דחוף! וירוס או סוס טרויאני נוראי במחשב שרת סרבר

הירשם עכשיו!
  • הוסף לסימניות
  • #1
זקוקה לעזרה דחופה ביותר של המקצוענים
יש לנו מחשב שרת סרבר 2008 עם המון חומר
אתמול לחצנו על מייל לא מוכר ומאז כל הקבצים השתגעו
קבצי וורד, אקסל, אקסס האוטלוק וקבצי תמונה קיבלו סיומת נוספת בשם oiyyqyh
והגרוע מכל , גם לאחר הורדת הסיומת הקידוד או מה שזה לא יהיה לא תקין
כלומר הקבצים נפגמו
מדובר בהמון קבצים חשובים מאד!!!
שלחלקם אין גיבוי :(
דבר נוסף הוא שיש לנו גיבוי פנימי שג"כ נדפקו בו הקבצים
בקיצור.... דפק על דפק הודפקנו

אשמח לכל עזרה
 
  • הוסף לסימניות
  • #3
לא.
מדובר במחשב שרת
ואיש המחשבים שלנו לא בארץ
השאלה מה זה יעזור לקבצים שכבר נדפקו
זה הרי לא משחזר קבצים רק תוכנות.

אגב, עכשיו ממש ניסה ידיד להתחבר לשרת
והוא מצא בתקית המסמכים שלנו את הקובץ המצ"ב (בסיומת BMP)
מה אתם אומרים?
 

קבצים מצורפים

  • Decrypt All Files oiyyqyh.png
    KB 42.9 · צפיות: 15
  • הוסף לסימניות
  • #4
מדובר בוירוס שמצפין קבצים - הצפנה לא קשה במיוחד (בזמנו פורסם מאמר על כך שהצפנה טובה לוקחת זמן והוירוס רוצה לתקוף במהירות לכן משתמש בשיטת הצפנה שניתנת לפיענוך)
היו לי שני מקרים כאלו אתמול מלקוחות שונים - היה גיבוי והכל ולכן רק פירמטנו את המחשבים והחזרנו את החומר מהגיבוי
בשני המחשבים נוצר תוספת לשם הקובץ באורך של 7 תווים כך שלדעתי זה המפתח להצפנה.

מה שצריך לעשות זה
1 ללמוד לקח- אין דבר כזה שרת בלי גיבוי, ולא פותחים מיילים לא מוכרים
2 להמתין בסבלנות עם החומר סביר להניח שבתוך יום יומים יפורסם איך לשחזר את החומר או איך לשלם לתוקף עבור השחזור.
3 לבדוק האם יש גרסאות קודמות לקבצים. - קליק ימני על התיקיה -מאפיינים-גרסאות קודמות
 
  • הוסף לסימניות
  • #5
נכתב ע"י שקדיה;1499372:
לא.
מדובר במחשב שרת
ואיש המחשבים שלנו לא בארץ
השאלה מה זה יעזור לקבצים שכבר נדפקו
זה הרי לא משחזר קבצים רק תוכנות.

אגב, עכשיו ממש ניסה ידיד להתחבר לשרת
והוא מצא בתקית המסמכים שלנו את הקובץ המצ"ב (בסיומת BMP)
מה אתם אומרים?
לחצ/י כדי להרחיב...

זה הבקשה לתשלום
 
  • הוסף לסימניות
  • #6
תודה
אין גירסאות קודמות לקבצים כי עד שקלטנו מה קורה סביבנו המחשב כבר דרס את הגירסאות הטובות (הוא מבצע לנו עד 3 גירסאות אחורנית)
בקיצור - גיבוי אין! ואת זה כבר למדנו לקח
(הקטע הוא שאנחנו במשא ומתן עם גיבוי ענן ושלשום סגרנו איתם רק שעדיין לא ביצענו אפילו גיבוי אחד בפועל כי הם היו צריכים לפתוח לנו חשבון ולהסביר לנו כיצד לבצע....)
 
  • הוסף לסימניות
  • #7
הבנתי שזה הבקשה לתשלום
השאלה אם זה אמין והם אכן ישחזרו לנו הכל
או שעדיף כדבריך לחכות כמה ימים
 
  • הוסף לסימניות
  • #8
לא ידוע לי על מקרה שהם קיבול כסף ולא נתנו את הקוד לשחזור
מדברים על כך שהם עשו כבר חצי מיליארד דולר מהוירוס הזה
 
  • הוסף לסימניות
  • #9
יש דרכים להוריד את הוירוס הזה. אל תשלמו לאף אחד כסף.
 
