בקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware
-
דפים נוספים שמצאתי , מקווה שהם אמינים ולא מהצד של הרעים
הם כותבים שלרוב הוירוס מגיע מהפיצוחים של KMSPICO שכולם משתמשים לפצח את אופיס וחלונות .
https://geeksadvice.com/decrypt-files-locked-by-stop-djvu-ransomware-virus/
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
הם כותבים שלרוב הוירוס מגיע מהפיצוחים של KMSPICO שכולם משתמשים לפצח את אופיס וחלונות
לא רק
גם דרך הפצות של מיילים עם כל מיני קבצים מצורפים נגועים ו/או לינקים שמפתים את מקבל המייל... -
@avramk100 אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
@מתכנת-חובב אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
הם כותבים שלרוב הוירוס מגיע מהפיצוחים של KMSPICO שכולם משתמשים לפצח את אופיס וחלונות .
לכן אני תמיד פורץ עם הסקריפט - עברתי על הקוד שלו פעם ולא ראיתי שם משהו חשוד
ברור, רוב אם לא כל תוכנות ה kmsauto/kmspico נגועות ומנגעות לחלוטין, לפעמים זה שקוף כאשר באמצע נסיון הפריצה של הווינדוס התוכנה מבקשת ממך לאשר לה התקנת "מתאם רשת vpn " .. ועוד
גם מה שהביאו כאן בפורום?
-
@avramk100 אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
@מתכנת-חובב אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
הם כותבים שלרוב הוירוס מגיע מהפיצוחים של KMSPICO שכולם משתמשים לפצח את אופיס וחלונות .
לכן אני תמיד פורץ עם הסקריפט - עברתי על הקוד שלו פעם ולא ראיתי שם משהו חשוד
ברור, רוב אם לא כל תוכנות ה kmsauto/kmspico נגועות ומנגעות לחלוטין, לפעמים זה שקוף כאשר באמצע נסיון הפריצה של הווינדוס התוכנה מבקשת ממך לאשר לה התקנת "מתאם רשת vpn " .. ועוד
גם מה שהביאו כאן בפורום?
-
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
הם כותבים שלרוב הוירוס מגיע מהפיצוחים של KMSPICO שכולם משתמשים לפצח את אופיס וחלונות
לא רק
גם דרך הפצות של מיילים עם כל מיני קבצים מצורפים נגועים ו/או לינקים שמפתים את מקבל המייל...כרגע אני עובד רק על הקשיח - רשת
מתוך הבנה שכנראה החומר מעולם לא היה על הקשיח של מערכת ההפעלה אלא רק מקושר וירטואליתהתוכנה האחרונה שניסיתי Disk Drill
מספקת לי קבצים בשני קטגוריות , קיימים ומשוחזרים
והמוזר שבשניהם הסיומות כבר COOL
ובכל זאת בחילוץ של המשוחזרים קיבלתי קבצים עם הסיומות המקוריות אבל עדיין לא נפתחים .
הקבצים החשובים הם XLSX DOCX PDFהחומר שבקטגוריית reconstructed תקין
אבל זה אוסף קבצים במספרים רצים ללא השם המקורי כנראה שגם הכמות לא כוללת הכל .
מערכת הקבצים של הקשיח WD הזה
-
כרגע אני עובד רק על הקשיח - רשת
מתוך הבנה שכנראה החומר מעולם לא היה על הקשיח של מערכת ההפעלה אלא רק מקושר וירטואליתהתוכנה האחרונה שניסיתי Disk Drill
מספקת לי קבצים בשני קטגוריות , קיימים ומשוחזרים
והמוזר שבשניהם הסיומות כבר COOL
ובכל זאת בחילוץ של המשוחזרים קיבלתי קבצים עם הסיומות המקוריות אבל עדיין לא נפתחים .
הקבצים החשובים הם XLSX DOCX PDFהחומר שבקטגוריית reconstructed תקין
אבל זה אוסף קבצים במספרים רצים ללא השם המקורי כנראה שגם הכמות לא כוללת הכל .מערכת הקבצים של הקשיח WD הזה
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
ובכל זאת בחילוץ של המשוחזרים קיבלתי קבצים עם הסיומות המקוריות אבל עדיין לא נפתחים .
