Активность

Сегодня не проверяла, завтра предстоит в нём работать. Буду следить.

Коллеги, подключайтесь! В Шереметьево рукав 129 соответствует гейту 109

Нет. Блокировкам больше, чем неделя, так что нет.

Т.е. это продолжается и до сих пор?

В этом году исполнилось 20 лет системе CVSS — Common Vulnerability Scoring System, ставшей общепризнанным стандартом описания уязвимостей. Несмотря на десятилетия использования и четыре поколения стандарта (на сегодня внедрена версия 4.0), рейтингом CVSS продолжают пользоваться неправильно, а вокруг самой системы порой бушуют серьезные споры. Что важно знать о CVSS для эффективной защиты своих ИТ-активов? База CVSS Как пишут в документации CVSS разработчики системы, CVSS — инструмент описания характеристик и серьезности уязвимостей в программном обеспечении. CVSS поддерживается форумом специалистов по ИБ и реагированию на инциденты (FIRST) и была создана для того, чтобы эксперты говорили об уязвимостях на одном языке, а данные о программных дефектах было легче обрабатывать автоматически. Практически каждая уязвимость, опубликованная в реестрах уязвимостей (CVE, БДУ, EUVD, CNNVD), содержит оценку серьезности по шкале CVSS. Эта оценка состоит из двух основных компонентов: числовой рейтинг (CVSS score), отражающий серьезность уязвимости по шкале от 0 до 10, где 10 — максимально опасная, критическая уязвимость; вектор — стандартизованная текстовая строка, описывающая основные характеристики уязвимости: можно ли ее эксплуатировать по сети или только локально, нужны ли для этого повышенные привилегии, насколько сложно эксплуатировать уязвимость, на какие характеристики уязвимой системы влияет эксплуатация уязвимости (доступность, целостность конфиденциальность) и так далее. Вот как выглядит в этой нотации опасная и активно эксплуатировавшаяся уязвимость CVE-2021-44228 (Log4Shell): Base score 10.0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H). View the full article

Fixlog.txt Наконец то стало возможно отправить лог) Но с Корелом что то надо делать...все сигнатуры при его работе появлялись, и выбивают его.

Здравствуйте. Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши. Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код) begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Kurdzo\AppData\Roaming\Microsoft\Crypto\CRC\Runtime.exe',''); QuarantineFile('C:\Users\Kurdzo\AppData\Roaming\DriversUpdate\taskhostupdate.exe',''); TerminateProcessByName('c:\users\kurdzo\appdata\local\microsoft\edge\system\update.exe'); QuarantineFile('c:\users\kurdzo\appdata\local\microsoft\edge\system\update.exe',''); TerminateProcessByName('c:\users\kurdzo\appdata\roaming\driversupdate\runtimebroker.exe'); QuarantineFile('c:\users\kurdzo\appdata\roaming\driversupdate\runtimebroker.exe',''); DeleteFile('c:\users\kurdzo\appdata\roaming\driversupdate\runtimebroker.exe','32'); DeleteFile('c:\users\kurdzo\appdata\local\microsoft\edge\system\update.exe','32'); DeleteFile('C:\Users\Kurdzo\AppData\Roaming\DriversUpdate\taskhostupdate.exe','64'); DeleteSchedulerTask('Microsoft\Windows\MUI\FPRemove'); DeleteFile('C:\Users\Kurdzo\AppData\Roaming\Microsoft\Crypto\CRC\Runtime.exe','64'); DeleteSchedulerTask('Microsoft\Windows\Shell\FamilySafetyRefreshingTask'); DeleteSchedulerTask('Microsoft\Windows\MUI\RPRemove'); DeleteSchedulerTask('Microsoft\Windows\USB\Usb-Notification'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end.Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Проблемы начались не после установки "анти запрета" и VPN?

Искал через Dr.Web (CureIt), удалял, но при следующем запуске системы снова идет нагрузка на ЦП и находятся эти вирусы. Dr.Web сейчас перестал запускаться. CollectionLog-2025.07.14-13.08.zip

FRST.txtAddition.txtClearLNK-2025.07.13_19.49.10.log Kaspersky Rescue Disk не помог. В начале ожил, работал, потом бесконечно показывал одну строку с курсором на чёрном экране. Незнаю, может он так и должен работать. Обновили драйвера сетевой карты - не помогло. Посмотрел новости 744 шатдауна интернета наглухо в июле. Кажется я нашёл вирус)) Но попробуй разбери.

@-AdviZzzor-, выходные прошли. Как обстановка?

После небольшого перерыва - опять в дорогу! Летим на восток..

Какое количество файлов было расшифровано при первом запуске дешифратора? + проверьте ЛС.

Личку проверяем.

С Днём Рождения!

Да предоставили его. Шифровальщика нет , пк органы забрали

А сэмпл шифровальщика сохранился у вас (если антивир среагировал на него, значит он мог попасть в карантин)? Можете его предоставить в архиве, с паролем virus? Т.е. вам предоставили пробный дешифратор до получения оплаты? до получения полной оплаты?

Вломанный пк забрали правоохранительные органы. Да со взломанного как сетевой диск. Дешифратор получили через телегу с этим контактом, но требуют еще за secret key

Все пароли смените. Проблема решена?

Запуск шифровальщика. скорее всего, был на взломанном устройстве. Если срабатывание было в дефендере на взломанном компьютере, то и запуск шифровальщика был там, а данные NAS шифровались как сетевой диск, доступный со взломанного ПК. Поэтому имеет смысл сделать логи FRST на взломанном ПК. дешифратор и ключи (за выкуп) получили через контакты в записке о выкупе или через посредников?

~res-x64.txt В файле res-x64 изменения в системе после дешифровки Зараженной системы нет, только nas. ContiCrypt.MFP!MTB -- это детект в Windows Defender? Да дефендером определился. Архив с файлами скинул WinRAR archive.rar Сейчас решаю медленно но верно снапшотами нескольких вм в цикле перезапускаю , но файлов очень много и такой способ конечно не очень удобен

Что вы подразумеваете под файлом изменений? записку о выкупе, или что-то другое? .HIJIFJ - это очевидно расширение зашифрованных файлов, верно? ContiCrypt.MFP!MTB -- это детект в Windows Defender? Файлы зашифрованы предположительно с помощью шифровальщика Sauron. Добавьте так же несколько зашифрованных файлов + логи FRST из зашифрованной системы.

Добрый день. Недавно взломали RDP одного из рабочих пк, и через него зашифровали данные NAS , попробовали выкупить, сбросили только exe и ключи, расшифровывает, но работает дешифровщик секунд 10, второй раз запустить нельзя , блокируется. Можно ли что то с ним сделать? Сам дешифровшик тоже как вирус , потому что много изменений в реестр вносит , прилагаю файл изменений которые он вносит , сам exe и ключи user id и второй ключvirus.rarНовый текстовый документ.txt#README-TO-DECRYPT-FILES.txt

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. aladdin (58)zolotoi (41)Oleger (57)vyacheslav77 (48)

Готово.Fixlog.7z