אז ככה, אתמול נפרץ לאחי הקטן המחשב.
גילינו על כך רק כשההאקר ניסה לגנוב לו דברים ממשתמש הSteam וקפצו לו התראות בטלפון.
הרקע של המחשב פתאום השתנה לאפור ונשארו רק שני חלונות שאליהם הייתה לנו גישה.
אחד מהם היה החלון של Steam והחלון השני היה חלון אפור שבו רשום שהאדמין של המחשב חסם לי את הגישה אליו ואני צריך להזין סיסמה שהאדמין הגדיר כדי לקבל גישה אל המחשב.
כיביתי את המחשב כי חשבתי שזה סתם איזה באג ואכן המחשב עלה והצלחתי להכנס ופתאום קפצה לי הודעה מהאנטי וירוס שנמצאה תוכנה והועברה להסגר.
לאחר דקה שאני מנסה למחוק את הוירוס שוב המחשב הועבר לחלון האפור הזה שמבקש סיסמה, לאחר 3 שניות קפץ עוד חלון של צ'אט שבו ההאקר התכתב איתי.
זו השיחה:
- Hello
- What are you doing on my pc
- You have 2 options
- 1 confirm the steam confirmaitons
- 2 I will sell your paypal account on darknet
- Which paypal accout?
- *הוא רשם את השם משתמש*

*הלכתי ישר למחשב השני ומחקתי את הכרטיס מהמשתמש ואז סגרתי את המשתמש עצמו.*
חזרתי למחשב והוא רשם לי

- You have 5 seconds
- What are you trying to achieve? the credit card on that paypal is not useful anymore
- Stfu you don't ask questions when you're being hacked
- Confirm from your mobile

 

לאחר מכן כיביתי את המחשב. שיניתי את כל הסיסמאות לאימיילים ולמשתמשים שלי שיש בהם די הרבה כסף וגם ביטלנו את הכרטיס האשראי ליתר ביטחון (קנינו ממנו מספר פעמים באינטרנט ואני לא כזה מבין במה הבן אדם יכול להשיג ומה לא).

הבעיה עכשיו היא כזו, לאחר שטיפלתי בהכל אני עכשיו בבית ואחי הקטן מבזבז די הרבה זמן על המחשב אבלאני מפחדים להדליק אותו מחשש שאם נגיע לאותו החלון אותו הבחור ינסה לגנוב פרטים אישיים ממסמכים במחשב, ניסיתי להדליק אותו מאוחר יותר כדי להכנס לBIOS ומשם לעשות איפוס לכל המערכת אבל זה העביר אותי לאחר כ10 שניות לאותו החלון שמבקש סיסמה שהאדמין הגדיר.

קראתי באינטרנט על איך להכנס לBIOS ורשום שם שבווינדוס 8/8.1 יש משהו שנקרא HYBRID SHUTDOWN שבעצם נועד להעלות את המערכת מהר יותר ובעצם חוסם את האפשרות להכנס לBIOS. אני בחיים לא ידעתי שזה קיים ולכן זה היה פעיל אצלי בלי שום ספק, המערכת הייתה עולה בתוך כ10 שניות.

הבעיה שכדי להכנס לBIOS צריך להגיע לעמוד שבו יש לכתוב את הסיסמה למשתמש של מיקרוסופט ושם לעשות REBOOT, אבל אני לא יכול בגלל ההודעה האפורה שקופצת על המסך.

חברים אמרו לי שלדעתם זה RAT ולכן אני צריך לפרמט את המחשב כדי להפטר ממנו, אבל בלי הBIOS אני די לא יכול לעשות את זה. הם גם אמרו לי שאם בעתיד יקרה לי דבר כזה פשוט אני צריך לנתק את האינטרנט וכך אני אוכל למנוע מהבן אדם גישה למחשב שלי, אם אני אנתק את האינטרנט ואנסה להדליק יכול להיות שזה ישנה משהו?

המליצו לי לבוא לכאן עם הבעיה, אני מקווה שתוכלו לעזור לי

תודה רבה לעוזרים!

