LockBit ransomware

פורום רשתות, IT ומחשוב כללי - רשתות, ראוטרים, מחשבים ניידים, אביזרים וכו'.
MSLEVIN (פותח השרשור)
סמל אישי של משתמש
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 196
הצטרף: דצמבר 2005
שם מלא: shay levin
מיקום: אזור השרון
נתן תודות: 81 פעמים
קיבל תודות: 16 פעמים

LockBit ransomware

נושא שלא נקרא #1 

היי,

מספר מחשבים אצלי בבית הותקפו במתקפת כופר וכעט כל הקבצים למעט קבצי מערכת ההפעלה הוצפנו בסיומת LockBit כך שלא ניתן לפתוח אותם.

התוקף השאיר על המחשבים קובץ טקסט ובוא הוראות מדויקות איך ניתן ליצור איתו קשר על מנת לשלם ולקבל את מפתח ההצפנה בתשלום ׳׳צנוע׳׳ של 1500$

לצערי היה לי גיבוים על אחד מהחשבים ברשת שגם הוא הותקף, מדובר בגיבווים של עשרות אלפי תמונות וצילומי וידאו של המשפחה שנאספו לאורך 20 שנה.

השאלה שלי האם יש מישהו שעבר התקפה כזאת או שיש לו ניסיון בתחום שיוכל לייעץ לי מה לעשות ?

תודה.

NegativeIQ
חבר מביא חבר
חבר מביא חבר
הודעות: 4423
הצטרף: דצמבר 2005
נתן תודות: 11 פעמים
קיבל תודות: 570 פעמים

Re: LockBit ransomware

נושא שלא נקרא #2 

MSLEVIN כתב:היי,

מספר מחשבים אצלי בבית הותקפו במתקפת כופר וכעט כל הקבצים למעט קבצי מערכת ההפעלה הוצפנו בסיומת LockBit כך שלא ניתן לפתוח אותם.

התוקף השאיר על המחשבים קובץ טקסט ובוא הוראות מדויקות איך ניתן ליצור איתו קשר על מנת לשלם ולקבל את מפתח ההצפנה בתשלום ׳׳צנוע׳׳ של 1500$

לצערי היה לי גיבוים על אחד מהחשבים ברשת שגם הוא הותקף, מדובר בגיבווים של עשרות אלפי תמונות וצילומי וידאו של המשפחה שנאספו לאורך 20 שנה.

השאלה שלי האם יש מישהו שעבר התקפה כזאת או שיש לו ניסיון בתחום שיוכל לייעץ לי מה לעשות ?

