עבור לתוכן
  • צור חשבון
  • מי אנחנו?

    שלום אורח/ת!

     
    שים לב - על מנת להשתתף בקהילה שלנו, להגיב ולפתוח דיונים חדשים, עליך להצטרף כחבר רשום.

    החברים שלנו נהנים מיתרונות רבים, כולל היכולת להשתתף בדיונים, להנות מהגרלות ומבצעים לחברי האתר, ולקבל מידי שבוע את התכנים הבולטים שלנו ישירות במייל.

    לא אוהבים שמציקים לכם במייל? ניתן להירשם לאתר אך לוותר על הרישום לעידכוני המייל השבועיים.

igalk474

מדריך מקיף לטיפול והתגוננות מתוכנות כופר ransomeware ווירוסים אחרים

Recommended Posts

50% מהקורבנות משלמים את הכופר, בממוצע לאדם הכופר עומד על 350$ ששולם
ולא מעט לא מקבלים את הקבצים גם אחרי ששילמו
מתקפות מהסוג הזה רק עולות ועולות

קודם צריך הגנה בסיסית:
אנטי וירוס qihoo total security במצב security כדי שכל מנועי האנטיוירוס ייפעלו אצלו עם הסרגל כלים שלו לכרום,
פיירוול privateFirewall (שבוע ראשון הוא במצב אימון אחרי זה עובד חזק יותר) , לוודא שבנתב של האינטרנט מוגדר NAT וDMZ מבוטל,
שניהם חינמיים וטובים יותר כנראה מכל החבילות האחרות שהם בתשלום, קספרסקי וביטדפנדר גם סבבה יחסית

מעבר לזה לגבות את המידע להארדדיסק חיצוני , אני ממליץ על deskstar של היטאצ'י HGST לשרתי NAS, מאוד אמינים ומהירים,
בנוסף אפשר להצפין את הגיבוי עם סיסמה משלכם עם veracrypt לעשות קובץ לכל כונן , אחרי הביקורת אבטחה האחרונה הוא כבר יותר בטוח מbitlocker,
לגבות פעם בכמה חודשים את מה שחשוב

אם כבר נפגעתם , אתם יכולים לנסות לשחזר עם 
https://www.nomoreransom.org/
https://noransom.kaspersky.com/
בנוסף קליק ימני על התיקייה ללחוץ מאפיינים ולראות previous versions , לפעמים זה עובד אז שווה לנסות



רוב תוכנות הכופר מצפינות את הקובץ ואז רק אחרי זה מוחקות אותו,
מה שאומר שהמידע של הקובץ לא נמחק רק הרשומה שלו במערכת קבצים,
כן , כשמוחקים קובץ בווינדוס הוא לא באמת נמחק,
ולכן ניתן לשחזור על ידי תוכנות כמו
Zero assumption recovery
GetDataBack ntfs
R-Studio
אם זאת, 
יש תוכנות כופר כמו petya שבמקום להצפין קבצים ספציפיים מצפינות את הרשומות של הארדדיסק עצמו מה שנקרא MFT ולא נותנות למערכת הפעלה לעלות , 
למרות שלא נוגע בכלל בקבצים
זה גם ניתן לשיחזור על ידי התוכנות למעלה,מבלי לשלם לתוקפים כסף

ממליץ לגבות קבצים חשובים לענן כמו mega.nz שהוא מצויין בטוח ומהיר , וגם google drive סבבה
בנוסף להשתמש ב dns של גוגל 
8.8.8.8
4.4.4.4



והכי חשוב זה ערנות של משתמשים , לא ללחוץ על קישורים או קבצים מצורפים במיילים חשודים ,גם אם זה מחבר כי יכול להיות שוירוס הדביק אותו ושלח לכל אנשי הקשר, ולא להיכנס לאתרים לא בטוחים בלי הגנה,
הרבה מהפרצות אבטחה מגיעות מתוך תוספים של הדפדפן כמו פלאש , או מסמכי אופיס עם מאקרו ,ומשימוש באינטרנט אקספלורר IE
אני ממליץ לגלוש מכרום או מ edge , הם הכי בטוחים
ואפשר גם עם ad block plus או משהו דומה


יש הרבה מיילים מסוג spear phishing שהאקר חוקר מי אתה חודשים וכותב מייל במיוחד בשבילך,ומזייף הכל שייראה אמיתי,ככה שבסבירות גבוהה תלחץ עליו , 
לא איזה משהו גנרי למלא משתמשים,(בעסקאות חשוב לוודא מספרי SWIFT של העברה בנקאית, שזה אותו אדם שעשיתם איתו עסקים פעם, אם רלוונטי)
אז צריך להיות זהיר בתקופה הזאת ולא להשאיר מחשב דלוק כל השנה כשהוא מחובר לרשת , כדי שיהיה פחות סיכוי לחדירה , 
תמיד לעדכן תוכנות ומערכת הפעלה נגד פירצות חדשות
ואם הודבקתם , ככל שתנתקו את המחשב מהר יותר מהחשמל ומהרשת פחות סיכוי לנזק

בנוסף יש כמה תוכנות שהם ספציפית אנטי כופר:
kaspersky anti ransomware
Malwarebytes Anti-Ransomware
bitdefender anti ransomware
sophos intercept x
מובילים כרגע , אבל כל אחד תופס סוגים שונים של רנסום והם עובדים בשיטות שונות

לגבי סריקה יותר יסודית ממליץ להשתמש ב autoruns של sysinternals , ולהפעיל אותו כאדמין , ולעשות סריקה של virustotal ובדיקת מקוריות של הקבצים