נערך 2016 בפברואר 199 שנים על-ידי Shiranshushan

1. דבר ראשון שאני הייתי עושה הוא פשוט לנתק את חיבור האינטרנט של אותו המחשב, כך שאם אכן מדובר בהשתלטות מרחוק לא יהיה ניתן להמשיך בה.

 

2. בנוגע לכניסה לביוס - אם לא ניתן להיכנס לביוס גם לאחר הדלקת המחשב ממצב שבו הוא כבוי לחלוטין (לא ע"י אתחול ממערכת ההפעלה), אני הייתי מאפס את הביוס (יש לבדוק בחוברת של לוח האם כיצד בדיוק לבצע את התהליך הזה). זה אמור לבטל את מצב ה Fast-Boot ולאפשר כניסה לביוס ע"י לחיצה על DEL, F1, F2 או איך שזה לא מוגדר בלוח האם הספציפי שלך.

 

3. שינוי כל הסיסמאות וביטול כרטיס האשראי כנראה היו צעד חכם, אבל אני גם הייתי שוקל לפרמט לחלוטין את אותו המחשב, שכן אין לדעת מה עשה אותו פורץ ובאילו תוכנות הוא פגע. מה שאני הייתי עושה הוא פשוט לקחת את התקן האיחסון של אותו המחשב ולהתקינו במחשב אחר תקין/נקי, לאחר מכן הייתי מעתיק את כל המידע החשוב (מסמכים, תמונות, סרטים וכד') אבל לא תוכנות וקבצי הרצה ואז הייתי מפרמט את אותו התקן איחסון, כולל מחיקה של כל המחיצות (למקרה שהפורץ החדיר משהו לטבלת המחיצות הראשית). לאחר הפירמוט הייתי מחזיר התקן האיחסון למחשב המקורי ומתקין עליו מערכת הפעלה נקייה. אם באותו המחשב יש יותר מהתקן איחסון אחד - הייתי מציע לחזור על התהליך גם עבורם (למעט העניין של התקנת מערכת ההפעלה).

 

4. באופן כללי אני מציע שבכל מחשב יותקנו תוכנות אנטי וירוס ו Firewall, גם אם המחשב נמצא ברשת ביתית עם נתב (ראוטר).

 

5. בנוגע לפורץ עצמו - לפי תיאור השיחות נראה כי מדובר כאן בילד שכנראה השתמש בתוכנות מוכנות בכדי לפרוץ לך למחשב ושהצליח להחדיר למחשב תוכנה זדונית בדרך כלשהי (יכול להיות שהוא גרם למישהו שהשתמש במחשב להריץ קובץ שמכיל קוד זדוני), וזאת משום שאם מישהו מעוניין להשיג משחק בצורה לא חוקית סביר להניח שיהיה קל יותר להשיגו בדרכים אחרות מאשר לפרוץ למחשבים של אנשים ולדרוש מהם להכניס קודי אישור דרך הטלפון.

 

למקרה שמדובר בכל זאת בפורץ "מקצועי", הייתי מציע לסרוק את כל המחשבים וההתקנים בבית שמחוברים לאינטרנט - יכול להיות שהוא הצליח לפרוץ גם אליהם.

ציטוט של smalul

1. דבר ראשון שאני הייתי עושה הוא פשוט לנתק את חיבור האינטרנט של אותו המחשב, כך שאם אכן מדובר בהשתלטות מרחוק לא יהיה ניתן להמשיך בה.

 

2. בנוגע לכניסה לביוס - אם לא ניתן להיכנס לביוס גם לאחר הדלקת המחשב ממצב שבו הוא כבוי לחלוטין (לא ע"י אתחול ממערכת ההפעלה), אני הייתי מאפס את הביוס (יש לבדוק בחוברת של לוח האם כיצד בדיוק לבצע את התהליך הזה). זה אמור לבטל את מצב ה Fast-Boot ולאפשר כניסה לביוס ע"י לחיצה על DEL, F1, F2 או איך שזה לא מוגדר בלוח האם הספציפי שלך.

