שיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר
-
-
היה לי כזאת הודעה של משטרת ישראל, אחרי שנכנסתי לאתר שהאנטי וירוס חסם במשך שלוש פעמים....
-
וואי, אתם לא מבינים מה קרה לי עכשיו בעקבות השרשור הזה...
בגלל הסקרנות הורדתי חלק מהקוד (זה שמפענח את עצמו) בתור קובץ טקסט, הוא לא אמור לרוץ ככה, ככה אני חושב לפחות.
פיענחתי אותו פעמיים - שלוש, פחדתי להגיע לקוד הסופי אז עצרתי ומחקתי את קבצי הטקסט.
הבוקר קופץ לי אנטי וירוס נמצאו קבצים זדוניים...
הלב שלי נפל... מיד חשדתי שנפלתי איכשהו בפח הזה, ובצורה כלשהיא הקוד הצליח לרוץ, הרי הקבצים לא נקראו בשמות המוזרים האלו, ואפשר לראות בבירור בתמונה שהקוד הזדוני שהדביק לי את המחשב הוא אותו הקוד שפיענחתי!
מיד בדקתי באנטי וירוס eset שבדק לי את המחשב במשך כמה שעות ומצא 7(!) וירוסים, במהלך הבדיקה עוד לא ראיתי מה הקבצים שנמצאו אבל עם כל קובץ שנמצא הבנתי שהבור שאליו נכנסתי עמוק יותר ויותר...
התחלתי כבר להריץ תרחישים בראש, הולכים להצפין לי את המחשב? שילך כפרה, ישתמשו בו לכרות קריפטו? נו, לא ביג דיל. בוט לDOS? נחיה עם זה, גנבו סיסמאות? זה אסון... אני מחובר לשרתים, יש פרטי הזדהות (אפשר לגנוב SSH?!) סיסמאות שלי ושל אחרים וכו' אין מצב שזה קורה... שימות המחשב (ח"ו, כמובן), רק לא זה.
בקיצור אחרי שעות אני מקבל את הדו"ח של האנטי וירוס
השורה הראשונה זה אותו קובץ אומלל שמחקתי.
אחריו אלו קבצים שאני כתבתי (טוב, לא ממש אני, יותר gpt) אבל אני יודע מה הם עושים, למה זוהו כפישינג? אולי הוירוס הארור הצליח להזריק את עצמו גם לשם? יש לי עוד מערכות על המחשב (כאלו שעבדתי עליהן קשה), אחת שאוטוטו עוברת ידיים בשעה טובה, אולי הזריקו גם לתוכה? איזה בלאגן...
אבל איך אבדוק אם זה זיהוי שגוי? הרי הקובץ הוסגר ואיך דרך להחזיר אותו (להוציא מהסגרה? מאן דכר שמיה).
למזל, ב"ה, עשיתי גם גיבוי למערכת הספציפית הזו ובתוכה הקובץ שהוסגר, שלפתי אותו ועשיתי עליו סריקה (שלא יקח עוד שעות) ובשעה טובה האנטי וירוס מצא אותו כפישיניג! מה שאומר ש99% שהכל זיהוי שגוי (הרי יש שם קובץ מחוק שאכן זדוני, אילו היה יכול לרוץ... עריכה - כנראה זה לא הקובץ הזדוני, אלא עותק 7 של הקובץ התמים שהיה בסל המחזור) ועוד 3 עותקים של הקובץ שהופלל על לא עוול בכפו, ועוד 3 עותקים שלו שלא יודע איפה נמצאים), ירדה לי אבן מהלב זה ביטוי לא נכון, כל ההימליה ירדו מהלב שלי...
אלו הקבצים שזוהו כפישיניג, שמות מוזרים גם הם.
C:$Recycle.Bin\S-1-5-21-2405112106-3222505864-1721365442-1001$ROFPVGW.php PHP/Phishing.Agent.BR trojan cleaned by deleting
C:\Users\User\AppData\Roaming\Code\User\History-4adc73aa\78oy.php PHP/Phishing.Agent.BR trojan cleaned by deleting
C:\Users\User\AppData\Roaming\Code\User\History-4b1bbd5\yRJT.php PHP/Phishing.Agent.BR trojan cleaned by deleting
C:\Users\User\AppData\Roaming\Code\User\History\3b90a7b5\wlxr.php PHP/Phishing.Agent.BR trojan cleaned by deleting
זה הקוד שזוהה כפישינג
||// מעדכן את אישור ההגעה במסד הנתונים ומחיזר תשובה לעמוד אישור ההגעה אם העדכון הצליח או לא <?php // טעינת פרטי מסד הנתונים מתוך config.php require_once 'config.php'; $conn = new mysqli($servername, $username, $password, $dbname); if ($conn->connect_error) { die("Connection failed: " . $conn->connect_error); } // קבלת נתונים מהטופס $phone = $_POST['phone'] ?? ''; $guests = $_POST['guests'] ?? ''; if (!empty($phone) && is_numeric($guests)) { $stmt = $conn->prepare("UPDATE guests SET guests = ? WHERE phone = ?"); $stmt->bind_param("is", $guests, $phone); if ($stmt->execute()) { $message = "המידע עודכן בהצלחה!"; $type = "success"; } else { $message = "שגיאה בעדכון המידע."; $type = "error"; } $stmt->close(); } else { $message = "לא סופקו נתונים תקינים."; $type = "error"; } $conn->close(); // הפניה חזרה ל-invite.php עם הודעה header("Location: invite.php?phone=$phone&type=$type&message=" . urlencode($message)); exit; ?>||
ב"ה תודה אבא שבשמיים שזה כלום (לפחות אמרתי תהלים בגלל זה).