תודה.
...
אני לא אשקר לך - אין פתרון קסם.
הייתי אומר שתתחיל בלהציל את מה שנותר - תתחיל בלגבות קודם כל את כל הדיסק (ברמת הסקטור) לדיסק חדש (חדש זה אומר מהניילון או שאתה בסדר עם למחוק את כל מה שכבר יש בו) - הדרך הכי קלה היא לאתחל מדיסק לינוקס כלשהו (Ubuntu או Knoppix) ולהשתמש בפקודה dd (שים-לב שאתה מריץ אותה בכיוון הנכון, שלא תמחק בטעות את הדיסק המקורי).
אחרי שעשית את זה חבר את הדיסק כדיסק משני למחשב Windows נקי (זהירות לא לאתחל בטעות מהדיסק שחיברת). הוא אמור להופיע ככונן D או E או משהו בסגנון. תריץ עליו אנטי-וירוס כדי להסיר את ה-Ransomware עצמו ולהימנע מנזק נוסף בפעם הבאה שתאתחל את המחשב שלך. יכול להיות ש-Windows Defender, שמגיע מובנה ב-Windows 10, יספיק - אבל אולי כדאי ללכת על כלי כבד יותר, כמו Kaspersky, שהיום הוא השם הכי גדול בתחום. אחרי שהסרת את ה-Ransomware עצמו, תשתמש בתוכנה לשחזור נתונים, כמו EaseUS כדי לחפש את השאריות של הקבצים שנותרו. האם תמצא חלק? סיכוי סביר שככן. האם תמצא הכל? סיכוי סביר שלא.
לרוע המזל כדי לשחזר ממש הכל נראה שתצטרך לשלם. בדורות הראשונים של ה-Ransomwares היו בעיות קריפטוגרפיות שאיפשרו לפענח את ההצפנה, וחברות אנטי-וירוס פרסמו כלים כאלה, אבל לרוע המזל האנשים הרעים לומדים מהטעויות שלהם. מדובר כאן בדור חדש ובינתיים לא הצליחו למצוא פרצה באלגוריתם שלהם. זה לא אומר שבטוח ב-100% שזה לא יקרה, אבל בשנה האחרונה כבר לא היו יותר מידי כאלה.
אתה יכול לנסות להתמקח איתם על המחיר - לרוב המפעילים של Ransomware מפעילים "מוקד שירות לקוחות" ממש, עם צ'אט עם "נציג שירות". לפעמים אפשר להתמקח איתם. חלק מהם גם יסכימו לפענח לך קובץ בודד בחינם כהוכחה לזה שיש להם את היכולת הטכנית לפענח את הקבצים שלך (היו בעבר מקרים ש-Ransomware לא באמת שלח למפעילים שלו את המפתח ובעצם המידע הלך לאיבוד לגמרי, אבל זה לא הפריע למפעילים לקחת את הכסף ולהיעלם).
מה שכן, קח בחשבון שהכל יכול להיות כשמדובר ב-Ransomware - היה לי פעם מקרה של לקוח שאחרי שהוא שילם ניסו לסחוט ממנו עוד כספים עד שבסוף הוא ויתר לגמרי (במקרה הזה היה מדובר בעסק ולא באיש בודד).
ולהבא תזכור להכין גיבוי קר ו/או גיבוי בענן של מה שבאמת חשוב.

alcd
סמל אישי של משתמש
חבר מביא חבר
חבר מביא חבר
הודעות: 3510
הצטרף: יוני 2011
נתן תודות: 261 פעמים
קיבל תודות: 192 פעמים

נושא שלא נקרא #3 

,תראה אם אולי נשאר לך system restore
ותתקין אנטיוירוס וכו

alcd
סמל אישי של משתמש
חבר מביא חבר
חבר מביא חבר
הודעות: 3510
הצטרף: יוני 2011
נתן תודות: 261 פעמים
קיבל תודות: 192 פעמים

נושא שלא נקרא #4 


alcd
סמל אישי של משתמש
חבר מביא חבר
חבר מביא חבר
הודעות: 3510
הצטרף: יוני 2011
נתן תודות: 261 פעמים
קיבל תודות: 192 פעמים

נושא שלא נקרא #5 


eizen5
חבר ותיק
חבר ותיק
הודעות: 1024
הצטרף: ינואר 2010
נתן תודות: 520 פעמים
קיבל תודות: 92 פעמים

נמחק.

נושא שלא נקרא #6 

נמחק.
נערך לאחרונה על ידי eizen5 ב 30/12/2023 19:26, נערך פעם 1 בסך הכל.

MSLEVIN (פותח השרשור)
סמל אישי של משתמש
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 196
הצטרף: דצמבר 2005
שם מלא: shay levin
מיקום: אזור השרון
נתן תודות: 81 פעמים
קיבל תודות: 16 פעמים

נושא שלא נקרא #7 

רשית תודה ל- NegativeIQ, alcd, shmizan על התגובה.

