שיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר
-
@עידו300 אוקיי אז אני אסביר.
נוזקה רגילה עובדת בדרך כלל באחת משתי צורות: תוכנה שיושבת אצל הקורבן ומורידה את הנוזקה (Dropper), או תוכנה שמכילה בתוכה את הקוד הזדוני. בשני המקרים, גילוי ע"י אנטי וירוס הוא לא וודאי, ובטח שלא וודאי במצב סטטי.
עכשיו ננסה להבין מה אנחנו מעבירים למחשב של הקורבן דרך הסאונד:
אם מדובר רק בקישור או איזה shellcode קצר שיוריד את הנוזקה מהרשת - זו דרך מסורבלת להעביר משהו שיש דרכים הרבה יותר קלות להפיץ (פשוט שהתוכנה תיגש לאינטרנט).
אז נניח שאנחנו שולחים נתונים בינאריים של קובץ שלם (כדי להימנע מתעבורת רשת):
קובץ מינימלי יהיה בגודל של לפחות כמה עשרות ק"ב. בשידור קולי, זה אומר שהניגון צריך להמשך כמה דקות++
בנוסף, צריך שתהיה על המחשב תוכנה שתדע לקחת את הנתונים האלו מהמיקרופון, לבנות מהם אובייקט בזיכרון ולהריץ את זה.
ועכשיו נשאלת השאלה - איפה היתרון?
אם הצלחת לגרום לקורבן להתקין תוכנה שיודעת להריץ קוד - למה לעבוד קשה עם אודיו? פשוט תוריד את הקוד בדרך הרגילה.
כל חוקר אבטחה או מערכת EDR שיחפשו להבין מי הריץ את הנוזקה, יגלו מיד שזו התוכנה שלך (התהליך אב) שיצרה את התהליך הזדוני, בדיוק כמו במתקפה רגילה.
אז בעצם הגענו לאותו מקום כמו כל נוזקה רגילה, רק שהוספנו לעצמנו שני מכשולים:
לגרום לקורבן להתקין תוכנה וגם לאשר לה הרשאות מיקרופון (דבר מחשיד מאוד כשלעצמו).
לנגן לידו אודיו לאורך זמן.
בווינדוס זה לא יעיל כמו שהסברתי, ובאנדרואיד עם ניהול ההרשאות הקפדני זה יהיה מורכב פי כמה. -
@מתכנת-חובב אני חושב שאפשר בקלות לעבור את כל המשוכות האלו, אם רק רוצים.
-
@עידו300 אם זה כזה פשוט למה אין מקרה מפורסם של שימוש בכזאת שיטה?
את הגלגל המציא מישהו ממתמחים וג'מיני? -
@עידו300 אם זה כזה פשוט למה אין מקרה מפורסם של שימוש בכזאת שיטה?
את הגלגל המציא מישהו ממתמחים וג'מיני?@מתכנת-חובב מיציתי את הנושא, זה ויכוח ארוך על היתכנות של וירוס שסביר להניח שאף אחד לא יעשה (אא"כ מסתובבים האקרים בינינו, לך תדע...
), חבל על הזמן... -
@עידו300 אוקיי אז אני אסביר.
נוזקה רגילה עובדת בדרך כלל באחת משתי צורות: תוכנה שיושבת אצל הקורבן ומורידה את הנוזקה (Dropper), או תוכנה שמכילה בתוכה את הקוד הזדוני. בשני המקרים, גילוי ע"י אנטי וירוס הוא לא וודאי, ובטח שלא וודאי במצב סטטי.
עכשיו ננסה להבין מה אנחנו מעבירים למחשב של הקורבן דרך הסאונד:
אם מדובר רק בקישור או איזה shellcode קצר שיוריד את הנוזקה מהרשת - זו דרך מסורבלת להעביר משהו שיש דרכים הרבה יותר קלות להפיץ (פשוט שהתוכנה תיגש לאינטרנט).
אז נניח שאנחנו שולחים נתונים בינאריים של קובץ שלם (כדי להימנע מתעבורת רשת):
קובץ מינימלי יהיה בגודל של לפחות כמה עשרות ק"ב. בשידור קולי, זה אומר שהניגון צריך להמשך כמה דקות++
בנוסף, צריך שתהיה על המחשב תוכנה שתדע לקחת את הנתונים האלו מהמיקרופון, לבנות מהם אובייקט בזיכרון ולהריץ את זה.