-
וואי, אתם לא מבינים מה קרה לי עכשיו בעקבות השרשור הזה...
בגלל הסקרנות הורדתי חלק מהקוד (זה שמפענח את עצמו) בתור קובץ טקסט, הוא לא אמור לרוץ ככה, ככה אני חושב לפחות.
פיענחתי אותו פעמיים - שלוש, פחדתי להגיע לקוד הסופי אז עצרתי ומחקתי את קבצי הטקסט.
הבוקר קופץ לי אנטי וירוס נמצאו קבצים זדוניים...
הלב שלי נפל... מיד חשדתי שנפלתי איכשהו בפח הזה, ובצורה כלשהיא הקוד הצליח לרוץ, הרי הקבצים לא נקראו בשמות המוזרים האלו, ואפשר לראות בבירור בתמונה שהקוד הזדוני שהדביק לי את המחשב הוא אותו הקוד שפיענחתי!
מיד בדקתי באנטי וירוס eset שבדק לי את המחשב במשך כמה שעות ומצא 7(!) וירוסים, במהלך הבדיקה עוד לא ראיתי מה הקבצים שנמצאו אבל עם כל קובץ שנמצא הבנתי שהבור שאליו נכנסתי עמוק יותר ויותר...
התחלתי כבר להריץ תרחישים בראש, הולכים להצפין לי את המחשב? שילך כפרה, ישתמשו בו לכרות קריפטו? נו, לא ביג דיל. בוט לDOS? נחיה עם זה, גנבו סיסמאות? זה אסון... אני מחובר לשרתים, יש פרטי הזדהות (אפשר לגנוב SSH?!) סיסמאות שלי ושל אחרים וכו' אין מצב שזה קורה... שימות המחשב (ח"ו, כמובן), רק לא זה.
בקיצור אחרי שעות אני מקבל את הדו"ח של האנטי וירוס
השורה הראשונה זה אותו קובץ אומלל שמחקתי.
אחריו אלו קבצים שאני כתבתי (טוב, לא ממש אני, יותר gpt) אבל אני יודע מה הם עושים, למה זוהו כפישינג? אולי הוירוס הארור הצליח להזריק את עצמו גם לשם? יש לי עוד מערכות על המחשב (כאלו שעבדתי עליהן קשה), אחת שאוטוטו עוברת ידיים בשעה טובה, אולי הזריקו גם לתוכה? איזה בלאגן...
אבל איך אבדוק אם זה זיהוי שגוי? הרי הקובץ הוסגר ואיך דרך להחזיר אותו (להוציא מהסגרה? מאן דכר שמיה).
למזל, ב"ה, עשיתי גם גיבוי למערכת הספציפית הזו ובתוכה הקובץ שהוסגר, שלפתי אותו ועשיתי עליו סריקה (שלא יקח עוד שעות) ובשעה טובה האנטי וירוס מצא אותו כפישיניג! מה שאומר ש99% שהכל זיהוי שגוי (הרי יש שם קובץ מחוק שאכן זדוני, אילו היה יכול לרוץ... עריכה - כנראה זה לא הקובץ הזדוני, אלא עותק 7 של הקובץ התמים שהיה בסל המחזור) ועוד 3 עותקים של הקובץ שהופלל על לא עוול בכפו, ועוד 3 עותקים שלו שלא יודע איפה נמצאים), ירדה לי אבן מהלב זה ביטוי לא נכון, כל ההימליה ירדו מהלב שלי...
אלו הקבצים שזוהו כפישיניג, שמות מוזרים גם הם.
