Google

הקבצים שלכם הוצפנו? מדריך להתמודדות עם וירוס הכופר - תקלה
עמוד הפורומים עמוד הפורומים > פורום תקלה > פורום תמיכה טכנית
  הודעות חדשות הודעות חדשות RSS Feed: הקבצים שלכם הוצפנו? מדריך להתמודדות עם וירוס הכופר
  FAQ FAQ  חיפוש בפורום   הרשמה הרשמה  כניסה כניסה

הקבצים שלכם הוצפנו? מדריך להתמודדות עם וירוס הכופר    

 שליחת תגובה שליחת תגובה
כותב
הודעה
takala צפה בגלילה למטה
מנהל ראשי
מנהל ראשי


הצטרף / הצטרפה: 01/10/2003
מצב: לא מחובר לא מחובר
הודעות: 562
אפשרויות הודעה אפשרויות הודעה   ציטוט takala ציטוט  שליחת תגובההגב קישור ישיר להודעה זו נושא: הקבצים שלכם הוצפנו? מדריך להתמודדות עם וירוס הכופר
    פורסם: 18/7/2015 בשעה 22:20

CryptoWall 3 - מדריך להתמודד עם וירוס הכופר

 

בשבועות האחרונים מתפשט וירוס קטלני בשם cryptowall 3  המצפין את רוב קבצי ה-data של המשתמש במחשב ודורש כופר עבור שחרורם.

ברשת ארגונית גם הקבצים בשרת יפגעו אם יש למחשב הנגוע מיפוי והרשאות לתיקיות בשרת.

הוירוס מציג הודעה עם הצעה לשחרר את הקבצים בתמורה ל-500$ (לאחר שבוע המחיר עולה ל-1000$) שכן לאחר מכן קוד הפיענוח של ההצפה של הקבצים עלול להימחק מה שיהפוך את הפיענוח ההצפנה לבלתי אפשרי.

את הכופר יש לשלם רק באמצעות מטבע ביטקוין (מטבע ממחושב ומבוזר).נכון לכתיבת שורות אלו, אין אפשרות לשחרר ולפענח את ההצפנה של הקבצים (במידה ותהיה אפשרות נעדכן פה).


 

איך המחשב נדבק בוירוס?

הוירוס יכול להגיע באמצעות שתי דרכים עיקריות. דרך גלישה באתרי אינטרנט זדוניים \ אתרי אינטרט לגיטימיים שנפרצו ללא ידיעת בעלי האתר או דרך מייל ספאם שהגיע עם קובץ מצורף \ מייל עם קישור זדוני שמתחזה למס' הזמנה שכביכול הזמנתם דרך אתר קניות מוכר \ מייל שהגיע כביכול דרך שירות פקס טו מייל.


 


מה זה CryptoWall 3 ואיך הוא פועל?

CryptoWall 3 זהו וירוס שיודע לתקוף את כל מערכות ההפעלה של ווינדוס (החל מ-xp ועד ווינדוס 8) ולהצפין את קבצי המחשב ברמה מאוד גבוהה ( סוג הצפנה AES-265 ו-RSA) על מנת לוודא שלא תהיה שום דרך לשחרר את הקבצים מלבד לרכוש את מפתחות ההצפנה מהאקרים.

ברגע שהוירוס מופעל הוא מתחיל לסרוק את כל הכוננים במחשב (כולל כונני רשת) ומצפין את סוגי הקבצים הבאים:

sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg,.txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

מיד בתחילת ההצפנה, הוירוס יוצר 3 קבצי exe ב-3 תיקיות שונות במחשב ומגדיר אותם ב-startup בכדי שהוא יוכל להמשיך בהצפנה במידה וכיביתם את המחשב. בסיום ההצפנה, קבצי ה-exe נמחקים מה-startup. 



כמו כן, הוירוס מבטל  את ה- Shadow Copies וה-System Restore מהמחשב (מוחק את תכולת תיקיית System Volume Information) ומונע אפשרות של שחזור החומר.

הוירוס יוצר שלושה קבצים חדשים בכל תיקייה שהוצפנה עם הוראות איך לשלם את הכופר.

HELP_DECRYPT.txt, HELP_DECRYPT.html ו- HELP_DECRYPT.png.



 

 

איך להסיר את הוירוס?