 

3. שינוי כל הסיסמאות וביטול כרטיס האשראי כנראה היו צעד חכם, אבל אני גם הייתי שוקל לפרמט לחלוטין את אותו המחשב, שכן אין לדעת מה עשה אותו פורץ ובאילו תוכנות הוא פגע. מה שאני הייתי עושה הוא פשוט לקחת את התקן האיחסון של אותו המחשב ולהתקינו במחשב אחר תקין/נקי, לאחר מכן הייתי מעתיק את כל המידע החשוב (מסמכים, תמונות, סרטים וכד') אבל לא תוכנות וקבצי הרצה ואז הייתי מפרמט את אותו התקן איחסון, כולל מחיקה של כל המחיצות (למקרה שהפורץ החדיר משהו לטבלת המחיצות הראשית). לאחר הפירמוט הייתי מחזיר התקן האיחסון למחשב המקורי ומתקין עליו מערכת הפעלה נקייה. אם באותו המחשב יש יותר מהתקן איחסון אחד - הייתי מציע לחזור על התהליך גם עבורם (למעט העניין של התקנת מערכת ההפעלה).

 

4. באופן כללי אני מציע שבכל מחשב יותקנו תוכנות אנטי וירוס ו Firewall, גם אם המחשב נמצא ברשת ביתית עם נתב (ראוטר).

 

5. בנוגע לפורץ עצמו - לפי תיאור השיחות נראה כי מדובר כאן בילד שכנראה השתמש בתוכנות מוכנות בכדי לפרוץ לך למחשב ושהצליח להחדיר למחשב תוכנה זדונית בדרך כלשהי (יכול להיות שהוא גרם למישהו שהשתמש במחשב להריץ קובץ שמכיל קוד זדוני), וזאת משום שאם מישהו מעוניין להשיג משחק בצורה לא חוקית סביר להניח שיהיה קל יותר להשיגו בדרכים אחרות מאשר לפרוץ למחשבים של אנשים ולדרוש מהם להכניס קודי אישור דרך הטלפון.

 

למקרה שמדובר בכל זאת בפורץ "מקצועי", הייתי מציע לסרוק את כל המחשבים וההתקנים בבית שמחוברים לאינטרנט - יכול להיות שהוא הצליח לפרוץ גם אליהם.

קודם כל תודה רבה על התגובה!

 

מצטער על כל כך הרבה שאלות כי זה פעם ראשונה שזה קורה לי ואני קצת נלחצתי בהתחלה להגיד את האמת..

 

- הצלחתי להפעיל את המחשב כשהוא היה ללא אינטרנט ובחרתי באפשרות של האיפוס של ווינדוס 8, עשיתי איפוס כונן מלא וחזרה להגדרות. זה יפתור את הבעיה באותו המחשב?

- אני מתכנן לאחר שהאיפוס יסתיים להוריד במחשב השני ווינדוס 10 ולפרמט אותו שוב כחלק מהעדכון, רק ליתר ביטחון. האם אתה חושב שזה רעיון טוב ולעשות אותו? האם אתה חושב שזה יפתור את הבעיה?

- יש לנו שלושה מחשבים בבית, אחד שנפרץ, אחד שאין בו כמעט שימוש (למעט בשבתות בהן אחי הגדול בבית - המחשב היה כבוי כל השבוע) והמחשב הזה שהיה דלוק בכל הזמן הזה ובו השתמשתי כדי לשנות סיסמאות למשתמשים. האם אני צריך לעשות סריקה בשני המחשבים הנותרים בכל מקרה? או רק במחשב הנוכחי שהיה דלוק בזמן הפריצה?

- באיזו תוכנה אמינה וטובה להשתמש? אני מכיר את Malwarebytes אבל אני משתמש בגרסה החינמית (אין לי את גרסת הפרימיום וכרגע גם אין לי איך לקנות כי ביטלנו את הכרטיס).

- האם שינוי הרשת במחשב מביתית לציבורית כך שהמחשב לא יאפשר גישה לקבצים בעזרת הרשת יכול לעזור בעתיד והאם מומלץ לעשות את זה גם בשני המחשבים הנותרים?

 

מצטער על כל כך הרבה שאלות, ותודה רבה על התגובה המפורטת ועל הזמן שהשקעת כדי לעזור!