ועכשיו נשאלת השאלה - איפה היתרון?
אם הצלחת לגרום לקורבן להתקין תוכנה שיודעת להריץ קוד - למה לעבוד קשה עם אודיו? פשוט תוריד את הקוד בדרך הרגילה.
כל חוקר אבטחה או מערכת EDR שיחפשו להבין מי הריץ את הנוזקה, יגלו מיד שזו התוכנה שלך (התהליך אב) שיצרה את התהליך הזדוני, בדיוק כמו במתקפה רגילה.
אז בעצם הגענו לאותו מקום כמו כל נוזקה רגילה, רק שהוספנו לעצמנו שני מכשולים:
לגרום לקורבן להתקין תוכנה וגם לאשר לה הרשאות מיקרופון (דבר מחשיד מאוד כשלעצמו).
לנגן לידו אודיו לאורך זמן.
בווינדוס זה לא יעיל כמו שהסברתי, ובאנדרואיד עם ניהול ההרשאות הקפדני זה יהיה מורכב פי כמה. -
התכוונתי שהיום יש המון אפליקציות מטופשות שמותקנות על הרבה מכשירים בגלל קצת באזז שנעשה סביבם.
אפשר ליצור כזו אפליקציה ולהוסיף לה את הענין של הפיענוח.
אפשר לעשות פודקאסט אבטחת מידע או כל דבר שמעניין אנשים, פרסומת ברדיו (אם כבר משקיעים על פיתוח וירוס, זו לא הוצאה כ"כ גדולה), ולגרום לאפליקציה להאזין כל הזמן או בשעות מיוחדות, היא תשתמש בחולשה להזרקת הקוד.
זה לא מתכון לוירוס, זה רעיון בעלמא, תהיה האם העתיד הולך לשם... זה נותן פתרון לזה שהאפליקציה היא בסדר לגמרי, אנטי וירוס לא ימצא בה שום דבר, אין בה קוד מוצפן ולא גישה לשרת לא מוכר. הכי לא מחשיד בעולם ומצד שני עם אופציה לעשות נזקים...
לא הייתי שולל על הסף.
@עידו300 כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
תהיה האם העתיד הולך לשם...
למה העתיד? אין פה שום דבר חדש.
יש פה טריק מגניב, אבל הטכנולוגיה הזו היא היא האינטרנט.
@צדיק-וטוב-לו-0 כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
@מתכנת-חובב לך תדע, אולי יגדירו בתוכנה שהצליל של צפירת השבת יפעיל קוד זדוני
לזה אין שום קשר לכאן.
סתם טריגר לקוד זדוני, כמו כל וירוס
@עידו300 כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
@מתכנת-חובב שיטה חדשה שאף אחד לא מכיר
היא לא חדשה! כל טכנולוגיית האינטרנט בנויה כך!
@עידו300 כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
@מתכנת-חובב אני חושב שאפשר בקלות לעבור את כל המשוכות האלו, אם רק רוצים.
אבל אין לזה שום יתרון על פני כל וירוס אחר.
-
@עידו300 כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
תהיה האם העתיד הולך לשם...
למה העתיד? אין פה שום דבר חדש.
יש פה טריק מגניב, אבל הטכנולוגיה הזו היא היא האינטרנט.
@צדיק-וטוב-לו-0 כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
@מתכנת-חובב לך תדע, אולי יגדירו בתוכנה שהצליל של צפירת השבת יפעיל קוד זדוני
לזה אין שום קשר לכאן.
סתם טריגר לקוד זדוני, כמו כל וירוס
@עידו300 כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
@מתכנת-חובב שיטה חדשה שאף אחד לא מכיר
היא לא חדשה! כל טכנולוגיית האינטרנט בנויה כך!
@עידו300 כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
@מתכנת-חובב אני חושב שאפשר בקלות לעבור את כל המשוכות האלו, אם רק רוצים.
אבל אין לזה שום יתרון על פני כל וירוס אחר.
@מישהו12 חמודים אתם.
זה חדש כי אין שום וירוס שידוע שעובד ככה
וזה עדיף כי אין שום וירוס שעובד ככה, מה שיצריך את האנטיוירוסים והחוקרים לחקור אותו ואת סדר העבדה ולהתעדכן בו וזה יקח זמן ובינתיים יש מרחב תקיפה. והוא לא מחשיד כמו אחרים שיש בהם איזורים מוצפנים או שטוענים payload משרת מוזר.האנטרנט עובד ככה, אבל הוירוס לא משתמש באנטרנט, הוא משתמש באותה טכניקה יתכן אבל ממקור אחר, כל הנקודה כאן היא שהוא לא צריך אנטרנט...