תעלה צילומ של קובץ אחד כזה בפתיחתו עם Hex editor
-
כרגע אני עובד רק על הקשיח - רשת
מתוך הבנה שכנראה החומר מעולם לא היה על הקשיח של מערכת ההפעלה אלא רק מקושר וירטואליתהתוכנה האחרונה שניסיתי Disk Drill
מספקת לי קבצים בשני קטגוריות , קיימים ומשוחזרים
והמוזר שבשניהם הסיומות כבר COOL
ובכל זאת בחילוץ של המשוחזרים קיבלתי קבצים עם הסיומות המקוריות אבל עדיין לא נפתחים .
הקבצים החשובים הם XLSX DOCX PDFהחומר שבקטגוריית reconstructed תקין
אבל זה אוסף קבצים במספרים רצים ללא השם המקורי כנראה שגם הכמות לא כוללת הכל .מערכת הקבצים של הקשיח WD הזה
-
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
ובכל זאת בחילוץ של המשוחזרים קיבלתי קבצים עם הסיומות המקוריות אבל עדיין לא נפתחים .
תעלה צילומ של קובץ אחד כזה בפתיחתו עם Hex editor
-
יש עדיפות לסוג הקובץ ?
EXE
TXT DOC
PDFהנה PDF בסיומת המקורית אבל גם לא נפתח
וזה PDF אחר עם סיומת COOL
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
יש עדיפות לסוג הקובץ ?
EXE
TXT DOC
PDFהנה PDF
וזה PDF אחר עם סיומת COOL
מה נהיה למעשה שלימתה יש לך הכול חזרה??
-
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
יש עדיפות לסוג הקובץ ?
EXE
TXT DOC
PDFהנה PDF
וזה PDF אחר עם סיומת COOL
מה נהיה למעשה שלימתה יש לך הכול חזרה??
@fshlomo הוא הראה בראשון את המקור ובשני אחרי ההצפנה
-
@fshlomo הוא הראה בראשון את המקור ובשני אחרי ההצפנה
@מתכנת-חובב אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
@fshlomo הוא הראה בראשון את המקור ובשני אחרי ההצפנה כשתחילת השינוי מתחיל באיפה שמסומן בכחול
לא הבנתי
-
@fshlomo הוא הראה בראשון את המקור ובשני אחרי ההצפנה
-
תיקנתי את התיאור
שניהם לא נפתחים
האחד עם הסיומת COOL השני ללא אבל כנראה אחרי הקידודהנה שני קבצי XLSX
הימני תקין ונפתח השמאלי מקודד
יש התקדמות לטובה
בעקבות המדריכים שראיתי החלטתי לבדוק את האופציה של ShadowExplorer
https://www.youtube.com/watch?v=8mCtBQqHZQA
לראות אם במקרה במחשב היה מופעל השירות ואם הוירוס לא מטפל גם בדבר הכ"כ פשוט הזה
ולהפתעתי אכן קיימים שם המון שכבות כולל מספר תצלומים מהשעות שלפני המתקפה ,
הצרה ששוב כמו מקודם, התיקיה הזו רק מקושרת לכונן הרשת ואינה פיזית על הקשיח של המערכת,
כך שאותה אין לי
אבל יש לי את שולחן העבודה, המסמכים , הורדות וגם נכנסתי לתקיות של שמירה אוטומטית של אקסל ושם יש עוד כמהאבל .....
תוך כדי שאני מחלץ לקשיח חיצוני שחיברתי , פתאום כל הקבצים המחולצים מתחילים להחליף סיומת ל coolכעת אני חייב למצא כלי שינקה את המערכת או לנסות במצב בטוח, בתקוה שהוירוס לא פעיל שם .
-
יש התקדמות לטובה
בעקבות המדריכים שראיתי החלטתי לבדוק את האופציה של ShadowExplorer
https://www.youtube.com/watch?v=8mCtBQqHZQA
לראות אם במקרה במחשב היה מופעל השירות ואם הוירוס לא מטפל גם בדבר הכ"כ פשוט הזה
ולהפתעתי אכן קיימים שם המון שכבות כולל מספר תצלומים מהשעות שלפני המתקפה ,
הצרה ששוב כמו מקודם, התיקיה הזו רק מקושרת לכונן הרשת ואינה פיזית על הקשיח של המערכת,
כך שאותה אין לי
אבל יש לי את שולחן העבודה, המסמכים , הורדות וגם נכנסתי לתקיות של שמירה אוטומטית של אקסל ושם יש עוד כמהאבל .....