נערך 2016 בפברואר 199 שנים על-ידי Shiranshushan

1. אני לא יודע כיצד בדיוק אותו "האקר" פרץ למחשב שלך - יכול להיות שהוא הצליח לגרום לאחד המשתמשים במחשב להפעיל תוכנה זדונית כלשהי בדרך כלשהי ש"דיווחה" לאותו פורץ שניתן לגשת למחשב שלך (זה נראה סביר יותר לאור העובדה שמדובר בפורץ שהיה מעוניין לגנוב משחקים), או שהוא זיהה פירצת אבטחה ברשת הביתית שלך ועוד פרצת אבטחה במערכת ההפעלה של המחשב וכך הוא הצליח להשתלט עליו (זה מתאים לפורץ "מתקדם", אבל סביר להניח שפורץ כזה לא היה יוצר איתך קשר אלא פשוט היה אוסף מידע לגביך כמו סיסמאות ומספרי כרטיסי אשראי). היות ולא ברור בדיוק מה נעשה, צריך להניח שמדובר במקרה הכי גרוע מבחינתך, שהוא מצב בו הוחדר קוד זדוני למחשב ברמה "עמוקה" (אולי הוא החליף קבצי DLL במערכת ההפעלה או שהקוד הוחדר לטבלת המחיצות של התקן האיתחול), הצעתי לבצע "טיפול שורש" - להעביר את התקן האיחסון למחשב נקי ולחבר אותו ככונן DATA (ולא ככונן איתחול) ולהעתיק ממנו את כל המידע החשוב שלא יכול להכיל קוד זדוני (בד"כ) כמו תמונות, סרטים ומסמכים ואז למחוק את התקן האיחסון כך שגם אם הוטמע בו קוד זדוני ברמה העמוקה ביותר הוא לא יוכל לתפקד יותר. אני לא בטוח ש"איפוס" למערכת ההפעלה יעזור אם הקוד הזדוני הוטמע ברמת ה MBR או אם הפורץ היה מספיק מתוחכם בכדי להדביק גם את נקודות השיחזור או הגיבוי של מערכת ההפעלה.

 

2. אם אתה מוריד מערכת הפעלה מהאינטרנט, תדאג לעשות זאת מאתר חוקי ורישמי של מיקרוסופט ולא מאתר מפוקפק כלשהו, שכן גירסאות כאלו של מערכות הפעלה עלולות להכיל קוד זדוני מובנה.

 

3. אני לא מבין מדוע אתה רוצה צורך לבצע איפוס למחשב ואז לפרמט אותו - בעיני זה סתם ביזבוז זמן. לאחר שהעברת את כל החומר החשוב מהמחשב הנגוע, פשוט תמחק את כל המחיצות של הדיסק הקשיח שלו (ואם ממש תרצה - אפשר למצוא תוכנות שיכתבו אפסים או "זבל" לכל סקטור באותו התקן איחסון בכדי לוודא שכל קוד זדוני שאולי נמצא עליו יידרס) ואז תתקין עליו מערכת הפעלה חדשה נקייה.

 

4. אני מציע שתבצע סריקות עם תוכנת אנטי וירוס (אחת או יותר) על כל המחשבים בבית, כמו גם עם תוכנות כמו Malwarebytes ו HijackThis (למשתמשים מתקדמים, יש אתרים באינטרנט שיכולים לעזור לך לנתח את היומן המתקבל בכדי שתקבל מושג מה משמעות התוצאות).

 

5. בנוגע לשינוי סוג הרשת הביתית שלך מ"ביתית" ל"ציבורית" -  זה לא ממש התחום שלי, אבל אני חושב שבסה"כ זה משנה את הגדרות השיתוף. היות ואני מניח שאתה מעוניין לשתף קבצים בין המחשבים השונים בבית שלך, אז ביטול האפשרות לשיתוף קבצים רק יפגע בך. כמובן שאם אתה רוצה שהמחשב שלך יהיה מוגן ככל האפשר - אל תשתף דבר, אל תוריד דבר ואפילו אל תחבר אותו לאינטרנט (או בכלל אל תפעיל אותו), אבל זה כמובן לא פתרון מעשי.