דחוף! וירוס או סוס טרויאני נוראי במחשב שרת סרבר

[sh12]

איך אפשר להיזהר מכזה מקרה?
בבית ובעסק?

 

[פרסומון]

לא לפתוח דברים שלא מכירים, ולעדכן אנטי וירוס קבוע.

 

[א.ר.ז.]

התראה על הוירוס כבר הופץ בעיריות השונות:
עיריית בני ברק
מודיעין עילית
מועצה אזורית מרחבים, נגב

כך שאם בתחילה חשבנו שמדובר בעוד "דואר זבל" ואזהרות שווא, הבנו שמדובר הפעם ב'על באמת'.

* האם למישהו ידוע אם תוכנת האנטיוירוס AVIRA כבר מעודכנת לגבי זה?

 

[פילפל]

לקוחות ושותפים יקרים,<?xml:namespace prefix = o ns = "urn:schemas-microsoft-comfficeffice" /><o></o>
עדכון חשוב לגבי התפרצות נוספת של תוכנת הכופר ממשפחת Cryptolocker שפגעה (שוב) בעסקים בישראל ב 24 שעות האחרונות:<o></o>
אתמול ה- 19.01.2015 באזור 12 בצהריים התקבלו פניות מלקוחות ושותפים עסקיים על נוזקת CTB-Locker שמצפינה קבצים ודורשת כופר לשחרורם. ההתקפה הנ"ל היא זן חדש שממשיך את גל התקפות הכופר Cryptolocker שהחל לפני שנה וחצי בערך, ותקף עשרות מיליוני עסקים בעולם.<o></o>
איך הנוזקה פעלה?<o></o>

1. הנוזקה הופיעה בתוך קובץ ZIP שצורף לאימייל המתחזה להודעת פקס<o></o>
2. משתמש שפתח את הקובץ המצורף והפעיל אותו – הדביק את המחשב שלו מקומית בלבד (למעט אם ברגע ההדבקה, תיקיות משותפות היו פתוחות ואז גם הן נדבקו).<o></o>
3. דגימות של הנוזקה הועברו מיידית ל-ESET והחל משעה 13:00 שוחררה גרסת חתימות (מספר: 11037) שזיהתה את הנוזקה כ : Win32/Filecoder.DA.<o></o>

מרגע יציאת גרסת החתימות העדכנית, הנוזקה זוהתה ונעצרה בכל תחנת עם אנטי וירוס מעודכן של ESET.<o></o>
להלן רשימת האנטי וירוסים שמזהים (ולא מזהים) את הנוזקה, נכון לאתמול 19.1.2015 ב 16:00 - לחצו לצפייה.<o></o>
<o></o>
מה לעשות עם רשת שנפגעה מהנוזקה?<o></o>

1. לוודא שמדובר ב CTB-Locker (השם יופיע בכותרת של ההודעה), ולא cryptolocker או ransomware מסוג אחר.<o></o>
2. לוודא שהתחנה מעודכנת (חתימה: 11037), ולהפעיל סריקה מלאה של האנטי וירוס.<o></o>
3. לבדוק בממשק הניהול שכל התחנות מותקנות ומעודכנות לחתימה 11037.<o></o>
4. לשלוח סריקה מלאה לכל התחנות והשרתים ברשת.<o></o>
5. לבצע בתחנה שנפגעה שחזור של הקבצים שהוצפנו מ Shadow copy אם קיים, או מתוכנת גיבוי.
   ניתן להשתמש בכלי החינמי הבא כדי לשחזר מ shadow copy:
   http://www.shadowexplorer.com/<o></o>

כיצד להגן טוב יותר על רשתות מאיומים דומים עתידיים:<o></o>
1. לוודא שיש גרסה אחרונה בתחנות ובשרתים, לפחות גרסה 5.0.XXXX בתחנות או גרסה 4.5.XXXX בשרתים.<o></o>
2. לוודא שמערכת Live Grid פעילה בתחנות ובשרתים.<o></o>
3.כאשר Live Grid פעילה, יש להפעיל את ההגדרה Advanced Heuristics on file execution<o></o>
4. במידה ומותקנת גרסת ESET Mail Security על שרת הדואר – יש לוודא שחסימת Potentially unwanted attachments מופעלת.

ובמידה ואין הגנה של ESET על שרת הדואר (או שמדובר בשירות דואר מבוסס-ענן), מומלץ לדרוש מספק השירות או להגדיר בתוכנת האנטי ספאם: לחסום קבצי מצורפים מסוג קבצי הפעלה (מכל הסוגים) או קבצי ZIP שמכילים קבצי הפעלה.<o></o>

איך אפשר להגדיר בג'ימייל לסנן קבצי הפעלה מצורפים?