תוך כדי שאני מחלץ לקשיח חיצוני שחיברתי , פתאום כל הקבצים המחולצים מתחילים להחליף סיומת ל coolכעת אני חייב למצא כלי שינקה את המערכת או לנסות במצב בטוח, בתקוה שהוירוס לא פעיל שם .
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
תוך כדי שאני מחלץ לקשיח חיצוני שחיברתי , פתאום כל הקבצים המחולצים מתחילים להחליף סיומת ל cool
כעת אני חייב למצא כלי שינקה את המערכת או לנסות במצב בטוח, בתקוה שהוירוס לא פעיל שם .דבר ראשון לא הסרת את הוירוס?
-
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
תוך כדי שאני מחלץ לקשיח חיצוני שחיברתי , פתאום כל הקבצים המחולצים מתחילים להחליף סיומת ל cool
כעת אני חייב למצא כלי שינקה את המערכת או לנסות במצב בטוח, בתקוה שהוירוס לא פעיל שם .דבר ראשון לא הסרת את הוירוס?
דבר ראשון ניתקתי את המחשב והכונן רשת מהרשת
פירקתי את הקשיחים ולקחתי הבייתה וניסיתי לחלץ "מבחוץ"
עכשיו חיברתי את שניהם למחשב סתמי כדי להוציא למזכירה לפחות את רשימת כל הקבצים הכשווים שתדע בכלל מה לחפשותוך כדי בדקתי את הכלי הזה ופתאום אני רואה את כל שכבות הגרסאות של הקבצים
עכשיו מחפש כלי ניקוי
-
דבר ראשון ניתקתי את המחשב והכונן רשת מהרשת
פירקתי את הקשיחים ולקחתי הבייתה וניסיתי לחלץ "מבחוץ"
עכשיו חיברתי את שניהם למחשב סתמי כדי להוציא למזכירה לפחות את רשימת כל הקבצים הכשווים שתדע בכלל מה לחפשותוך כדי בדקתי את הכלי הזה ופתאום אני רואה את כל שכבות הגרסאות של הקבצים
עכשיו מחפש כלי ניקוי
-
@אמיר
Eset לא מנקה?הורדתי את Malwarebytes בגרסת offline
https://www.filehorse.com/download-malwarebytes-anti-malware/download/
הרצתי על המחשב הנגוע , היא מצאה 65 נגיעותאחרי ניקוי והפעלה מחדש הוירוס נוטרל והצלחתי לחלץ את החומר מה shadowcopy לדיסק חיצוני
עכשיו העבודה על החומר שהיה בקשיח רשת ששם ספק אם יש גרסאות כי הוא בשיתוף ולא עם התוכנה של WD
-
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
הרצתי על המחשב הנגוע
אני מקווה שישך העתק אחד על אחד (sector by sector clone) לפני שאתה עושה משחקים עם המקור
-
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
הרצתי על המחשב הנגוע
אני מקווה שישך העתק אחד על אחד (sector by sector clone) לפני שאתה עושה משחקים עם המקור
אתה מתכוון לדיסק של המחשב או שברשת
כי זה של מערכת ההפעלה דווקא אתה רואה שהשירות של shadowcopy הציל את החומר
השאלה אם יש לך טיפ לגבי מערכת הקבצים של ה WD
Ext2/3/4 -
אתה מתכוון לדיסק של המחשב או שברשת
כי זה של מערכת ההפעלה דווקא אתה רואה שהשירות של shadowcopy הציל את החומר
השאלה אם יש לך טיפ לגבי מערכת הקבצים של ה WD
Ext2/3/4@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
אתה מתכוון לדיסק של המחשב
אני מתכוון לכל דיסק שאתה עושה איתו משחקים
אם זה שאתה כותב עליו אם זה שאתה מוחק ממנו
בקיצור לעולם אל תיגע בדיסק מקור לפני שישך העתק אחד על אחד
וגם אם כן עובדים על העתק ולא המקור בשו"א
)
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}