ניקוי הוירוס לא ישחרר את הקבצים שהוצפנו אך אפשר לבצע ניקוי של הוירוס והשאריות שלו באמצעות תוכנת Malwarebytes  

https://www.malwarebytes.org/mwb-download/

כמו כן, למחוק קבצי EXE  חשודים מהמיקומים הבאים:

%Temp%

C:\<random>\<random>.exe

%AppData%

%LocalAppData%

%ProgramData%

להסיר את ההפעלה שלהם מה-startup לפי התמונה בסעיף הקודם.

ברשת ארגונית אנו מציעים לא לקחת סיכון ולפרמט את המחשב לאחר ששחזרתם את החומר.

 

איך אפשר לדעת אילו קבצים הוצפנו?

להיכנס לרג'סטרי במחשב שנדבק במיקום הבא:

HKCU\Software\<unique computer id>\<random id>

אפשר גם לייצא לקובץ txt את כל רשימת הקבצים שהוצפנו באמצעות הכלי הבא:

http://www.bleepingcomputer.com/download/listcwall/

אפשר גם לבצע חיפוש עם הערך HELP_DECRYPT באמצעות תוכנת Everything Search Engine ולראות את כל התיקיות שהוצפנו.

http://www.voidtools.com/





איך אפשר לדעת איזו תחנת קצה הצפינה את הקבצים בשרת בארגון?

ניתן להיכנס לאחת מהתיקיות שהוצפנו בשרת ולהוסיף את השדה OWNER לקבצי HELP_DECRYPT ולראות את שם היוזר שיצר את הקבצים.


איך אפשר לשחזר את הקבצים שהוצפנו ללא תשלום כופר?

1.תוכלו לשחזר את החומר אם יש לכם גיבוי בהתקן חיצוני או בענן.

2. יש אפשרות לנסות לשחזר באמצעות ה-shadow copy (גיבוי גירסאות קודמות של קבצים שמערכת הפעלה מבצעת באופן אוטומטי. לא קיים בווינדוס xp)

אך הסיכוי קטן מכיוון שהוירוס מוחק גם את ה-shadow copy אלא אם במידה היה מופעל במחשב UAC אז ניצלתם. מומלץ באמצעות הכלי הבא:

http://www.shadowexplorer.com/downloads.html




3.יש אפשרות לנסות לשחזר באמצעות תוכנת צד שלישי לשחזור (גם פה הסיכוי קטן).

אפשר לנסות מכיוון שהוירוס קודם יוצר עותק לקבצים, מצפין את העותק ומוחק את הקבצים המקוריים. אפשר לנסות להשתמש בתוכנת Recuva.

https://www.piriform.com/recuva


 


איך אפשר להימנע מהידבקות הוירוס?

להתקין תוכנת אנטי וירוס הכוללת חומת אש ולוודא שהיא מתעדכנת מידי יום.

להתקין תוכנה לסריקת אתרי אינטרנט בזמן אמת (המומלצת בתשלום Malwarebytes Premium או חינמיות Norton Identity Safe או  SiteAdvisor. ברשת ארגונית יש להפעיל סינון אתרי אינטרנט בפיירוול).

להתקין תוסף שסורק וירוסים בכל המיילים הנכנסים לאאוטלוק (בארגון רצוי מערכת סינון מיילים חיצונית כמו פיינאפ).

לוודא שעדכונים אוטומטיים של הווינדוס מופעלים.

לוודא שתוכנת Flash Player מעודכנת לגירסה האחרונה ביותר ושמוגדר בה עדכונים אוטמטיים (החל מווינדוס 8 התוכנה מתעדכנת כחלק מה-Windows Update)

להגדיר סיסמא אבטחה מורכבת למחשב ולבטל חיבור מרחוק דרך Remote Desktop.

להפעיל את 'בקרת חשבון המשתמש' (UAC).

והכי חשוב:

לא לפתוח דואר אלטרוני ממקורות לא ידועים.

לא ללחוץ על קישורים לאתרים לא מוכרים.

לא להוריד תוכנות פיראטיות.

לגבות את הקבצים במחשב לכונן חיצוני וגם לשירות גיבוי בענן.


איך משלמים את הכופר ומשחררים את הקבצים?

חשוב לקרוא לפני:

אנחנו לא ממליצים לשלם כופר לעבריינים מכיוון שזה יעודד אותם להמשיך לבצע עבירות.