את כל זה תוכלו לראות בהודעות הקודמות, כמו גם שאני פרשתי מליחצ"ן את הוירוס... זה היה תהיה בעלמא, מין רעיון שעלה בעקבות זה, לא משהו ששווה לי להקיע בו כ"כ הרבה מאמץ...
-
@מישהו12 חמודים אתם.
זה חדש כי אין שום וירוס שידוע שעובד ככה
וזה עדיף כי אין שום וירוס שעובד ככה, מה שיצריך את האנטיוירוסים והחוקרים לחקור אותו ואת סדר העבדה ולהתעדכן בו וזה יקח זמן ובינתיים יש מרחב תקיפה. והוא לא מחשיד כמו אחרים שיש בהם איזורים מוצפנים או שטוענים payload משרת מוזר.האנטרנט עובד ככה, אבל הוירוס לא משתמש באנטרנט, הוא משתמש באותה טכניקה יתכן אבל ממקור אחר, כל הנקודה כאן היא שהוא לא צריך אנטרנט...
את כל זה תוכלו לראות בהודעות הקודמות, כמו גם שאני פרשתי מליחצ"ן את הוירוס... זה היה תהיה בעלמא, מין רעיון שעלה בעקבות זה, לא משהו ששווה לי להקיע בו כ"כ הרבה מאמץ...
-
אתמול נתבקשתי על ידי אתר שקפץ לי בתור פרסומת, "לאמת שאני לא רובוט
".
רק שזה היה נראה בדיקה שונה, כך זה היה: להקיש לחצן התחל+R, ואז קונטרול+V, ואז אנטר.
את כל "האימות" הזה עשיתי במהירות, כך שלא חשבתי מה זה יכול לחולל.
מיד אחרי השלבים האלה נפתח חלון של PowerShell שהריצה פקודה קצרה ונסגרה ,
מיד נפתח חלון על כל המסך הודעה משטרת ישראל על עבירות חוק מהמחשב, ואמור להנעל המחשב לצמיתות, או תשלום כופר ע"ס: ₪1,100.
אף פעם לא חשבתי שתוכנות כופר יגיעו אלי, עד שהייתי צריך להשבית את כל האנטי וירוס כדי להתקין משהו, ובדיוק בזמן הזה זה קורא.
תחכימו תלמדו ותזהרו!נתתי לai את הפקודה שהדבקתי בחלונית ההתחל שפתחתי, וזה טוען שלקחו ממני כתובת ip, וכנראה סיסמאות
עריכה (לאחר 246 פוסטים שנכתבו בעניין הזה) כדי לקצר תהליכים למי שרוצה סיכום:
|-סיכום/הערכת מצב
פקודת PowerShell שהורצההפקודה שהועתקה כללה שימוש ב-PowerShell כדי להוריד קובץ טקסט (“clo.txt”) מ-IP חיצוני (84.21.189.170), ואז להריץ אותו עם פרמטרים מוסווים.
חלק מהטקסט שהטמיעו לקורבן כדי שידביק (“I am not a bot – Verification ID…”) נועד להטעות משתמשים כך שיחשבו שזה אימות "אני לא רובוט" אמיתי.
️ הסבר על וירוס כופר מסוג Clopמה הווירוס עושה:
יכול לבצע הצפנת קבצים חשובים במערכת.
עלול לגנוב נתונים רגישים ולדרוש תשלום כופר.
יכול למחוק עותקי גיבוי ולמנוע שחזור עצמאי.
משאיר הוראות כופר (Ransom Note) עם כתובת לתשלום (בדרך כלל במטבע קריפטו).
עצות והצעות למי שכבר הפעיל את הוירוסהצעות להגנה/תגובה מיידית:
- כיבוי מיידי של המחשב כדי לנסות לעצור המשך פעילות של הקוד.
- או ניתוק האינטרנט כדי למנוע הורדה נוספת או דיווח למפעילים.
- שינוי סיסמאות.
- מחיקת פרופיל דפדפן שבו הופיעה ההודעה.
- שחזור מידע דרך דיסקים טכנאים.