 

[ניק 5056]

רק לעידכון
אנחנו עמלים על שיחזור מגיבוים ישנים במקביל לגיבוי כל הדיסק הקשיח כדי לנסות לשחזר באמצעות החברה
מבירור בנט משרד רו"ח סיפר שנדרש לשלם 400 יורו ולא קיבל דבר
יש טוענים שכן שוחזר להם חלקית
אנחנו ניסינו להיכנס לאתר שהם נתנו ודרשו מאיתנו 600 דולר
הם מוכנים לשם האמינות לקבל מאיתנו קובץ בגודל של עד 1.7 מ"ב שאותו ישחזרו בחינם (!!!)
רגע לפני שכבר שילמנו את הסכום, איש מחשבים סיפר שבדק ברשת ומדובר בהצפנה שגורמת לקובץ המקורי להימחק
כלומר באמצעות תוכנת שיחזור קבצים מחוקים נצליח בסד לעלות את הקבצים החשובים
בדקנו תחילה באמצעות תוכנת RECUVA PREMUM
בסריקה רגילה אכן גילינו מס קבצים מחוקים ששוחזרו על ידי התוכנה בהצלחה (אלא שקובץ הנתונים הכי חשוב לא נמצא)
כעת התוכנה מבצעת סריקת עומק לתקיה זו
הצפי של התוכנה הוא לסיים בעוד 6 שעות
נראה מה יהיו חלומותיה

 

[ניק 5056]

עידכון אחרון ומשמח
לאחר שטובי התוכנות, המוחות וחברות השיחזור לא הצליחו לפצח את הוירוס (מדובר בגירסה שלישית וחזקה שלו)
לקחנו סיכון ושילמנו את הכופר (3 ביטקון בשווי 850 דולר)
וברוך השם כל החומר שהיה על המחשב שוחזר בהצלחה

 

[עשרים ושתים]

תודה על העדכון- למרות שתשלום כופר זה סוף לא כל כך טוב

 

[אפכא מסתברא]

לאיזו משטרה בעולם יהיה עניין למצוא את השודדים?
פיראטיות מודרנית...

 

[asf]

לאיזו משטרה בעולם יהיה עניין למצוא את השודדים?

אינטרפול

 

[עשרים ושתים]

עדכון - עוד שלושה לקוחות שלי עשו את הטעות הזו (עד עכשיו 6)

 

[פרסומון]

עדכון - עוד שלושה לקוחות שלי עשו את הטעות הזו (עד עכשיו 6)

ממש משמח העדכון שלך...

 

[HUBHCBH]

עדכון - עוד שלושה לקוחות שלי עשו את הטעות הזו (עד עכשיו 6)

 

[HUBHCBH]

ניסת את הפתרון הזה לדוגמה?
אני מאמין שעוד חברות מצאו לזה פתרון...

או כמו שNOD כתבו לאין להם יכולת וכו' עיין כאן

 

[אפכא מסתברא]

ואם שקדיה יתלוננו באינטרפול (איפה יש להם משרד?) הם יחפשו אותם?

 

[asf]

ואם שקדיה יתלוננו באינטרפול (איפה יש להם משרד?) הם יחפשו אותם?

אויש סליחה שככתי להוסיף שמיילי

 

[מי שאמר]

http://www.eset.co.il/home/artdetails.aspx?mCatID=68336&artID=9608

 

[ניק 5056]

באתר של חשבשבת כותבים שיש עומס התקנות בזכות הוירוס

ועכשיו ברצינות,
יש מה להתלונן במשטרה?
הם פותחים בכלל תיק על כזו תלונה?
פשוט קרובי משפחה טוענים שאם יום אחד יתפסו אותם
נוכל לדרוש פיצויים

 

[mat]

כתבתם ששילמת בביטקוין.

אם שילמתם אתם חייבים לדעת את הכתובת המקבלת..
באתר הזה.
https://blockchain.info/

אפשר לעקוב אחרי הכתובת המקבלת אם העבירו את זה למישהו אחר.

בשורה אחרונה תשמרו את הכתובת ביטקוין ששילמתם. אולי ביום מן הימים יהיה אפשר לזהות מי קיבל את הכסף. לפי ההוצאות שלו.

אולי בעתיד יהיה אפשר לסמן כתובות שחורות.

 

[aridesk]

אני פתחתי תמייל ראיתי הודעות ספאם נכנסתי הוא זיהה וירוס מחקתי אותם ושלחתי לו תגובה תישרף
כמובן שקיבתי הודעה שהמיילל לא קיים אז הזהרו זו תופעה נרחבת

 

[עשרים ושתים]

התקפה נוספת - אתמול .
כיתוב בגרמנית הודעת good morning וקובץ zip
לחיצה עליו וכל הקבצים במחשב מוצפנים- ראו הוזהרתם !!!!!!