כפי שהצעתם ביצעתי את השלבים הללו:

1. הורדתי את תוכנת MALWAREBYTES
2. ניתקתי את המחשבים מהרשת
3. ביצעתי סריקה ב MALWAREBYTES שמצאה את קובץ הרוגלה והסירה אותו.
4. ניסיתי לבדוק האם קיימים גיבויים ב System Restore אבל לא היו כאלה (כנראה שנמחקו ע"י התוקף)
5. ניתקתי את הדיסק הקשיח מהמחשב.
6. התקנתי במחשב דיסק קשיח חדש והתקנתי מערכת הפעלה WIN10.
7. התקנתי אנטי וירוס של Norton 360.

אני כרגע רוצה לנסות לבצע שחזור של הקבצים בתוכנת EaseUS מהדיסק המנותק (נגוע).

השאלה שלי

האם זה בטוח כעט לחבר את הדיסק הנגוע ולנסות לבצע את השחזור ?

תודה :)

oferlaor
סמל אישי של משתמש
מנהל
מנהל
הודעות: 75317
הצטרף: נובמבר 2004
שם מלא: עפר לאור
מיקום: מודיעין, ישראל
נתן תודות: 640 פעמים
קיבל תודות: 4750 פעמים

נושא שלא נקרא #8 

זו הסיבה שחשוב לשמור גיבויים בענן והם מבוססי תאריך. עדיין מטורף בעיני שאין לדבר הזה פיתרון ברמת מיקרוסופט שמזהים שיותר מדי קבצים מעובדים אחד אחרי השני, זה לא נראה לי כזה מורכב לסמן שיש בעיה, ועדיין אנשים נתקלים בבעיה הזו כל הזמן.

ברמה הטכנית בשביל להחזיר את התוכן כנראה שלא תהיה ברירה אלא להתמקח עם החלאות ולהגיע איתם להסדר. תקווה לטוב ויש סיכוי טוב שתוכל להציל את המידע בסיטואציה כזו.

אנשים לא לוקחים בחשבון את העובדה שמחר בבוקר כל ה-digital assets שלהם עלולים להיעלם ולכן לא משקיעים בגיבויים או בתוכנית חירום ראויה. לצערי לפני הרבה שנים נפל לי דיסק קשיח במערכת אשר שימשה לגיבוי וכאשר ניסיתי לשחזר, כל המערך דיסקים התרסק ואיבדתי הרבה מאוד תוכן, כולל דברים שנחשבו בעיני "לא כאלה קריטיים לגבות". המחיר של זה היה כבד.

MSLEVIN (פותח השרשור)
סמל אישי של משתמש
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 196
הצטרף: דצמבר 2005
שם מלא: shay levin
מיקום: אזור השרון
נתן תודות: 81 פעמים
קיבל תודות: 16 פעמים

נושא שלא נקרא #9 

oferlaor כתב:זו הסיבה שחשוב לשמור גיבויים בענן והם מבוססי תאריך. עדיין מטורף בעיני שאין לדבר הזה פיתרון ברמת מיקרוסופט שמזהים שיותר מדי קבצים מעובדים אחד אחרי השני, זה לא נראה לי כזה מורכב לסמן שיש בעיה, ועדיין אנשים נתקלים בבעיה הזו כל הזמן.

ברמה הטכנית בשביל להחזיר את התוכן כנראה שלא תהיה ברירה אלא להתמקח עם החלאות ולהגיע איתם להסדר. תקווה לטוב ויש סיכוי טוב שתוכל להציל את המידע בסיטואציה כזו.

אנשים לא לוקחים בחשבון את העובדה שמחר בבוקר כל ה-digital assets שלהם עלולים להיעלם ולכן לא משקיעים בגיבויים או בתוכנית חירום ראויה. לצערי לפני הרבה שנים נפל לי דיסק קשיח במערכת אשר שימשה לגיבוי וכאשר ניסיתי לשחזר, כל המערך דיסקים התרסק ואיבדתי הרבה מאוד תוכן, כולל דברים שנחשבו בעיני "לא כאלה קריטיים לגבות". המחיר של זה היה כבד.כמו שאומרים "לומדים רק מטעויות" אני לא חשבתי שקיים סנריו כזב של רוע לכן הסתפקתי בגיבוי חם.
...
אתה בהחלט צודק, אבל כמו ברוב המקרים ניתן לומר ש "לומדים רק מטעויות" פשוט לא תארתי לעצמי שקיים סנריו כזה של רוע לכן הסתפקתי רק בגיבוי חם.
נערך לאחרונה על ידי MSLEVIN ב 07/04/2020 14:12, נערך 4 פעמים בסך הכל.