לגביי אנטי וירוס - אם עוזר במצבים כאלה? עדיין אן תשובה חד משמעית מהמשתמשים כאן. מכיון שייתכן והוירוס מסווה את עצמו גם מפני האנטי וירוס ועוקף אותו...
ולמי שרוצה לדעת איך להיזהר ולהגן על המחשב מפני וירוסים כאלה.
"להקדים רפואה למכה"
- אף פעם לא לבצע פעולות טכניות במחשב, מאתר שאומר לך מה לעשות (כדוגמת Win+R | Ctrl+V Enter). (@מתכנת-חובב).
- אנטי וירוס פעיל כל הזמן, מספיק לדברים כאלה לפחות את המובנה של ווינדוס.
- חסימת PowerShell (צעד מתקדם אבל חכם. הצעת AI)
צריך להגדיר שההרשאה לתוכנה זו - היא רק למנהל, ולא למשתמש רגיל. (לא יודע איך מגדירים). - כדאי להשתמש במנהל סיסמאות אמין במקום סיסמאות בדפדפן. (לדוגמה KeepassXC). (@מישהו12).
תודה לקב"ה - שאם נתקפתם בווירוס - זה היה על המחשב ולא בגופכם.
שימו 🤍 - השתדלתי לסכם מהפוסטים שכתבו כאן בשרשור (הקרדיט כולו שלכם, כתבו לי כדי להוסיף קרדיט אם צריך). זה לא מידע שלי. ייתכן ויש טעויות. -
@צדיק-תמים צודק טעות שלי
התבלבלתי עם אפליקציות ווינדוס -
@מתכנת-חובב יתכן, למה לא?
מאיפה אתה חושב הגיעו המצאות? מגאוני העולם? מצורך ופתרון, כאן היה צורך ומצאו פתרון...ולא אמרתי פשוט, אמרתי שצריך פיתוח, אבל אמרתי שאלו משוכות שאפשר לעבור זה הכל. לא באתי לשווק את הוירוס...
@עידו300 כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
@מתכנת-חובב יתכן, למה לא?
מאיפה אתה חושב הגיעו המצאות? מגאוני העולם? מצורך ופתרון, כאן היה צורך ומצאו פתרון...הנושא כבר מוצה אבל אני אגיב כי מכעיס אותי הזלזול באינטליגנציה
נכון שהצורך הוא מרכיב חשוב אבל ההיסטוריה מוכיחה שאין כמעט המצאות משמעותיות שהגיעו מאנשים שלא ידעו מה הם עושים או שלא שלטו בחומר בצורה טובה
האמונה שאם תעביר מספיק זמן בחברת הבינה המלאכותית (כפי שהיא כיום בכל אופן) תגיע לתגלית או המצאה חדשה בלי ללמוד כלום בעצמך היא שטות מוחלטת שלא הוכחה
ואדרבא - נשמח לקבל דוגמאות שאתה מכיר -
@עידו300 כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
@מישהו12 חמודים אתם.
אד הומינם זו דרך נהדרת לענות כשאין לך תשובה.
@מישהו12 כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
אד הומינם זו דרך נהדרת לענות כשאין לך תשובה.
חס ושלום, לא התכוונתי לפגוע באף אחד וגם לא לדבר על אף אחד (לך אף יש לי הערכה מיוחדת בעצם זה שאתה כותב בdigitalwhisper).
אבל על הטענות האלו כבר עניתי כמה וכמה פעמים, זה כל מה שהתכוונתי.
גם לא שייך
זו דרך נהדרת לענות כשאין לך תשובה
כי עניתי על הכל.
אבל שוב, אני לא מנסה ליחצ"ן או לשווק, אני בסה"כ תהיתי בקול, זכיתי ב"ה למתקפה הגונה מצד הסובבים, כאילו ניסיתי להכריע מי צודק פוניבז' למטה או למעלה, המחבלים או השונאים...
אני רק יכול להגיד, שאל דאגה, אם יום יבוא ואיזה האקר יבחר בזה כדרך מוזרה להעביר בה את מסריו, הוא יעבור בקלות את כל המשוכות שכתבתם כאן. וכבר היו דברים (הזויים) מעולם (כמו הפצת וירוסים דרך חלקים בבית חכם, ואף דרך איזה מכשיר שמחבר את האנטרנט לחשמל או משהו כזה, כמדומני שאפיק - CP כתב על זה מאמר עריכה- גיליון 117 מאמר סגירת מעגל). -
@מישהו12 כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
אד הומינם זו דרך נהדרת לענות כשאין לך תשובה.
