עדכון חם! - התפרצות תוכנת כופר בAMMYY Admin

[mat]

זה. שניים מקבצים הנגועים.

https://www.virustotal.com/en-gb/fi...82d8036d18688421efaf881b9e8841d7256/analysis/

https://www.virustotal.com/en-gb/fi...0d8d4bef38d1474e5ebf07a7914899609de/analysis/

אין להם בכלל חתימה דיגיטלית.
אם ככה כנראה שהתוקפים לא הגיעו לחתימה הדיגטלית של חברת ammyy. ממילא כנראה כל מה שיש לו חתימה דיגיטלית הוא נקי.

 

[GolanArt]

MAT, אנחנו צריכים את המוחות האלו שיעבדו בנטפרי, לא?

 

[Aאילה]

לא הבנתי, מה תכלס?
מי שהשתמש אי פעם בתכנה הזאת, צריך לפחד?
מה יש לעשות?

 

[פרסומון]

קבצים ישנים הם בסדר.

 

[רק עיצוב]

קבצים ישנים הם בסדר.

אם הורדתי את זה מאתר של נטפרי לצורך שליטה מרחוק מצוות נטפרי, יש מה לחשוש?

 

[קבוצת זוכים רמה ה']

מי שהותקף מה הוא יכול לעשות?

 

[פרסומון]

אין לי מושג איזה קובץ יש להם שם. תשאלי את mat הוא כתב כאן באשכול לפני יום.

 

[mat]

אם הורדתי את זה מאתר של נטפרי לצורך שליטה מרחוק מצוות נטפרי, יש מה לחשוש?

לפי כל הבדיקות שעשיתי הקובץ שנמצא באתר נטפרי נקי.
הוא לא נמצא ברשימה של הקבצים הנגועים של eset.

 

[sivan22]

הדפדפן גוגל כרום כבר מזמן לא נותן להוריד את התוכנה מהאתר הרשמי הוא כותב
Google Chrome doesn't support downloading this file.
Please use another browser (like Internet Explorer, Opera) for downloading this file.
Sorry for inconvenience, Ammyy LLC !

 

[פרסומון]

את זה לא הדפדפן כותב אלא ammyy.

 

[סוגרים שידוך]

וירוס כופר למייל - זהירות

קיבלתי במייל: אושר להעברה הלאה באתר לא רלוונטי
נשמע כמו סיפור מספרי מתח ועלילה, אבל לצערי זה אמיתי...

המייל עם הוירוס הזה הגיע אלי

פתחתי אותו במחשב הפרטי בבית, פתיחת המייל היתה בתמימות ובחוסר מחשבה של שניה, למרות שאני קורא כל הזמן את ההתראות לא לפתוח כאלה מיילים.

מה שהטעה אותי לפתוח את המייל היה תוכן המייל, כפי שרואים למטה: שאני חייב 680$, והיות ולא שילמתי את החוב, מצורפת לי הזמנה לבית משפט.

לצערי, לא היתה לי מערכת אנטי וירוס מספיק חזקה בבית.

לצערי הרב יותר, לא היו לי גם שום גיבויים לחומר במחשב.

וגם היה לי חומר יקר וחשוב מאוד במחשב.

הוירוס הנורא הזה גרם לכך שכל קבצי הנתונים במחשב שלי הוצפנו (קבצי מייל, מסמכים, אקסל, PDF ועוד)

על מנת לשחרר את הצפנת הקבצים התבקשתי לשלם את הכופר שביקשו בעלי הוירוס בסך 500$

התייעצנו עם גדולי חברות האנטי-וירוס ועם גדולי הטכנאים, חקרנו את הנושא מכל הכיוונים – והמסקנה הברורה והמצערת היתה, שאם החומר חשוב לי, ואין לי שום אפשרות שחזור של הנתונים. בכל העולם, לא הצליחו לעלות על בעלי הוירוס, וגם לא הצליחו בשום אופן לפצח את קוד ההצפנה שלהם. אין ברירה אלא לשלם את דמי הכופר שהם דורשים.

על מנת לשלם את הכופר הייתי צריך לעבור כמה תהליכים שארכו כ-15 שעות (התקנת browser TOR, פתיחת ארנק וירטואלי, changer להעביר כסף, העברת הכסף לחברת הגנבים, קבלת קוד וכו')

לאחר כל התהליך קיבלתי מהם קובץ שיודע לשחרר את כל הצפנת הקבצים.

הרצתי את הקובץ במחשב שלי, וב"ה כל הקבצים שוחררו בהצלחה!!