אבל אם מדובר במסמכים ותמונות יקרות ערך או אם מדובר בהצלת העסק שלכם וניסיתם את כל האפשרויות האחרות אז לפחות הצלחנו לחסוך לכם תשלום נוסף על טכנאי שיבצע את התשלום כופר בעצמו.

ברוב המקרים ששמענו, אנשים כן הצליחו לשחרר את הקבצים או את חלקם אך לא ניתן להבטיח שבאמת תצליחו לשחרר את הקבצים בחזרה ואתם לוקחים פה סיכון.

שמענו גם על מקרים שיש וירוסים שמתחזים ל- CryptoWall 3 ולא באמת מקבלים את הקבצים בחזרה.

לפני ביצוע התשלום כדאי לעלות קובץ אחד שהוצפן ללינק שקיבלתם מהנוכלים על מנת לראות שניתן לפתוח את ההצפנה (אתם מקבלים ניסיון אחד כזה בחינם).

את כל הפעולות הבאות יש לבצע מדפדפן אינטרנט מוכר כמו IE או כרום ולא מדפדפן TOR.

מדפדפן TOR יש להיכנס רק בסעיפים 3 ו-5  על מנת לקבל את הקובץ לשחרור הקבצים.

 

 הפעולות:

1. לפתוח ארנק (חשבון בנק וירטואלי) ב-blockchain.info.

יש שלושה דברים שצריך לשמור בזמן פתיחת החשבון - המזהה, הסיסמה (חזקה ככל שניתן), ומספר הארנק.

את המזהה תקבלו רק פעם אחת והוא ישמש אתכם למקרה שתצטרכו לשחזר סיסמה.

בלי המזהה אי אפשר לשחזר סיסמה גם אם יש לכם מיליון ביטקוין.

2. להמיר שקלים לביטקוין ולהעביר אותם לארנק שלכם שהקמתם ב- blockchain.

ניתן לפתוח חשבון באתר הישראלי bitsofgold.co.il ולקנות מהם ביטקויין בהעברה בנקאית או אשראי (טל' שירות לקוחות 03-6133034).

בפתיחת החשבון באתר הישראלי יש למלא פרטים כולל צילום תעודת זהות ולהכניס את הכתובת של הארנק שלכם שפתחתם ב- blockchain. לאחר שהעברתם את התשלום לאתר הביטקויין הישראלי, מטבעות הביטקויין יעברו לכתובת ארנק שלכם.

3. אחרי שוידאתם שיש לכם את הכסף בארנק שלכם, תצטרכו להיכנס לעמוד של הנוכלים בעזרת דפדפן Tor על מנת לראות מה הכתובת הארנק של הנוכלים שאליה תצטרכו להעביר את התשלום.

4. נכנסים לחשבון הארנק שפתחתם ב- blockchain ומעבירים x ביטקוין  שביקשו לארנק של הנוכלים.

5.לאחר ההעברת התשלום יש להמתין מס' דקות ותקבלו אישור ומס' אסמכתא ב-blockchain. את מס האסמכתא יש להקליד בעמוד של הנוכלים בTOR ולהמתין כמה דקות עד שתקבלו קובץ להורדה שיעזור לפענח את כל הקבצים המוצפנים. הקובץ כמובן נכון לאותו מחשב או ארגון שהותקף ולא יעזור לאחרים.

6.את הקובץ שקיבלתם יש להפעיל במחשב שהודבק ובאופן אוטומטי הוא ישחרר את הקבצים שהוצפנו לפי הרשימה שהוא השאיר ברג'סטרי. במידה והרשימה ברג'סטרי נמחקה מהמחשב או שהקובץ נתקע יש אפשרות לבחור תיקיות ספציפיות במקום.





נערך על ידי takala - 15/12/2015 בשעה 19:54
בחזרה למעלה
 שליחת תגובה שליחת תגובה

עדיין לא נפתרה לך התקלה? הגב בעמוד זה וצוות המומחים ימשיך לתת פתרונות לתקלה הזאת. אם ברצונך להגיב עליך להתחבר.
אם עוד לא נרשמת לאתר עליך להרשם.


קפיצה לפורום הרשאות פורום צפה בגלילה למטה

Web Wiz Heb - מערכת פורומים בעברית גרסה 2.00
תרגום עברי באדיבות ניר אדר ו-קידום אתרים
Bulletin Board Software by Web Wiz Forums® version 9.65
Copyright ©2001-2010 Web Wiz