בקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware
-
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
ובכל זאת בחילוץ של המשוחזרים קיבלתי קבצים עם הסיומות המקוריות אבל עדיין לא נפתחים .
תעלה צילומ של קובץ אחד כזה בפתיחתו עם Hex editor
-
יש עדיפות לסוג הקובץ ?
EXE
TXT DOC
PDFהנה PDF בסיומת המקורית אבל גם לא נפתח
וזה PDF אחר עם סיומת COOL
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
יש עדיפות לסוג הקובץ ?
EXE
TXT DOC
PDFהנה PDF
וזה PDF אחר עם סיומת COOL
מה נהיה למעשה שלימתה יש לך הכול חזרה??
-
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
יש עדיפות לסוג הקובץ ?
EXE
TXT DOC
PDFהנה PDF
וזה PDF אחר עם סיומת COOL
מה נהיה למעשה שלימתה יש לך הכול חזרה??
@fshlomo הוא הראה בראשון את המקור ובשני אחרי ההצפנה
-
@fshlomo הוא הראה בראשון את המקור ובשני אחרי ההצפנה
@מתכנת-חובב אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
@fshlomo הוא הראה בראשון את המקור ובשני אחרי ההצפנה כשתחילת השינוי מתחיל באיפה שמסומן בכחול
לא הבנתי
-
@fshlomo הוא הראה בראשון את המקור ובשני אחרי ההצפנה
-
תיקנתי את התיאור
שניהם לא נפתחים
האחד עם הסיומת COOL השני ללא אבל כנראה אחרי הקידודהנה שני קבצי XLSX
הימני תקין ונפתח השמאלי מקודד
יש התקדמות לטובה
בעקבות המדריכים שראיתי החלטתי לבדוק את האופציה של ShadowExplorer
https://www.youtube.com/watch?v=8mCtBQqHZQA
לראות אם במקרה במחשב היה מופעל השירות ואם הוירוס לא מטפל גם בדבר הכ"כ פשוט הזה
ולהפתעתי אכן קיימים שם המון שכבות כולל מספר תצלומים מהשעות שלפני המתקפה ,
הצרה ששוב כמו מקודם, התיקיה הזו רק מקושרת לכונן הרשת ואינה פיזית על הקשיח של המערכת,
כך שאותה אין לי
אבל יש לי את שולחן העבודה, המסמכים , הורדות וגם נכנסתי לתקיות של שמירה אוטומטית של אקסל ושם יש עוד כמהאבל .....
תוך כדי שאני מחלץ לקשיח חיצוני שחיברתי , פתאום כל הקבצים המחולצים מתחילים להחליף סיומת ל coolכעת אני חייב למצא כלי שינקה את המערכת או לנסות במצב בטוח, בתקוה שהוירוס לא פעיל שם .
-
יש התקדמות לטובה
בעקבות המדריכים שראיתי החלטתי לבדוק את האופציה של ShadowExplorer
https://www.youtube.com/watch?v=8mCtBQqHZQA
לראות אם במקרה במחשב היה מופעל השירות ואם הוירוס לא מטפל גם בדבר הכ"כ פשוט הזה
ולהפתעתי אכן קיימים שם המון שכבות כולל מספר תצלומים מהשעות שלפני המתקפה ,
הצרה ששוב כמו מקודם, התיקיה הזו רק מקושרת לכונן הרשת ואינה פיזית על הקשיח של המערכת,
כך שאותה אין לי
אבל יש לי את שולחן העבודה, המסמכים , הורדות וגם נכנסתי לתקיות של שמירה אוטומטית של אקסל ושם יש עוד כמהאבל .....
תוך כדי שאני מחלץ לקשיח חיצוני שחיברתי , פתאום כל הקבצים המחולצים מתחילים להחליף סיומת ל coolכעת אני חייב למצא כלי שינקה את המערכת או לנסות במצב בטוח, בתקוה שהוירוס לא פעיל שם .
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
תוך כדי שאני מחלץ לקשיח חיצוני שחיברתי , פתאום כל הקבצים המחולצים מתחילים להחליף סיומת ל cool
כעת אני חייב למצא כלי שינקה את המערכת או לנסות במצב בטוח, בתקוה שהוירוס לא פעיל שם .דבר ראשון לא הסרת את הוירוס?
-
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
תוך כדי שאני מחלץ לקשיח חיצוני שחיברתי , פתאום כל הקבצים המחולצים מתחילים להחליף סיומת ל cool
כעת אני חייב למצא כלי שינקה את המערכת או לנסות במצב בטוח, בתקוה שהוירוס לא פעיל שם .דבר ראשון לא הסרת את הוירוס?
דבר ראשון ניתקתי את המחשב והכונן רשת מהרשת
פירקתי את הקשיחים ולקחתי הבייתה וניסיתי לחלץ "מבחוץ"
עכשיו חיברתי את שניהם למחשב סתמי כדי להוציא למזכירה לפחות את רשימת כל הקבצים הכשווים שתדע בכלל מה לחפשותוך כדי בדקתי את הכלי הזה ופתאום אני רואה את כל שכבות הגרסאות של הקבצים
עכשיו מחפש כלי ניקוי
-
דבר ראשון ניתקתי את המחשב והכונן רשת מהרשת
פירקתי את הקשיחים ולקחתי הבייתה וניסיתי לחלץ "מבחוץ"
עכשיו חיברתי את שניהם למחשב סתמי כדי להוציא למזכירה לפחות את רשימת כל הקבצים הכשווים שתדע בכלל מה לחפשותוך כדי בדקתי את הכלי הזה ופתאום אני רואה את כל שכבות הגרסאות של הקבצים
עכשיו מחפש כלי ניקוי
-
@אמיר
Eset לא מנקה?הורדתי את Malwarebytes בגרסת offline
https://www.filehorse.com/download-malwarebytes-anti-malware/download/
הרצתי על המחשב הנגוע , היא מצאה 65 נגיעותאחרי ניקוי והפעלה מחדש הוירוס נוטרל והצלחתי לחלץ את החומר מה shadowcopy לדיסק חיצוני
עכשיו העבודה על החומר שהיה בקשיח רשת ששם ספק אם יש גרסאות כי הוא בשיתוף ולא עם התוכנה של WD
-
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
הרצתי על המחשב הנגוע
אני מקווה שישך העתק אחד על אחד (sector by sector clone) לפני שאתה עושה משחקים עם המקור
-
@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
הרצתי על המחשב הנגוע
אני מקווה שישך העתק אחד על אחד (sector by sector clone) לפני שאתה עושה משחקים עם המקור
אתה מתכוון לדיסק של המחשב או שברשת
כי זה של מערכת ההפעלה דווקא אתה רואה שהשירות של shadowcopy הציל את החומר
השאלה אם יש לך טיפ לגבי מערכת הקבצים של ה WD
Ext2/3/4 -
אתה מתכוון לדיסק של המחשב או שברשת
כי זה של מערכת ההפעלה דווקא אתה רואה שהשירות של shadowcopy הציל את החומר
השאלה אם יש לך טיפ לגבי מערכת הקבצים של ה WD
Ext2/3/4@אמיר אמר בבקשת מידע | משרד שנפגע מוירוס הכופר COOL Ransomware:
אתה מתכוון לדיסק של המחשב
אני מתכוון לכל דיסק שאתה עושה איתו משחקים
אם זה שאתה כותב עליו אם זה שאתה מוחק ממנו
בקיצור לעולם אל תיגע בדיסק מקור לפני שישך העתק אחד על אחד
וגם אם כן עובדים על העתק ולא המקור בשו"א
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}