oferlaor
סמל אישי של משתמש
מנהל
מנהל
הודעות: 75317
הצטרף: נובמבר 2004
שם מלא: עפר לאור
מיקום: מודיעין, ישראל
נתן תודות: 640 פעמים
קיבל תודות: 4750 פעמים

נושא שלא נקרא #10 

לצערי אתה לא לבד. אני מכיר כמה וכמה אנשים שחטפו את הסיפור הזה, כולל משרדי עורך דין ורואי חשבון שה-DATA שלהם הוא אחוז גבוה ממה שהם עושים. גם הם פספסו את הסכנה הזו שלצערי היא קלה מאוד ליישום כיום ומשתלמת מאוד למי שמיישם אותה.

MSLEVIN (פותח השרשור)
סמל אישי של משתמש
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 196
הצטרף: דצמבר 2005
שם מלא: shay levin
מיקום: אזור השרון
נתן תודות: 81 פעמים
קיבל תודות: 16 פעמים

נושא שלא נקרא #11 

אני כרגע נמצא בשלב ההפנמה של הארוע :roll: מאמין שבהמשך אצטרך לחשוב על תוכנית מסודרת איך לגבות את הנתונים שיתנו מענה לסוג כזה של מקרה.

אני מאמין שהחברים כאן בפורום יעזרו לי למצוא את הצורה הממולצת אך לגבות את המידע בצורה הרבה יותר בטוחה.

mosheamsalem56
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 354
הצטרף: אוגוסט 2017
נתן תודות: 5 פעמים
קיבל תודות: 20 פעמים

נושא שלא נקרא #12 

תראה פה אם תמצא משהו מועיל
https://www.gov.il/he/departments/gener ... ransomware
חתימה חתימתית !

NegativeIQ
חבר מביא חבר
חבר מביא חבר
הודעות: 4423
הצטרף: דצמבר 2005
נתן תודות: 11 פעמים
קיבל תודות: 570 פעמים

נושא שלא נקרא #13 

אני מאוד ממליץ אגב להשתמש באיזשהו גיבוי לענן, גם בתשלום. מנוי של Office 365 נותן אחסון 1TB ב-OneDriver. הם הוסיפו לפני כמה חודשים פיצ'ר שכל מה שעולה לשם נשמר בגיבוי ל-30 יום, גם אם הוא שונה או נמחק. אין שום דרך ידנית למחוק את הגיבויים האלה (זה בכוונה) ככה שאם Ransomware הצפין לך את הכונן תהיה אפשרות לשחזר את הכל מהענן כל עוד לא עברו 30 יום.

amirn
חבר ותיק
חבר ותיק
הודעות: 1012
הצטרף: ספטמבר 2005
נתן תודות: 65 פעמים
קיבל תודות: 34 פעמים

נושא שלא נקרא #14 

איך הגיעו למחשב שלך? מישהו פתח קובץ או לינק? או איזו חולשה לא מתוקנת של חלונות?

nangel
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 425
הצטרף: אוגוסט 2009
נתן תודות: 2 פעמים
קיבל תודות: 19 פעמים

נושא שלא נקרא #15 

מנצלש - אם אני משתמש לדוגמא ב OneDrive עם התוכנה על ווינדוס אז מבחינת מערכת ההפעלה הקבצים מקומיים. במצב כזה ransomware ימחק את הקבצים המקומיים והמחיקה תסתנכרן עם הענן, לא?

שלח תגובה

חזור אל “רשתות, אינטרנט ו- Fiber”