חס ושלום, לא התכוונתי לפגוע באף אחד וגם לא לדבר על אף אחד (לך אף יש לי הערכה מיוחדת בעצם זה שאתה כותב בdigitalwhisper).
אבל על הטענות האלו כבר עניתי כמה וכמה פעמים, זה כל מה שהתכוונתי.
גם לא שייך
זו דרך נהדרת לענות כשאין לך תשובה
כי עניתי על הכל.
אבל שוב, אני לא מנסה ליחצ"ן או לשווק, אני בסה"כ תהיתי בקול, זכיתי ב"ה למתקפה הגונה מצד הסובבים, כאילו ניסיתי להכריע מי צודק פוניבז' למטה או למעלה, המחבלים או השונאים...
אני רק יכול להגיד, שאל דאגה, אם יום יבוא ואיזה האקר יבחר בזה כדרך מוזרה להעביר בה את מסריו, הוא יעבור בקלות את כל המשוכות שכתבתם כאן. וכבר היו דברים (הזויים) מעולם (כמו הפצת וירוסים דרך חלקים בבית חכם, ואף דרך איזה מכשיר שמחבר את האנטרנט לחשמל או משהו כזה, כמדומני שאפיק - CP כתב על זה מאמר עריכה- גיליון 117 מאמר סגירת מעגל).@עידו300 כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
אני רק יכול להגיד, שאל דאגה, אם יום יבוא ואיזה האקר יבחר בזה כדרך מוזרה להעביר בה את מסריו, הוא יעבור בקלות את כל המשוכות שכתבתם כאן. וכבר היו דברים (הזויים) מעולם (כמו הפצת וירוסים דרך חלקים בבית חכם, ואף דרך איזה מכשיר שמחבר את האנטרנט לחשמל או משהו כזה, כמדומני שאפיק - CP כתב על זה מאמר).
נכון.אבל העניין הוא שהעולם התקדם לשיטות יותר מתקדמות.זה אפשרי השיטות המוזרות האלה והם יעבדו אבל הם כבר פחות רלוונטיות.
-
אתמול נתבקשתי על ידי אתר שקפץ לי בתור פרסומת, "לאמת שאני לא רובוט
".
רק שזה היה נראה בדיקה שונה, כך זה היה: להקיש לחצן התחל+R, ואז קונטרול+V, ואז אנטר.
את כל "האימות" הזה עשיתי במהירות, כך שלא חשבתי מה זה יכול לחולל.
מיד אחרי השלבים האלה נפתח חלון של PowerShell שהריצה פקודה קצרה ונסגרה ,
מיד נפתח חלון על כל המסך הודעה משטרת ישראל על עבירות חוק מהמחשב, ואמור להנעל המחשב לצמיתות, או תשלום כופר ע"ס: ₪1,100.
אף פעם לא חשבתי שתוכנות כופר יגיעו אלי, עד שהייתי צריך להשבית את כל האנטי וירוס כדי להתקין משהו, ובדיוק בזמן הזה זה קורא.
תחכימו תלמדו ותזהרו!נתתי לai את הפקודה שהדבקתי בחלונית ההתחל שפתחתי, וזה טוען שלקחו ממני כתובת ip, וכנראה סיסמאות
עריכה (לאחר 246 פוסטים שנכתבו בעניין הזה) כדי לקצר תהליכים למי שרוצה סיכום:
|-סיכום/הערכת מצב פקודת PowerShell שהורצההפקודה שהועתקה כללה שימוש ב-PowerShell כדי להוריד קובץ טקסט (“clo.txt”) מ-IP חיצוני (84.21.189.170), ואז להריץ אותו עם פרמטרים מוסווים.
חלק מהטקסט שהטמיעו לקורבן כדי שידביק (“I am not a bot – Verification ID…”) נועד להטעות משתמשים כך שיחשבו שזה אימות "אני לא רובוט" אמיתי.️ הסבר על וירוס כופר מסוג Clopמה הווירוס עושה:
יכול לבצע הצפנת קבצים חשובים במערכת.
עלול לגנוב נתונים רגישים ולדרוש תשלום כופר.
יכול למחוק עותקי גיבוי ולמנוע שחזור עצמאי.