  • הוסף לסימניות
  • #11
נכתב ע"י פרסומון;1499394:
יש דרכים להוריד את הוירוס הזה. אל תשלמו לאף אחד כסף.
לחצ/י כדי להרחיב...

הסרת הוירוס לא תחזיר לך את הקבצים המוצפנים.
והיא עלולה למנוע את השחזור שלהם במקרה של בחירה בתשלום הכופר
 
  • הוסף לסימניות
  • #12
:eek:
כדי שגם לנו לא יקרה. אפשר הסבר איך זה קרה? ממה להמנע?
 
  • הוסף לסימניות
  • #13
נכתב ע"י עשרים ושתים;1499514:
הסרת הוירוס לא תחזיר לך את הקבצים המוצפנים.
והיא עלולה למנוע את השחזור שלהם במקרה של בחירה בתשלום הכופר
לחצ/י כדי להרחיב...
חיפוש בגוגל יניב לך תוצאות גם איך להחזיר את הקבצים.
 
  • הוסף לסימניות
  • #14
נכתב ע"י פרסומון;1499528:
חיפוש בגוגל יניב לך תוצאות גם איך להחזיר את הקבצים.
לחצ/י כדי להרחיב...
את גוגל אני מכיר -אבל פתרון לשחזור עדין לא מצאתי

נכתב ע"י pinati;1499522:
:eek:
כדי שגם לנו לא יקרה. אפשר הסבר איך זה קרה? ממה להמנע?
לחצ/י כדי להרחיב...

נשלחו אתמול לשני לקוחות שלי קובץ word במייל הפרטי ברגע שפתחו את הקובץ כל הקבצים הפרטיים במחשב קיבלו סיומת אחרת והפכו למוצפנים - ובנוסף נוצרו שני קבצים המסבירים איך לשלם כדי לשחרר את ההצפנה
 
  • הוסף לסימניות
  • #15
איזה אנשים :(
מאיזה כתובות הם נשלחו?
ממי להיזהר?
 
  • הוסף לסימניות
  • #16
אני חושב שכל מה שיש להגיד אמרו כבר מעלי
משהו שחשוב לשים לב אליו, אם החלטתם לנסות לשחרר את הקבצים מהצפנה או לנסות לראות איך אתם פותרים את הבעיה הזאת לבד, קודם כל תיצרו העתק של הכונן קשיח אחרת יתכן מאוד והמידע ינעל.
רק בשביל לוודאות ששום תהליך לא מחכה שתעשו את זה את השכפול תעשו ממערכת לינוקס כדי להיות בטוחים שהוירוס לא רץ.
 
  • הוסף לסימניות
  • #19
אני הייתי משלם את ה100-200 דולר וזהו, זמן שווה כסף.
 
