בקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware
-
יש עדיפות לסוג הקובץ ?
EXE
TXT DOC
PDFהנה PDF בסיומת המקורית אבל גם לא נפתח
וזה PDF אחר עם סיומת COOL
-
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
יש עדיפות לסוג הקובץ ?
EXE
TXT DOC
PDFהנה PDF
וזה PDF אחר עם סיומת COOL
מה נהיה למעשה שלימתה יש לך הכול חזרה??
-
-
@מתכנת-חובב אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
@fshlomo הוא הראה בראשון את המקור ובשני אחרי ההצפנה כשתחילת השינוי מתחיל באיפה שמסומן בכחול
לא הבנתי
-
תיקנתי את התיאור
שניהם לא נפתחים
האחד עם הסיומת COOL השני ללא אבל כנראה אחרי הקידודהנה שני קבצי XLSX
הימני תקין ונפתח השמאלי מקודד
-
יש התקדמות לטובה
בעקבות המדריכים שראיתי החלטתי לבדוק את האופציה של ShadowExplorer
https://www.youtube.com/watch?v=8mCtBQqHZQA
לראות אם במקרה במחשב היה מופעל השירות ואם הוירוס לא מטפל גם בדבר הכ"כ פשוט הזה
ולהפתעתי אכן קיימים שם המון שכבות כולל מספר תצלומים מהשעות שלפני המתקפה ,
הצרה ששוב כמו מקודם, התיקיה הזו רק מקושרת לכונן הרשת ואינה פיזית על הקשיח של המערכת,
כך שאותה אין לי
אבל יש לי את שולחן העבודה, המסמכים , הורדות וגם נכנסתי לתקיות של שמירה אוטומטית של אקסל ושם יש עוד כמהאבל .....
תוך כדי שאני מחלץ לקשיח חיצוני שחיברתי , פתאום כל הקבצים המחולצים מתחילים להחליף סיומת ל coolכעת אני חייב למצא כלי שינקה את המערכת או לנסות במצב בטוח, בתקוה שהוירוס לא פעיל שם .
-
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
תוך כדי שאני מחלץ לקשיח חיצוני שחיברתי , פתאום כל הקבצים המחולצים מתחילים להחליף סיומת ל cool
כעת אני חייב למצא כלי שינקה את המערכת או לנסות במצב בטוח, בתקוה שהוירוס לא פעיל שם .דבר ראשון לא הסרת את הוירוס?
-
דבר ראשון ניתקתי את המחשב והכונן רשת מהרשת
פירקתי את הקשיחים ולקחתי הבייתה וניסיתי לחלץ "מבחוץ"
עכשיו חיברתי את שניהם למחשב סתמי כדי להוציא למזכירה לפחות את רשימת כל הקבצים הכשווים שתדע בכלל מה לחפשותוך כדי בדקתי את הכלי הזה ופתאום אני רואה את כל שכבות הגרסאות של הקבצים
עכשיו מחפש כלי ניקוי
-
-
הורדתי את Malwarebytes בגרסת offline
https://www.filehorse.com/download-malwarebytes-anti-malware/download/
הרצתי על המחשב הנגוע , היא מצאה 65 נגיעותאחרי ניקוי והפעלה מחדש הוירוס נוטרל והצלחתי לחלץ את החומר מה shadowcopy לדיסק חיצוני
עכשיו העבודה על החומר שהיה בקשיח רשת ששם ספק אם יש גרסאות כי הוא בשיתוף ולא עם התוכנה של WD
-
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
הרצתי על המחשב הנגוע
אני מקווה שישך העתק אחד על אחד (sector by sector clone) לפני שאתה עושה משחקים עם המקור
-
אתה מתכוון לדיסק של המחשב או שברשת
כי זה של מערכת ההפעלה דווקא אתה רואה שהשירות של shadowcopy הציל את החומר
השאלה אם יש לך טיפ לגבי מערכת הקבצים של ה WD
Ext2/3/4 -
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
אתה מתכוון לדיסק של המחשב
אני מתכוון לכל דיסק שאתה עושה איתו משחקים
אם זה שאתה כותב עליו אם זה שאתה מוחק ממנו
בקיצור לעולם אל תיגע בדיסק מקור לפני שישך העתק אחד על אחד
וגם אם כן עובדים על העתק ולא המקור בשו"א
)
![חיפוש גוגל בפורום](javascript:{bootbox.prompt({title:'<div style="text-align: center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400"></div>',placeholder:'כתוב מילים לחיפוש ב Google',buttons:{confirm:{label:'חיפוש'},cancel:{label:'ביטול'}},backdrop:true,callback:function(result){if(result!=null&&result!=''){var a=document.createElement('a');a.href='https://www.google.co.il/search?q=site:mitmachim.top '+encodeURIComponent(result.trim());a.target='_blank';a.click();}}})();};){kind=link}