משאיר הוראות כופר (Ransom Note) עם כתובת לתשלום (בדרך כלל במטבע קריפטו). עצות והצעות למי שכבר הפעיל את הוירוסהצעות להגנה/תגובה מיידית:
- כיבוי מיידי של המחשב כדי לנסות לעצור המשך פעילות של הקוד.
- או ניתוק האינטרנט כדי למנוע הורדה נוספת או דיווח למפעילים.
- שינוי סיסמאות.
- מחיקת פרופיל דפדפן שבו הופיעה ההודעה.
- שחזור מידע דרך דיסקים טכנאים.
לגביי אנטי וירוס - אם עוזר במצבים כאלה? עדיין אן תשובה חד משמעית מהמשתמשים כאן. מכיון שייתכן והוירוס מסווה את עצמו גם מפני האנטי וירוס ועוקף אותו...
ולמי שרוצה לדעת איך להיזהר ולהגן על המחשב מפני וירוסים כאלה.
"להקדים רפואה למכה"
- אף פעם לא לבצע פעולות טכניות במחשב, מאתר שאומר לך מה לעשות (כדוגמת Win+R | Ctrl+V Enter). (@מתכנת-חובב).
- אנטי וירוס פעיל כל הזמן, מספיק לדברים כאלה לפחות את המובנה של ווינדוס.
- חסימת PowerShell (צעד מתקדם אבל חכם. הצעת AI)
צריך להגדיר שההרשאה לתוכנה זו - היא רק למנהל, ולא למשתמש רגיל. (לא יודע איך מגדירים). - כדאי להשתמש במנהל סיסמאות אמין במקום סיסמאות בדפדפן. (לדוגמה KeepassXC). (@מישהו12).
תודה לקב"ה - שאם נתקפתם בווירוס - זה היה על המחשב ולא בגופכם.
שימו 🤍 - השתדלתי לסכם מהפוסטים שכתבו כאן בשרשור (הקרדיט כולו שלכם, כתבו לי כדי להוסיף קרדיט אם צריך). זה לא מידע שלי. ייתכן ויש טעויות.סליחה אם חוזר על דברים
בונה אתרים שאני מכיר לחץ בטעות ונדבק
בהמשך פגש בזהכן, יש וירוס או מתקפת פישינג חדשה שמנצל את לחיצות המקשים WIN+R במערכות Windows כדי לפתוח טרמינל או חלון ריצה, ואז גורם למשתמש ללחוץ פקודות כגון הדבקה (CTRL+V) והרצה של סקריפטים זדוניים ישירות. הסקריפט שנריץ יכול להוריד ולהתקין תוכנות זדוניות כמו רמסווייר, דלתות אחוריות (backdoors), וכריית מטבעות קריפטו, ובכך לשבש את פעילות המחשב תוך מתן שליטה מלאה לתוקף מרחוק.
המתקפה זכתה לכינוי "CAPTCHA virus" או scam שבו המשתמש מוצג בפני הודעת אימות "אני לא רובוט" ומונחה לבצע את רצף המקשים Windows+R ואז CTRL+V ואז Enter, מה שמוריד ומריץ פקודות זדוניות דרך חלון הפקודות או PowerShell, ללא שהמשתמש מודע למתרחש.
בנוסף, מומלץ להימנע מללחוץ על פקודות מקלדת לא מוכרות או סימנים שמתקבלים מאתרים לא אמינים, ולהשתמש בתוכנות אנטי-וירוס עדכניות, וככל הניתן לחסום את האפשרות להריץ פקודות "ריצה" (Run) במערכת על ידי מדיניות אבטחה.
אם נתקעתם במתקפה כזו, יש לנקוט צעדים מיידיים כמו עצירת הריצה עם CTRL+C, הסרת נגיף באמצעות כלים כמו Malwarebytes, קאספרסקי ועוד, או לפנות לשירותי תמיכה מקצועיים.
אם הווירוס כבר רץ במערכת בעקבות לחיצות כמו CTRL+R והרצת פקודות זדוניות, יש לפעול במהירות ובמספר שלבים:
הפסקת הריצה מיידית - נסו לעצור את הסקריפט או התהליך באמצעות CTRL+C בטרמינל אם אפשר. במידה שלא ניתן, יש לסגור את החלון אם אפשר ולהשבית התחלות תוכנה חשודות.