  • הוסף לסימניות
  • #20
מייל שנשלח אתמול מהאבטחה של ESET

לקוחות ושותפים יקרים,<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:eek:ffice:eek:ffice" /><o:p></o:p>
עדכון חשוב לגבי התפרצות נוספת של תוכנת הכופר ממשפחת Cryptolocker שפגעה (שוב) בעסקים בישראל ב 24 שעות האחרונות:<o:p></o:p>
אתמול ה- 19.01.2015 באזור 12 בצהריים התקבלו פניות מלקוחות ושותפים עסקיים על נוזקת CTB-Locker שמצפינה קבצים ודורשת כופר לשחרורם. ההתקפה הנ"ל היא זן חדש שממשיך את גל התקפות הכופר Cryptolocker שהחל לפני שנה וחצי בערך, ותקף עשרות מיליוני עסקים בעולם.<o:p></o:p>
איך הנוזקה פעלה?<o:p></o:p>
  1. הנוזקה הופיעה בתוך קובץ ZIP שצורף לאימייל המתחזה להודעת פקס<o:p></o:p>
  2. משתמש שפתח את הקובץ המצורף והפעיל אותו – הדביק את המחשב שלו מקומית בלבד (למעט אם ברגע ההדבקה, תיקיות משותפות היו פתוחות ואז גם הן נדבקו).<o:p></o:p>
  3. דגימות של הנוזקה הועברו מיידית ל-ESET והחל משעה 13:00 שוחררה גרסת חתימות (מספר: 11037) שזיהתה את הנוזקה כ : Win32/Filecoder.DA.<o:p></o:p>
מרגע יציאת גרסת החתימות העדכנית, הנוזקה זוהתה ונעצרה בכל תחנת עם אנטי וירוס מעודכן של ESET.<o:p></o:p>
להלן רשימת האנטי וירוסים שמזהים (ולא מזהים) את הנוזקה, נכון לאתמול 19.1.2015 ב 16:00 - לחצו לצפייה.<o:p></o:p>
<o:p></o:p>
מה לעשות עם רשת שנפגעה מהנוזקה?<o:p></o:p>
  1. לוודא שמדובר ב CTB-Locker (השם יופיע בכותרת של ההודעה), ולא cryptolocker או ransomware מסוג אחר.<o:p></o:p>
  2. לוודא שהתחנה מעודכנת (חתימה: 11037), ולהפעיל סריקה מלאה של האנטי וירוס.<o:p></o:p>
  3. לבדוק בממשק הניהול שכל התחנות מותקנות ומעודכנות לחתימה 11037.<o:p></o:p>
  4. לשלוח סריקה מלאה לכל התחנות והשרתים ברשת.<o:p></o:p>
  5. לבצע בתחנה שנפגעה שחזור של הקבצים שהוצפנו מ Shadow copy אם קיים, או מתוכנת גיבוי.
    ניתן להשתמש בכלי החינמי הבא כדי לשחזר מ     shadow copy:
    http://www.shadowexplorer.com/<o:p></o:p>
כיצד להגן טוב יותר על רשתות מאיומים דומים עתידיים:<o:p></o:p>
1. לוודא שיש גרסה אחרונה בתחנות ובשרתים, לפחות גרסה 5.0.XXXX בתחנות או גרסה 4.5.XXXX בשרתים.<o:p></o:p>
2. לוודא שמערכת Live Grid פעילה בתחנות ובשרתים.<o:p></o:p>
3.כאשר Live Grid פעילה, יש להפעיל את ההגדרה Advanced Heuristics on file execution<o:p></o:p>
4. במידה ומותקנת גרסת ESET Mail Security על שרת הדואר – יש לוודא שחסימת Potentially unwanted attachments מופעלת.

ובמידה ואין הגנה של ESET על שרת הדואר (או שמדובר בשירות דואר מבוסס-ענן), מומלץ לדרוש מספק השירות או להגדיר בתוכנת האנטי ספאם: לחסום קבצי מצורפים מסוג קבצי הפעלה (מכל הסוגים) או קבצי ZIP שמכילים קבצי הפעלה.<o:p></o:p>
 

פרוגבוט

תוכן שיווקי
פרסומת
עליך להתחבר או להירשם כדי להשיב כאן.

פוסטים חדשים שאולי לא קראת....

    • שאלה
    6
    • prog
    בטחוני פיקוד העורף: צפי לשיגורים למרכז והדרום
  • prog //
    • דובר צהל מזהיר הערב יש צפי לשיגורים לעבר מרכז ודרום הארץ
    3 תגובות
    לכל התגובות
     תגובה אחרונה 
    prog
    prog
    יש להשמע להנחיות פיקוד העורף
    • שאלה
    27
    • prog
    בטחוני אירוע בטחוני בבני ברק
  • prog //
    • נפל טיל ברחוב אביי ורבא. יש הרס רב
    8 תגובות
    לכל התגובות
     תגובה אחרונה 
    prog
    prog
    יש נפילות נוספות גם בפתח תקווה
    פרסום בפרוג ←

    הצטרפות לניוזלטר

    מאשר/ת קבלת תוכן חם למייל
    בשליחת הטופס אני מסכים/ה שבית פרוג תשתמש במידע למטרות שיווק, דיוור ישיר ומשלוח פרסומות באמצעי הקשר שמסרתי, ותכלול אותו במאגר המידע של החברה, והכל בכפוף למדיניות הפרטיות של החברה.
    להסרה בעתיד פנה/י לדוא"ל office@prog.co.il או לטלפון: 072-2201430

    איזה כיף שהצטרפתם לניוזלטר שלנו!

    מעכשיו, תהיו הראשונים לקבל את כל העדכונים, החדשות, ההפתעות בלעדיות, והתכנים הכי חמים שלנו בפרוג!

