בקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware
-
@aiib אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
כי לפי הסכומים והמשרד שהם בחרו למטרה נראה שלא מדובר בקבוצה מוכרת וידועה אלא רק בהאקר שעשה נסיון שהצליח
כתבתי ששיטת העבודה שלהם היא אנשים פרטיים ועסקים קטנים
ובכלל לא מדובר בהאקר פרטי
כתבתי שהם מהגדולים במגזרים האלהואגב אחרי הצילומ שהועלה לכאן אני כלל לא בטוח שהם בחרו בו
המזכירה שלחצה על ניקוי נגיף היא זאת שבחרה בהםדפים נוספים שמצאתי , מקווה שהם אמינים ולא מהצד של הרעים
הם כותבים שלרוב הוירוס מגיע מהפיצוחים של KMSPICO שכולם משתמשים לפצח את אופיס וחלונות .
https://geeksadvice.com/decrypt-files-locked-by-stop-djvu-ransomware-virus/
-
דפים נוספים שמצאתי , מקווה שהם אמינים ולא מהצד של הרעים
הם כותבים שלרוב הוירוס מגיע מהפיצוחים של KMSPICO שכולם משתמשים לפצח את אופיס וחלונות .
https://geeksadvice.com/decrypt-files-locked-by-stop-djvu-ransomware-virus/
@אמיר
https://www.myantispyware.com/2021/11/01/how-to-remove-cool-ransomware-decrypt-cool-files/#kill
לפעמים אתה יכול להסיר את ההתקנה האחרונה דרך מנהל המשימות להגיע למנהל המשימות הקש ctrl + alt + delete
ומידי פעם התוקף גורם שלא תוכל לפתוח את הקישורים האלו אז תצטרך לערוך קובץ הוסט ככה הבנתי -
דפים נוספים שמצאתי , מקווה שהם אמינים ולא מהצד של הרעים
הם כותבים שלרוב הוירוס מגיע מהפיצוחים של KMSPICO שכולם משתמשים לפצח את אופיס וחלונות .
https://geeksadvice.com/decrypt-files-locked-by-stop-djvu-ransomware-virus/
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
הם כותבים שלרוב הוירוס מגיע מהפיצוחים של KMSPICO שכולם משתמשים לפצח את אופיס וחלונות .
לכן אני תמיד פורץ עם הסקריפט - עברתי על הקוד שלו פעם ולא ראיתי שם משהו חשוד
-
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
הם כותבים שלרוב הוירוס מגיע מהפיצוחים של KMSPICO שכולם משתמשים לפצח את אופיס וחלונות .
לכן אני תמיד פורץ עם הסקריפט - עברתי על הקוד שלו פעם ולא ראיתי שם משהו חשוד
@מתכנת-חובב אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
הם כותבים שלרוב הוירוס מגיע מהפיצוחים של KMSPICO שכולם משתמשים לפצח את אופיס וחלונות .
לכן אני תמיד פורץ עם הסקריפט - עברתי על הקוד שלו פעם ולא ראיתי שם משהו חשוד
ברור, רוב אם לא כל תוכנות ה kmsauto/kmspico נגועות ומנגעות לחלוטין, לפעמים זה שקוף כאשר באמצע נסיון הפריצה של הווינדוס התוכנה מבקשת ממך לאשר לה התקנת "מתאם רשת vpn " .. ועוד
-
@מתכנת-חובב אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
הם כותבים שלרוב הוירוס מגיע מהפיצוחים של KMSPICO שכולם משתמשים לפצח את אופיס וחלונות .