סריקה מלאה למערכת - הריצו סריקה עם תוכנות אנטי-וירוס כמו Microsoft Defender (כולל סריקה לא מקוונת - offline scan), Malwarebytes או ESET Online Scanner כדי לזהות ולהסיר את הנגיף או תוכנות זדוניות עמוקות יותר.
בדיקת תוכניות מותקנות - עברו על תוכניות במערכת (Control Panel > Programs and Features) והסירו תוכנות לא מוכרות או חשודות שהותקנו ללא ידיעתכם.
בדיקת לוגים ופעילויות - בארועים במערכת (Event Viewer) יש לבדוק שגיאות או פעילויות חשודות שעלולות להעיד על פעילות זדונית.
איפוס סיסמאות - לאחר ניקוי המערכת, החליפו סיסמאות לחשבונות חשובים (מייל, בנקאות, מדיה חברתית) מחשש לסחיטה או גניבת מידע.
ניתן גם לשקול הפעלה במצב בטוח (Safe Mode) לצורך ניקוי ולטיפול מקצועי במידת הצורך.
אם אינכם בטוחים או שהתקלתם בבעיות רציניות, מומלץ לפנות לטכנאי מוסמך או שירות תמיכה מקצועי כדי לנקות את המערכת ללא סיכון לאובדן מידע או פגיעה רחבה יותר.
-
@הבל-הבלים מעבר לשאלה ההלכתית.
תוכנה פרוצה זה תוכנה שמישהו עשה לה משהו לא לגיטימי, קשה לסמוך על זה... וד"ל.
תנהל אתה את הסיכונים שלך, אבל מבחינת אבטחה נטו - אתה צודק.
וכמובן לא לשים ESET פרוץ...
-
@מישהו12 סליחה שאני לוקח את הדיון המקצועי למקום של הפחות מלומדים... האם אתם באמת חושבים שיש בעיה עם האנטי ווירוס הפרוץ של ESET מהפורום? כדאי לי להסיר אותו?
-
סליחה אם חוזר על דברים
בונה אתרים שאני מכיר לחץ בטעות ונדבק
בהמשך פגש בזהכן, יש וירוס או מתקפת פישינג חדשה שמנצל את לחיצות המקשים WIN+R במערכות Windows כדי לפתוח טרמינל או חלון ריצה, ואז גורם למשתמש ללחוץ פקודות כגון הדבקה (CTRL+V) והרצה של סקריפטים זדוניים ישירות. הסקריפט שנריץ יכול להוריד ולהתקין תוכנות זדוניות כמו רמסווייר, דלתות אחוריות (backdoors), וכריית מטבעות קריפטו, ובכך לשבש את פעילות המחשב תוך מתן שליטה מלאה לתוקף מרחוק.
המתקפה זכתה לכינוי "CAPTCHA virus" או scam שבו המשתמש מוצג בפני הודעת אימות "אני לא רובוט" ומונחה לבצע את רצף המקשים Windows+R ואז CTRL+V ואז Enter, מה שמוריד ומריץ פקודות זדוניות דרך חלון הפקודות או PowerShell, ללא שהמשתמש מודע למתרחש.
בנוסף, מומלץ להימנע מללחוץ על פקודות מקלדת לא מוכרות או סימנים שמתקבלים מאתרים לא אמינים, ולהשתמש בתוכנות אנטי-וירוס עדכניות, וככל הניתן לחסום את האפשרות להריץ פקודות "ריצה" (Run) במערכת על ידי מדיניות אבטחה.
אם נתקעתם במתקפה כזו, יש לנקוט צעדים מיידיים כמו עצירת הריצה עם CTRL+C, הסרת נגיף באמצעות כלים כמו Malwarebytes, קאספרסקי ועוד, או לפנות לשירותי תמיכה מקצועיים.
אם הווירוס כבר רץ במערכת בעקבות לחיצות כמו CTRL+R והרצת פקודות זדוניות, יש לפעול במהירות ובמספר שלבים:
הפסקת הריצה מיידית - נסו לעצור את הסקריפט או התהליך באמצעות CTRL+C בטרמינל אם אפשר. במידה שלא ניתן, יש לסגור את החלון אם אפשר ולהשבית התחלות תוכנה חשודות.
סריקה מלאה למערכת - הריצו סריקה עם תוכנות אנטי-וירוס כמו Microsoft Defender (כולל סריקה לא מקוונת - offline scan), Malwarebytes או ESET Online Scanner כדי לזהות ולהסיר את הנגיף או תוכנות זדוניות עמוקות יותר.