החברה הזאת עובדת עם שיטה מאוד מגמתית:

הם הורסים רק את קבצי ה DATA, ולא את קבצי ההפעלה, כי אין להם עניין להרוס את המחשב, יש להם עניין שנרצה לשחזר את החומר שהלך לנו.

אם לא משלמים את הכופר ע"ס 500$ תוך שבוע, הקנס עולה ל 1000$, אם לא משלמים גם את זה תוך שבוע, מקבלים עונש – לא תהיה כבר כלל אפשרות לשחזר את הקבצים לעולם.

בכל מחשב מותקנת ההצפנה עם קוד אישי, כך שקובץ שחרור ההצפנה יכול לעבוד רק על המחשב האישי, ולא בשום מחשב אחר.

אני מספר את כל הסיפור הארוך הזה (הוא היה הרבה יותר ארוך ומותח), רק כדי להזהיר שוב, לא לפתוח שום קובץ מצורף, גם קובץ וורד, שלא ידוע מה מקור המייל, אל תקחו סיכון!!!!!!

בימים אלו מסתובב וירוס כופר

נא לא לפתוח מיילים מאנשים לא מוכרים לכם

אפילו שהוא מראה בקובץ המצורף קובץ Word או אחר

וירוס כופר-הוא וירוס שמשבש לכם את הקבצים במחשב ולאחר מכן דורש כסף כדי לתקן

פעם וירוס זה היה עם קבצים מצורפים בסיומות zip או cab כיום הוא מתחזה בסיומות היותר מוכרות כמו doc (מסמך Word) או txt.

 

[.D.H.K]

גל של תוכנות כופר חדשות בדרך לישראל – כך תזהו ותימנעו

גל של תוכנות כופר חדשות בדרך לישראל – כך תזהו ותימנעו

קיבלתם התראה על חוב שלא שולם לתיבת הדואר האלקטרוני שלכם? שימו לב, כי זה עלול להגיע גם אליכם.
בימים האחרונים מופצות אלפי הודעות דואר אלקטרוני מזויפות בטענה שלחברה בה אתם עובדים ישנו חוב פתוח שעליכם לשלם בדחיפות. להודעה מצוף קובץ שכביכול מכיל את החשבונית שלטענת השולח טרם שולמה, אך למעשה מדובר קוד זדוני שמדביק את המחשב בתוכנת כופר מסוכנת שמטרתה להצפין את כל הקבצים על המחשב הנגוע ומשם עלולה להדביק מחשבים נוספים ברשת הארגונית.
תוכנת הכופר המופצת במתקפה נקראת TeslaCrypt ובשבועיים האחרונים נרשמה עליה של 900% במספר ההדבקות ברחבי העולם, וכעת נראה שהאיום הגיע גם לישראל. כפי שניתן לראות בצילום המסך של ההודעה שקיבלה חברת הי-טק ישראלית:
צפה בקובץ המצורף 269799

תופעה כלל עולמית
תוכנת הכופר TeslaCrypt נחשפה לראשונה במרץ 2015, ועד עתה היעד העיקרי שלה היה בעיקר גיימרים. כאמור, בשבועיים האחרונים נרשם זינוק של מאות אחוזים במספר ההדבקות, כאשר יעד התקיפה הפך להיות בתי עסק וארגונים.
ההודעה הזדונית של ה TeslaCrypt מכילה קובץ מצורף שבדרך כלל כולל את המילים "invoice", "doc" או "info" אבל למעשה מכיל קוד ג'אווה זדוני שמטרתו לחמוק מתוכנת האבטחה ולהוריד למחשב את תוכנת הכופר. אם ההתקפה מצליחה, התוכנה תצפין את כל הקבצים על המחשב והמשתמש יקבל הודעה שהקבצים שלו הוצפנו והנחיות איך ניתן לבצע את התשלום עבור שחרור הקבצים.

החוליה החלשה – העובדים עצמם
ביום חמישי האחרון קיבלה מנהלת המשרד של אותה חברת הי-טק את ההודעה לתיבת הדואר האלקטרוני שלה, והעבירה אותה למחלקת הנהלת החשבונות של החברה. מנהלת החשבונות, שראתה שההודעה הגיעה ממנהלת המשרד, לא חשדה בדבר ופתחה את הקובץ המצורף על מנת לצפות בחשבונית שלטענתה לא שולמה.
חשוב להבין שאבטחה חזקה בארגון מורכבת מכמה מעגלים, שעובדי הארגון הם ללא ספק אחד ממעגלי האבטחה החשובים ביותר. לכן חשוב במיוחד לעורר מודעות, לדבר עם העובדים בחברה ולתת להם כלים לזהות ולהתמודד עם מיילים זדוניים. בתקופה זו גם נעשה חיוני יותר ויותר להקפיד על גיבוי תקופתי של הקבצים השמורים על המחשבים והרשתות הארגוניות, כך שגם אם תוכנת כופר כזו או אחרת מצליחה לחדור את ההגנה, ניתן יהיה לשחזר את הקבצים מהגיבוי ולא לשלם את הכופר.