לכן אני תמיד פורץ עם הסקריפט - עברתי על הקוד שלו פעם ולא ראיתי שם משהו חשוד
ברור, רוב אם לא כל תוכנות ה kmsauto/kmspico נגועות ומנגעות לחלוטין, לפעמים זה שקוף כאשר באמצע נסיון הפריצה של הווינדוס התוכנה מבקשת ממך לאשר לה התקנת "מתאם רשת vpn " .. ועוד
@avramk100 אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
ברור, רוב אם לא כל תוכנות ה kmsauto/kmspico נגועות ומנגעות לחלוטין, לפעמים זה שקוף כאשר באמצע נסיון הפריצה של הווינדוס התוכנה מבקשת ממך לאשר לה התקנת "מתאם רשת vpn " .. ועוד
לא הבנתי למה אתה מתייג אותי
-
@מתכנת-חובב אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
הם כותבים שלרוב הוירוס מגיע מהפיצוחים של KMSPICO שכולם משתמשים לפצח את אופיס וחלונות .
לכן אני תמיד פורץ עם הסקריפט - עברתי על הקוד שלו פעם ולא ראיתי שם משהו חשוד
ברור, רוב אם לא כל תוכנות ה kmsauto/kmspico נגועות ומנגעות לחלוטין, לפעמים זה שקוף כאשר באמצע נסיון הפריצה של הווינדוס התוכנה מבקשת ממך לאשר לה התקנת "מתאם רשת vpn " .. ועוד
@avramk100 אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
@מתכנת-חובב אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
הם כותבים שלרוב הוירוס מגיע מהפיצוחים של KMSPICO שכולם משתמשים לפצח את אופיס וחלונות .
לכן אני תמיד פורץ עם הסקריפט - עברתי על הקוד שלו פעם ולא ראיתי שם משהו חשוד
ברור, רוב אם לא כל תוכנות ה kmsauto/kmspico נגועות ומנגעות לחלוטין, לפעמים זה שקוף כאשר באמצע נסיון הפריצה של הווינדוס התוכנה מבקשת ממך לאשר לה התקנת "מתאם רשת vpn " .. ועוד
גם מה שהביאו כאן בפורום?
-
דפים נוספים שמצאתי , מקווה שהם אמינים ולא מהצד של הרעים
הם כותבים שלרוב הוירוס מגיע מהפיצוחים של KMSPICO שכולם משתמשים לפצח את אופיס וחלונות .
https://geeksadvice.com/decrypt-files-locked-by-stop-djvu-ransomware-virus/
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
הם כותבים שלרוב הוירוס מגיע מהפיצוחים של KMSPICO שכולם משתמשים לפצח את אופיס וחלונות
לא רק
גם דרך הפצות של מיילים עם כל מיני קבצים מצורפים נגועים ו/או לינקים שמפתים את מקבל המייל... -
@avramk100 אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
@מתכנת-חובב אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
הם כותבים שלרוב הוירוס מגיע מהפיצוחים של KMSPICO שכולם משתמשים לפצח את אופיס וחלונות .
לכן אני תמיד פורץ עם הסקריפט - עברתי על הקוד שלו פעם ולא ראיתי שם משהו חשוד
ברור, רוב אם לא כל תוכנות ה kmsauto/kmspico נגועות ומנגעות לחלוטין, לפעמים זה שקוף כאשר באמצע נסיון הפריצה של הווינדוס התוכנה מבקשת ממך לאשר לה התקנת "מתאם רשת vpn " .. ועוד
גם מה שהביאו כאן בפורום?
-
@avramk100 אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
@מתכנת-חובב אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
הם כותבים שלרוב הוירוס מגיע מהפיצוחים של KMSPICO שכולם משתמשים לפצח את אופיס וחלונות .
לכן אני תמיד פורץ עם הסקריפט - עברתי על הקוד שלו פעם ולא ראיתי שם משהו חשוד
ברור, רוב אם לא כל תוכנות ה kmsauto/kmspico נגועות ומנגעות לחלוטין, לפעמים זה שקוף כאשר באמצע נסיון הפריצה של הווינדוס התוכנה מבקשת ממך לאשר לה התקנת "מתאם רשת vpn " .. ועוד
גם מה שהביאו כאן בפורום?