אחרי זה יש סריקה של חוות דעת שניה שזה 60 אנטיוירוסים שסורקים קבצים חשובים:
hitman pro
herdprotect
לסרוק עם שתיהם את המחשב

אפשר גם לסרוק offline לפני שהווינדוס עולה ממערכת הפעלה חיצונית שניגשת לraw data בהארדדיסק עם,
bitdefender rescue cd

לגבי מחיקה של תוכנות ריגול ותוכנות לא רצויות שפוגעות בפרטיות ומכבידות על המחשב ממליץ על 
AdwCleaner

אחרי לגבי דברים אחרים שמתחבאים במחשב מה שנקרא rootkit:
GMER
PC HUNTER
שתי התוכנות הכי טובות בתחום לגילוי שלהם

חשוב ביותר, כיצד להתגונן מתוכנות כופר ransomeware , יש גם תוכן למתקדמים


מבחינת הגדרות במחשב , כמה דרכים לאבטח את עצמכם מפני מתקפה ,
זה למתקדמים:
תמיד להציג קבצים מוסתרים , קבצי מערכת וסיומות (באפשרויות תיקייה)
לא ללחוץ על קבצי EXE באימייל שמקבלים ולא על לינקים חשודים,לוודא מי השולח , אם זה חבר יכול להיות שהוא הודבק בתולעת,
לבטל הרצת מאקרוים במסמכי אופיס
לבטל את החיבור מרחוק למחשב , rdp remote desktop vnc logmein teamviewer...
לבטל את ההפעלה אוטומטית מדיסק CD , או דיסק און קי,
לגלוש בVPN מIP סיני או רוסי , הרבה פעמים התוקפים לא רוצים לתקוף את עצמם אז בודקים IP
לעשות את כונן C מתחת ל60 גיגה הרבה פעמים וירוסים בודקים ככה שהם לא רצים בVM של אנליסט אבטחה,
חשוב מאוד!, לא למפות כונני רשת או כונני כמו דרופבוקס בmy computer , כי אז התוכנת כופר תצפין לכם את הגיבוי
לא לפתוח קבצים חשודים כ admin , אלא רק בsandbox או VM


הגדרות חשובות: (כדאי לעשות נקודת שחזור לפני , בשחזור המערכת , אם עושים טעות יכול לקלקל את המחשב , אז להיות זהיר קצת)
לשנות את השם או סיומת של הקבצי מערכת: בתיקיה של או SYSTEM32 , לבדוק גם ב WOW64
vssadmin.exe
syskey.exe
cipher.exe
bcdedit.exe
וירוסים משתמשים בהם כדי לבטל את השחזור , אם הם לא יהיו באותו השם הוירוסים לא יוכלו לחסום את זה

אותו דבר בהגדרות registry , נכנסים לregedit דרך winkey+R,
ואז ,הפעם לא משנים את השם , אלא מבטלים הרשאות כתיבה לכולם(מבטלים ירושה של הרשאות בתיקיה) , ככה ששום וירוס לא יישנה את הערכים האלו


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsBa ckup

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VSS\Settings

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\BackupRestore\SystemStateRestore

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\SystemRestore

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot

HKEY_LOCAL_MACHINE\BCD00000000

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\E xplorer

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\S ystem



הרבה תוכנות כופר מנסות לשנות את הערכים האלה


בנוסף הרבה מהקבצים שהם מצפינות נמצאים בתיקיה של הפרופיל של המשתמש %USERPROFILE% ששם השולחן עבודה והתיקיה של המסמכים והורדות...
אז קבצים חשובים לא לשים שם , גם לא בroot של כונן מסויים , רק בתיקייה פנימית,
הם מחפשים מסמכים , קבצי מולטימדיה וסרטונים , קבצים מכווצים , קבצי קוד מקור , קבצי DB...
ואז מצפינים אותם


והם עושים הגדרה שייפעל משהו בעלייה של המחשב מתוך התיקייה של

%TEMP% 
(C:\Users\user123\AppData\Local\Temp)
אז אפשר לראות בautoruns.exe של sysinternals מה עולה בעלייה,
הרבה פעמים הם שמים שמות שמנסים להיות דומים לדברים אמיתיים של , או שם רנדומלי , או EXE בלי שם חברה,

אז לשים לב לדברים מוזרים שם

נערך על-ידי igalk474

שתף דיון


קישור ישיר להודעה
שתף באתרים אחרים

שמרתי אצלי קישור לכתבה במקרה ו..אני אצטרך ברגע אמת.

ארצה להוסיף שמתוך שעמום לקחתי מחשב ישן והדבקתי אותו בכוונה בתוכנות כופר חדשות בשביל לבדוק אמינות של אנטי וירוס מסוים. המדע בכתבה עזר מאוד.

 

שתף דיון


קישור ישיר להודעה
שתף באתרים אחרים

הצטרפ/י לדיון

בשלב זה תוכל/י להצטרף לדיון, ולאחר מכן להצטרף לקהילה שלנו. אם כבר יש לך חשבון אצלנו, אנא התחבר/י עכשיו על מנת להגיב תחת שם המשתמש שלך.
לתשומת לבך: התגובה תופיע לגולשים לאחר אישור של צוות הנהלת הפורומים.

אורח
הוסף תגובה

×   התוכן שהודבק הוא עם עיצוב.   הסר עיצוב

  Only 75 emoji are allowed.

×   הקישור שלך הוטמע אוטומטית.   הצג כקישור רגיל

×   התוכן הקודם שלך שוחזר אוטומטית.   נקה הכל

×   You cannot paste images directly. Upload or insert images from URL.


×
  • צור חדש...
Back to top button
Close