מקור

 

[שירה בנט]

ממש הזוי הדבר הזה.היום סיפרה שכנה שהבת שלה התחתנה לפני חודש שאין תמונות חתונה כי הצלם נפל בפח איתם והם השתלטו לו על המחשב ושילם להם תכסף ולא קיבל כלום.
חמש חתונות שאין להם תמונות חתונה...

 

[3 פינות]

ותרשו לי לחזור על זה עד שייצא לכם מהאוזניים, כי זה צריך להיכנס שמה.
תגבו את המחשב שלכם
אני עכשיו אחרי כמה ימים של שיחזור דיסק קשיח, ותדעו שזה מפרנס הרבה אנשים, דיסקים לא מגובים, אם רק היה גיבוי כל העבודה היתה נחסכת.
יש לווינדוס כלי מובנה לגיבוי, (אפילו לאותו דיסק למחיצה אחרת עדיף מכלום). ויש את הענן החינמי של בזק, פשוט שמים על המחשב והוא עובד ברקע.

 

[levy]

איך מגיעים לענן החינמי של בזק?

 

[סימפטי]

מעניין יהיה לנסות את הווירוס הזה על מחשב ריק לצורך ניסוי שבו יפעילו את הווירוס ולאחר מכן יפרמטו את המחשב ואז יעשו שחזור עם תוכנות שמחזירות מפרמוט ולראות האם הקבצים המוצפנים מהווירוס חזרו.

 

[שקדיה]

אנחנו נפלנו בעבר עם הכופר
וממש הלחצתם אותי עכשיו....
תכל'ס אני לא יודעת ממתי ואיזה קובץ אמי יש לנו במחשב (אנו משתמשים בו מידי פעם)
מה אני אמורה לעשות כעת?

 

[.D.H.K]

CryptoWall 3 - התמודדות עם וירוס הכופר

איך להסיר את הוירוס?

ניקוי הוירוס לא ישחרר את הקבצים שהוצפנו אך אפשר לבצע ניקוי של הוירוס והשאריות שלו באמצעות תוכנת Malwarebytes

כמו כן, למחוק קבצי EXE חשודים מהמיקומים הבאים:

%Temp%

C:\<random>\<random>.exe

%AppData%

%LocalAppData%

%ProgramData%

להסיר את ההפעלה שלהם מה-startup לפי התמונה.
צפה בקובץ המצורף 269930

ברשת ארגונית אנו מציעים לא לקחת סיכון ולפרמט את המחשב לאחר ששחזרתם את החומר.

איך אפשר להימנע מהידבקות הוירוס?

להתקין תוכנת אנטי וירוס הכוללת חומת אש ולוודא שהיא מתעדכנת מידי יום.

להתקין תוכנה לסריקת אתרי אינטרנט בזמן אמת (המומלצת בתשלום Malwarebytes Premium או חינמיות Norton Identity Safe או SiteAdvisor. ברשת ארגונית יש להפעיל סינון אתרי אינטרנט בפיירוול).

להתקין תוסף שסורק וירוסים בכל המיילים הנכנסים לאאוטלוק (בארגון רצוי מערכת סינון מיילים חיצונית כמו פיינאפ).

לוודא שעדכונים אוטומטיים של הווינדוס מופעלים.

לוודא שתוכנת Flash Player מעודכנת לגירסה האחרונה ביותר ושמוגדר בה עדכונים אוטמטיים (החל מווינדוס 8 התוכנה מתעדכנת כחלק מה-Windows Update)

להגדיר סיסמא אבטחה מורכבת למחשב ולבטל חיבור מרחוק דרך Remote Desktop.

להפעיל את 'בקרת חשבון המשתמש' (UAC).

והכי חשוב:

לא לפתוח דואר אלטרוני ממקורות לא ידועים.

לא ללחוץ על קישורים לאתרים לא מוכרים.

לא להוריד תוכנות פיראטיות.

לגבות את הקבצים במחשב לכונן חיצוני וגם לשירות גיבוי בענן.

 

[3 פינות]

איך מגיעים לענן החינמי של בזק?

https://cloud.bezeq.co.il/Login.aspx

 

[הדוד סם]

אין אנטי וירוס שחוסם את פתיחת המייל????