    לוח לימודים

    מסלולי לימוד שאפשר להצטרף
    אליהם ממש עכשיו:

    26.04

    ט' אייר


    קורס עימוד ועיצוב ספרים

    ההרשמה בעיצומה

    30.04

    י"ג אייר


    קורס בוטים ואוטומציות עיסקיות

    ההרשמה בעיצומה

    10.05

    כ"ג אייר


    קורס שיווק ופרסום דיגיטלי

    נפתחה ההרשמה

    14.05

    כ"ז אייר


    קורס שמאות רכוש

    נפתחה ההרשמה

    14.06

    כ"ט סיוון


    קורס אדריכלות עיצוב פנים

    נפתחה ההרשמה
    לכל מסלולי הלימוד

    לוח מודעות

    הפרק היומי

    הפרק היומי! כל ערב פרק תהילים חדש. הצטרפו אלינו לקריאת תהילים משותפת!


    תהילים פרק כה

    אלְדָוִד אֵלֶיךָ יי נַפְשִׁי אֶשָּׂא:באֱלֹהַי בְּךָ בָטַחְתִּי אַל אֵבוֹשָׁה אַל יַעַלְצוּ אֹיְבַי לִי:גגַּם כָּל קוֶֹיךָ לֹא יֵבֹשׁוּ יֵבֹשׁוּ הַבּוֹגְדִים רֵיקָם:דדְּרָכֶיךָ יי הוֹדִיעֵנִי אֹרְחוֹתֶיךָ לַמְּדֵנִי:ההַדְרִיכֵנִי בַאֲמִתֶּךָ וְלַמְּדֵנִי כִּי אַתָּה אֱלֹהֵי יִשְׁעִי אוֹתְךָ קִוִּיתִי כָּל הַיּוֹם:וזְכֹר רַחֲמֶיךָ יי וַחֲסָדֶיךָ כִּי מֵעוֹלָם הֵמָּה:זחַטֹּאות נְעוּרַי וּפְשָׁעַי אַל תִּזְכֹּר כְּחַסְדְּךָ זְכָר לִי אַתָּה לְמַעַן טוּבְךָ יי:חטוֹב וְיָשָׁר יי עַל כֵּן יוֹרֶה חַטָּאִים בַּדָּרֶךְ:טיַדְרֵךְ עֲנָוִים בַּמִּשְׁפָּט וִילַמֵּד עֲנָוִים דַּרְכּוֹ:יכָּל אָרְחוֹת יי חֶסֶד וֶאֱמֶת לְנֹצְרֵי בְרִיתוֹ וְעֵדֹתָיו:יאלְמַעַן שִׁמְךָ יי וְסָלַחְתָּ לַעֲוֹנִי כִּי רַב הוּא:יבמִי זֶה הָאִישׁ יְרֵא יי יוֹרֶנּוּ בְּדֶרֶךְ יִבְחָר:יגנַפְשׁוֹ בְּטוֹב תָּלִין וְזַרְעוֹ יִירַשׁ אָרֶץ:ידסוֹד יי לִירֵאָיו וּבְרִיתוֹ לְהוֹדִיעָם:טועֵינַי תָּמִיד אֶל יי כִּי הוּא יוֹצִיא מֵרֶשֶׁת רַגְלָי:טזפְּנֵה אֵלַי וְחָנֵּנִי כִּי יָחִיד וְעָנִי אָנִי:יזצָרוֹת לְבָבִי הִרְחִיבוּ מִמְּצוּקוֹתַי הוֹצִיאֵנִי:יחרְאֵה עָנְיִי וַעֲמָלִי וְשָׂא לְכָל חַטֹּאותָי:יטרְאֵה אוֹיְבַי כִּי רָבּוּ וְשִׂנְאַת חָמָס שְׂנֵאוּנִי:כשָׁמְרָה נַפְשִׁי וְהַצִּילֵנִי אַל אֵבוֹשׁ כִּי חָסִיתִי בָךְ:כאתֹּם וָיֹשֶׁר יִצְּרוּנִי כִּי קִוִּיתִיךָ:כבפְּדֵה אֱלֹהִים אֶת יִשְׂרָאֵל מִכֹּל צָרוֹתָיו:
    סמן אחרי הקריאה
    לקריאה בפורום
    נקרא  2  פעמים
    פיקוח של ועדת הרבנים 'שמור'
    למעלה