-
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
הם כותבים שלרוב הוירוס מגיע מהפיצוחים של KMSPICO שכולם משתמשים לפצח את אופיס וחלונות
לא רק
גם דרך הפצות של מיילים עם כל מיני קבצים מצורפים נגועים ו/או לינקים שמפתים את מקבל המייל...כרגע אני עובד רק על הקשיח - רשת
מתוך הבנה שכנראה החומר מעולם לא היה על הקשיח של מערכת ההפעלה אלא רק מקושר וירטואליתהתוכנה האחרונה שניסיתי Disk Drill
מספקת לי קבצים בשני קטגוריות , קיימים ומשוחזרים
והמוזר שבשניהם הסיומות כבר COOL
ובכל זאת בחילוץ של המשוחזרים קיבלתי קבצים עם הסיומות המקוריות אבל עדיין לא נפתחים .
הקבצים החשובים הם XLSX DOCX PDFהחומר שבקטגוריית reconstructed תקין
אבל זה אוסף קבצים במספרים רצים ללא השם המקורי כנראה שגם הכמות לא כוללת הכל .
מערכת הקבצים של הקשיח WD הזה
-
כרגע אני עובד רק על הקשיח - רשת
מתוך הבנה שכנראה החומר מעולם לא היה על הקשיח של מערכת ההפעלה אלא רק מקושר וירטואליתהתוכנה האחרונה שניסיתי Disk Drill
מספקת לי קבצים בשני קטגוריות , קיימים ומשוחזרים
והמוזר שבשניהם הסיומות כבר COOL
ובכל זאת בחילוץ של המשוחזרים קיבלתי קבצים עם הסיומות המקוריות אבל עדיין לא נפתחים .
הקבצים החשובים הם XLSX DOCX PDFהחומר שבקטגוריית reconstructed תקין
אבל זה אוסף קבצים במספרים רצים ללא השם המקורי כנראה שגם הכמות לא כוללת הכל .מערכת הקבצים של הקשיח WD הזה
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
ובכל זאת בחילוץ של המשוחזרים קיבלתי קבצים עם הסיומות המקוריות אבל עדיין לא נפתחים .
תעלה צילומ של קובץ אחד כזה בפתיחתו עם Hex editor
-
כרגע אני עובד רק על הקשיח - רשת
מתוך הבנה שכנראה החומר מעולם לא היה על הקשיח של מערכת ההפעלה אלא רק מקושר וירטואליתהתוכנה האחרונה שניסיתי Disk Drill
מספקת לי קבצים בשני קטגוריות , קיימים ומשוחזרים
והמוזר שבשניהם הסיומות כבר COOL
ובכל זאת בחילוץ של המשוחזרים קיבלתי קבצים עם הסיומות המקוריות אבל עדיין לא נפתחים .
הקבצים החשובים הם XLSX DOCX PDFהחומר שבקטגוריית reconstructed תקין
אבל זה אוסף קבצים במספרים רצים ללא השם המקורי כנראה שגם הכמות לא כוללת הכל .מערכת הקבצים של הקשיח WD הזה
-
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
ובכל זאת בחילוץ של המשוחזרים קיבלתי קבצים עם הסיומות המקוריות אבל עדיין לא נפתחים .
תעלה צילומ של קובץ אחד כזה בפתיחתו עם Hex editor
-
יש עדיפות לסוג הקובץ ?
EXE
TXT DOC
PDFהנה PDF בסיומת המקורית אבל גם לא נפתח
וזה PDF אחר עם סיומת COOL
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
יש עדיפות לסוג הקובץ ?
EXE
TXT DOC
PDFהנה PDF
וזה PDF אחר עם סיומת COOL
מה נהיה למעשה שלימתה יש לך הכול חזרה??
-
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
יש עדיפות לסוג הקובץ ?
EXE
TXT DOC
PDFהנה PDF
וזה PDF אחר עם סיומת COOL
מה נהיה למעשה שלימתה יש לך הכול חזרה??
