם הסקריפט - עברתי על הקוד שלו פעם ולא ראיתי שם משהו חשוד

ברור, רוב אם לא כל תוכנות ה kmsauto/kmspico נגועות ומנגעות לחלוטין, לפעמים זה שקוף כאשר באמצע נסיון הפריצה של הווינדוס התוכנה מבקשת ממך לאשר לה התקנת "מתאם רשת vpn " .. ועוד

מתכנת חובב

@avramk100 אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:

ברור, רוב אם לא כל תוכנות ה kmsauto/kmspico נגועות ומנגעות לחלוטין, לפעמים זה שקוף כאשר באמצע נסיון הפריצה של הווינדוס התוכנה מבקשת ממך לאשר לה התקנת "מתאם רשת vpn " .. ועוד

לא הבנתי למה אתה מתייג אותי

אלי ויל

@avramk100 אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:

@מתכנת-חובב אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:

@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:

הם כותבים שלרוב הוירוס מגיע מהפיצוחים של KMSPICO שכולם משתמשים לפצח את אופיס וחלונות .

לכן אני תמיד פורץ עם הסקריפט - עברתי על הקוד שלו פעם ולא ראיתי שם משהו חשוד

ברור, רוב אם לא כל תוכנות ה kmsauto/kmspico נגועות ומנגעות לחלוטין, לפעמים זה שקוף כאשר באמצע נסיון הפריצה של הווינדוס התוכנה מבקשת ממך לאשר לה התקנת "מתאם רשת vpn " .. ועוד

גם מה שהביאו כאן בפורום?

משחזר מידע

@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:

הם כותבים שלרוב הוירוס מגיע מהפיצוחים של KMSPICO שכולם משתמשים לפצח את אופיס וחלונות

לא רק
גם דרך הפצות של מיילים עם כל מיני קבצים מצורפים נגועים ו/או לינקים שמפתים את מקבל המייל...

avramk100

@אלי-ויל הסקריפט לא עושה רושם בעייתי. אם אתה מדבר על זה

משה מזרחי

@אלי-ויל אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:

גם מה שהביאו כאן בפורום?

תלוי איזה , מה שכתוב פה(kmsPICO) זה לא מומלץ
תראה פה דוגמא

אמיר

@משחזר-מידע

כרגע אני עובד רק על הקשיח - רשת
מתוך הבנה שכנראה החומר מעולם לא היה על הקשיח של מערכת ההפעלה אלא רק מקושר וירטואלית

התוכנה האחרונה שניסיתי Disk Drill
מספקת לי קבצים בשני קטגוריות , קיימים ומשוחזרים
והמוזר שבשניהם הסיומות כבר COOL
ובכל זאת בחילוץ של המשוחזרים קיבלתי קבצים עם הסיומות המקוריות אבל עדיין לא נפתחים .
הקבצים החשובים הם XLSX DOCX PDF

החומר שבקטגוריית reconstructed תקין
אבל זה אוסף קבצים במספרים רצים ללא השם המקורי כנראה שגם הכמות לא כוללת הכל .

מערכת הקבצים של הקשיח WD הזה

משחזר מידע

@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:

ובכל זאת בחילוץ של המשוחזרים קיבלתי קבצים עם הסיומות המקוריות אבל עדיין לא נפתחים .

תעלה צילומ של קובץ אחד כזה בפתיחתו עם Hex editor

שחל

@אמיר בקישור שלמעלה כתוב שהוירוס לא מקודד את כל הקובץ אלא רק את תחילתו שלא יהיה שמיש, כך שניתן איכשהו לפרק אותו ולחלץ חלק מהחומר.
(וסליחה שאני מתערב במגרש של האלופים )

אמיר

@משחזר-מידע

יש עדיפות לסוג הקובץ ?
EXE
TXT DOC
PDF

הנה PDF בסיומת המקורית אבל גם לא נפתח

וזה PDF אחר עם סיומת COOL

FSHLOMO

@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:

@משחזר-מידע

יש עדיפות לסוג הקובץ ?
EXE
TXT DOC
PDF

הנה PDF

וזה PDF אחר עם סיומת COOL

מה נהיה למעשה שלימתה יש לך הכול חזרה??

מתכנת חובב

@fshlomo הוא הראה בראשון את המקור ובשני אחרי ההצפנה

FSHLOMO

@מתכנת-חובב אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:

@fshlomo הוא הראה בראשון את המקור ובשני אחרי ההצפנה כשתחילת השינוי מתחיל באיפה שמסומן בכחול

לא הבנתי

אמיר

@מתכנת-חובב

תיקנתי את התיאור
שניהם לא נפתחים
האחד עם הסיומת COOL השני ללא אבל כנראה אחרי הקידוד

הנה שני קבצי XLSX
הימני תקין ונפתח השמאלי מקודד

אמיר

@משחזר-מידע

יש התקדמות לטובה
בעקבות המדריכים שראיתי החלטתי לבדוק את האופציה של ShadowExplorer
https://www.youtube.com/watch?v=8mCtBQqHZQA
לראות אם במקרה במחשב היה מופעל השירות ואם הוירוס לא מטפל גם בדבר הכ"כ פשוט הזה
ולהפתעתי אכן קיימים שם המון שכבות כולל מספר תצלומים מהשעות שלפני המתקפה ,
הצרה ששוב כמו מקודם, התיקיה הזו רק מקושרת לכונן הרשת ואינה פיזית על הקשיח של המערכת,
כך שאותה אין לי
אבל יש לי את שולחן העבודה, המסמכים , הורדות וגם נכנסתי לתקיות של שמירה אוטומטית של אקסל ושם יש עוד כמה

אבל .....
תוך כדי שאני מחלץ לקשיח חיצוני שחיברתי , פתאום כל הקבצים המחולצים מתחילים להחליף סיומת ל cool

כעת אני חייב למצא כלי שינקה את המערכת או לנסות במצב בטוח, בתקוה שהוירוס לא פעיל שם .