בדיקת תוכניות מותקנות - עברו על תוכניות במערכת (Control Panel > Programs and Features) והסירו תוכנות לא מוכרות או חשודות שהותקנו ללא ידיעתכם.
בדיקת לוגים ופעילויות - בארועים במערכת (Event Viewer) יש לבדוק שגיאות או פעילויות חשודות שעלולות להעיד על פעילות זדונית.
איפוס סיסמאות - לאחר ניקוי המערכת, החליפו סיסמאות לחשבונות חשובים (מייל, בנקאות, מדיה חברתית) מחשש לסחיטה או גניבת מידע.
ניתן גם לשקול הפעלה במצב בטוח (Safe Mode) לצורך ניקוי ולטיפול מקצועי במידת הצורך.
אם אינכם בטוחים או שהתקלתם בבעיות רציניות, מומלץ לפנות לטכנאי מוסמך או שירות תמיכה מקצועי כדי לנקות את המערכת ללא סיכון לאובדן מידע או פגיעה רחבה יותר.
-
@iosi-poli כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
(אפילו קובץ BAT יכול להיות כ"כ מעורפל עד כדי כך שלא תבין כלל מה הוא עושה.. ראה: https://www.youtube.com/watch?v=sznUqJHlzUo)
מה הקשר לעמידות שלו בפני הסרה?
ובכל אופן סקריפט batch כמה שיערפלו אותו לא לוקח יותר מכמה שניות להבין איך ערפלו אותו - בפרט בסרטון ששיתפת לעומת קוד בינארי שניתוח שלו יכול לקחת ימים שלמיםצריך עזרה בשחזור מידע? ייעוץ? egozkokus1@gmail.com
-
@iosi-poli כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
(אפילו קובץ BAT יכול להיות כ"כ מעורפל עד כדי כך שלא תבין כלל מה הוא עושה.. ראה: https://www.youtube.com/watch?v=sznUqJHlzUo)
מה הקשר לעמידות שלו בפני הסרה?
ובכל אופן סקריפט batch כמה שיערפלו אותו לא לוקח יותר מכמה שניות להבין איך ערפלו אותו - בפרט בסרטון ששיתפת לעומת קוד בינארי שניתוח שלו יכול לקחת ימים שלמים@מתכנת-חובב כן אבל הבאט מוריד בינארי
(קובץ הבאט באמת לא קשור, אבל אתה מסכים איתי שאפשר להחביא וירוס בדרכים מאוד מתוחכמות שיהיה קשה להסיר, נכון?)@מתכנת-חובב כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
ובכל אופן סקריפט batch כמה שיערפלו אותו לא לוקח יותר מכמה שניות להבין איך ערפלו אותו
נכון, אבל למשתמש הפשוט זה לא ממש נכון...
-
@מתכנת-חובב כן אבל הבאט מוריד בינארי
(קובץ הבאט באמת לא קשור, אבל אתה מסכים איתי שאפשר להחביא וירוס בדרכים מאוד מתוחכמות שיהיה קשה להסיר, נכון?)@מתכנת-חובב כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
ובכל אופן סקריפט batch כמה שיערפלו אותו לא לוקח יותר מכמה שניות להבין איך ערפלו אותו
נכון, אבל למשתמש הפשוט זה לא ממש נכון...
@iosi-poli כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
@מתכנת-חובב כן אבל הבאט מוריד בינארי
מה אתה בא לומר?
כל מה שאמרתי זה שאין פה הקשחה בעצם הערפול של ה bat - מכאן ואילך זה כמו כל נוזקה
אולי אנטי וירוס מאוד פשוט שלא עמיד במתקפות LOL יפול בזה אבל אז הוא גם יפול בלבדוק סקריפט מפורש...@iosi-poli כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
(קובץ הבאט באמת לא קשור, אבל אתה מסכים איתי שאפשר להחביא וירוס בדרכים מאוד מתוחכמות שיהיה קשה להסיר, נכון?)
נכון אבל לא קשור לדוגמה שהבאת וקצת ערבבת בין ערפול הקוד להקשחת העמידות של הוירוס
@iosi-poli כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
נכון, אבל למשתמש הפשוט זה לא ממש נכון...
המשתמש הפשוט לא יודע לקרוא פקודת PS גם אם יכתבו לו אותה במפורש
צריך עזרה בשחזור מידע? ייעוץ? egozkokus1@gmail.com
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}