C:$Recycle.Bin\S-1-5-21-2405112106-3222505864-1721365442-1001$ROFPVGW.php PHP/Phishing.Agent.BR trojan cleaned by deleting
C:\Users\User\AppData\Roaming\Code\User\History-4adc73aa\78oy.php PHP/Phishing.Agent.BR trojan cleaned by deleting
C:\Users\User\AppData\Roaming\Code\User\History-4b1bbd5\yRJT.php PHP/Phishing.Agent.BR trojan cleaned by deleting
C:\Users\User\AppData\Roaming\Code\User\History\3b90a7b5\wlxr.php PHP/Phishing.Agent.BR trojan cleaned by deleting
זה הקוד שזוהה כפישינג
||// מעדכן את אישור ההגעה במסד הנתונים ומחיזר תשובה לעמוד אישור ההגעה אם העדכון הצליח או לא <?php // טעינת פרטי מסד הנתונים מתוך config.php require_once 'config.php'; $conn = new mysqli($servername, $username, $password, $dbname); if ($conn->connect_error) { die("Connection failed: " . $conn->connect_error); } // קבלת נתונים מהטופס $phone = $_POST['phone'] ?? ''; $guests = $_POST['guests'] ?? ''; if (!empty($phone) && is_numeric($guests)) { $stmt = $conn->prepare("UPDATE guests SET guests = ? WHERE phone = ?"); $stmt->bind_param("is", $guests, $phone); if ($stmt->execute()) { $message = "המידע עודכן בהצלחה!"; $type = "success"; } else { $message = "שגיאה בעדכון המידע."; $type = "error"; } $stmt->close(); } else { $message = "לא סופקו נתונים תקינים."; $type = "error"; } $conn->close(); // הפניה חזרה ל-invite.php עם הודעה header("Location: invite.php?phone=$phone&type=$type&message=" . urlencode($message)); exit; ?>||
ב"ה תודה אבא שבשמיים שזה כלום (לפחות אמרתי תהלים בגלל זה).
-
@עידו300 לא עברתי על הכל אבל שים לב שקבצים בסל המחזור מקבלים שמות רנדומליים כאלו
כמו כן האנטי וירוס מנתח לפי תוכן ולא לפי סיומות כך שלא כל כך משנה הסיומת ששינית אבל אם כן אז באמת הקובץ לא רץ@מתכנת-חובב כן, זה מה שהרגיע אותי... אני לא מאמין שהוא יכול לרוץ כקובץ טקסט.
-
@מתכנת-חובב כן, זה מה שהרגיע אותי... אני לא מאמין שהוא יכול לרוץ כקובץ טקסט.
-
@מתכנת-חובב כן, זה מה שהרגיע אותי... אני לא מאמין שהוא יכול לרוץ כקובץ טקסט.
@עידו300 בטוח?כי בסופו של דבר הסל מיחזור זה כן מקום כלשהוא בדיסק
-
@עידו300 ליתר דיוק הוא לא קובץ טקסט אבל ווינדוס מריץ לפי הסיומת ולא לפי ה magic ולכן כנראה הוא לא רץ
לא הורדתי מהשרת שלהם.
העתקתי את מה שהיה בגיטהאב לאיזה אתר שמענח את הפורמט הנ"ל, לאחר שראיתי שא"א להעתיק את התוכן המפוענח הורדתי אותו כקובץ טקסט, העתקתי ממנו את החלק הרלוונטי ופענחתי שוב, וחוזר חלילה.בכזה מצב אין היגיון שהוא ירוץ בטעות, נכון שהתוכן הוא אולי וירוס אבל הסימות הוא txt והוא לא אמור לרוץ בלי פקודה נכונה להרצה. ככה לפחות דעתי.
-
@עידו300 בטוח?כי בסופו של דבר הסל מיחזור זה כן מקום כלשהוא בדיסק
@יוסי-רחמים כן אבל זה לא מקום שרץ, זה מקום מת.
-
לא הורדתי מהשרת שלהם.
העתקתי את מה שהיה בגיטהאב לאיזה אתר שמענח את הפורמט הנ"ל, לאחר שראיתי שא"א להעתיק את התוכן המפוענח הורדתי אותו כקובץ טקסט, העתקתי ממנו את החלק הרלוונטי ופענחתי שוב, וחוזר חלילה.בכזה מצב אין היגיון שהוא ירוץ בטעות, נכון שהתוכן הוא אולי וירוס אבל הסימות הוא txt והוא לא אמור לרוץ בלי פקודה נכונה להרצה. ככה לפחות דעתי.
-
@עידו300 לא הבנתי
ירד לך קובץ plain text? -
@מתכנת-חובב כן, קובץ טקסט רגיל
-
@עידו300 מגיטהאב?
תוכל לשלוח אותו \ קישור?
הבנתי שזאת נוזקה בינארית -
@עידו300 מגיטהאב?
תוכל לשלוח אותו \ קישור?
הבנתי שזאת נוזקה בינארית -
@מתכנת-חובב הקישור כבר לא פעיל.
כאןזה הפיענוח של סיבוב אחד אני חושב
מובן, אין לפתוח סתם בלי לדעת מה לא לעשות!
-
@עידו300 זה base64 בתוך base64 בתוך base64...
בכל אופן לא חקרתי לעומק כי אני קצת עסוק עכשיו אבל נראה שזאת לא הנוזקה בעצמה אלא משהו שמדבר עם השרת ואולי מוריד ממנו את הנוזקה (אגב למה שמת את זה ב utf16?) -
@מתכנת-חובב זה תוך כדי אוסף נתונים ואז משיך הלאה.
לא שמתי, ככה זה מגיע.@cfopuser הוא המומחה לענין.
@עידו300 כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
@מתכנת-חובב זה תוך כדי אוסף נתונים ואז משיך הלאה.
לא אוסף נתונים רק מדמה אוסף נתונים (וגם הם לא נתונים מעניינים)
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}