@fshlomo הוא הראה בראשון את המקור ובשני אחרי ההצפנה
-
@fshlomo הוא הראה בראשון את המקור ובשני אחרי ההצפנה
@מתכנת-חובב אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
@fshlomo הוא הראה בראשון את המקור ובשני אחרי ההצפנה כשתחילת השינוי מתחיל באיפה שמסומן בכחול
לא הבנתי
-
@fshlomo הוא הראה בראשון את המקור ובשני אחרי ההצפנה
-
תיקנתי את התיאור
שניהם לא נפתחים
האחד עם הסיומת COOL השני ללא אבל כנראה אחרי הקידודהנה שני קבצי XLSX
הימני תקין ונפתח השמאלי מקודד
יש התקדמות לטובה
בעקבות המדריכים שראיתי החלטתי לבדוק את האופציה של ShadowExplorer
https://www.youtube.com/watch?v=8mCtBQqHZQA
לראות אם במקרה במחשב היה מופעל השירות ואם הוירוס לא מטפל גם בדבר הכ"כ פשוט הזה
ולהפתעתי אכן קיימים שם המון שכבות כולל מספר תצלומים מהשעות שלפני המתקפה ,
הצרה ששוב כמו מקודם, התיקיה הזו רק מקושרת לכונן הרשת ואינה פיזית על הקשיח של המערכת,
כך שאותה אין לי
אבל יש לי את שולחן העבודה, המסמכים , הורדות וגם נכנסתי לתקיות של שמירה אוטומטית של אקסל ושם יש עוד כמהאבל .....
תוך כדי שאני מחלץ לקשיח חיצוני שחיברתי , פתאום כל הקבצים המחולצים מתחילים להחליף סיומת ל coolכעת אני חייב למצא כלי שינקה את המערכת או לנסות במצב בטוח, בתקוה שהוירוס לא פעיל שם .
-
יש התקדמות לטובה
בעקבות המדריכים שראיתי החלטתי לבדוק את האופציה של ShadowExplorer
https://www.youtube.com/watch?v=8mCtBQqHZQA
לראות אם במקרה במחשב היה מופעל השירות ואם הוירוס לא מטפל גם בדבר הכ"כ פשוט הזה
ולהפתעתי אכן קיימים שם המון שכבות כולל מספר תצלומים מהשעות שלפני המתקפה ,
הצרה ששוב כמו מקודם, התיקיה הזו רק מקושרת לכונן הרשת ואינה פיזית על הקשיח של המערכת,
כך שאותה אין לי
אבל יש לי את שולחן העבודה, המסמכים , הורדות וגם נכנסתי לתקיות של שמירה אוטומטית של אקסל ושם יש עוד כמהאבל .....
תוך כדי שאני מחלץ לקשיח חיצוני שחיברתי , פתאום כל הקבצים המחולצים מתחילים להחליף סיומת ל coolכעת אני חייב למצא כלי שינקה את המערכת או לנסות במצב בטוח, בתקוה שהוירוס לא פעיל שם .
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
תוך כדי שאני מחלץ לקשיח חיצוני שחיברתי , פתאום כל הקבצים המחולצים מתחילים להחליף סיומת ל cool
כעת אני חייב למצא כלי שינקה את המערכת או לנסות במצב בטוח, בתקוה שהוירוס לא פעיל שם .דבר ראשון לא הסרת את הוירוס?
-
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
תוך כדי שאני מחלץ לקשיח חיצוני שחיברתי , פתאום כל הקבצים המחולצים מתחילים להחליף סיומת ל cool
כעת אני חייב למצא כלי שינקה את המערכת או לנסות במצב בטוח, בתקוה שהוירוס לא פעיל שם .דבר ראשון לא הסרת את הוירוס?
דבר ראשון ניתקתי את המחשב והכונן רשת מהרשת
פירקתי את הקשיחים ולקחתי הבייתה וניסיתי לחלץ "מבחוץ"
עכשיו חיברתי את שניהם למחשב סתמי כדי להוציא למזכירה לפחות את רשימת כל הקבצים הכשווים שתדע בכלל מה לחפשותוך כדי בדקתי את הכלי הזה ופתאום אני רואה את כל שכבות הגרסאות של הקבצים
עכשיו מחפש כלי ניקוי
)
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}