Активность

Ну от ошибок никто не застрахован. Мне например в онлайн справках попадалась противоречивая информация. Я сообщал об этом в техподдержку, как обратная связь Но буфер обмена в Андроид есть (или область память, которая выполняет такую функцию) , наверно речь про доступ к содержимому буфера обмена на чтение/запись

Да не знаю, за что браться. Давай один пункт, вот прям один. Такого разрешения не существует в Android в принципе. Вообще, ни в каком виде. И это не единственная, мягко говоря, неточность, в этой таблице. Просто это самая первая.

@Umnik в соответствии с правилами https://forum.kasperskyclub.ru/guidelines/ поэтому прошу развернуть вашу мысль. но без Провоцирования конфликта на форуме.

Незаметно для нас мессенджеры стали неотъемлемой частью жизни, средой, где мы проводим значительную часть повседневных активностей. Мы используем их для общения с друзьями, семьей и коллегами, для чтения новостей, развлечения и даже для продвижения бизнеса или своего личного бренда. Разумеется, такой популярный инструмент неизбежно привлекает и злоумышленников. Поэтому, кроме комфорта и удобства, мессенджеры привносят в нашу жизнь и ряд рисков. В этом посте мы решили посмотреть на основные угрозы для пользователей мессенджеров с точки зрения производителя защитных решений и продумать, как разработчики могли бы обеспечить дополнительную безопасность своих коммуникационных приложений. Чрезмерные разрешения Каждое современное приложение при установке и во время использования просит разрешения на доступ к различным функциям мобильного устройства: контактам, камере, микрофону, геолокации, галерее фотографий и так далее. В большинстве случаев эти разрешения действительно необходимы для работы приложения, но иногда пользователи дают гораздо больше прав, чем это нужно для нормальной работы в данный момент. При этом далеко не всегда пользователю очевидно, зачем именно мессенджеру нужен тот или иной доступ и, что еще важнее, — что происходит с данными, к которым этот мессенджер доступ получил (особенно если контроль над приложением захватят злоумышленники). А между тем, лишние доступы могут нести угрозу не только приватности, но и безопасности всего устройства в целом. Чтобы минимизировать эти риски, следует придерживаться нескольких простых правил. Во-первых, мы рекомендуем придерживаться принципа минимально необходимых привилегий. Это значит, что доступ к каким-либо функциям и данным следует разрешать, только если пользователь понимает, для чего это нужно, и только на то время, когда это действительно необходимо. Например, простому текстовому мессенджеру едва ли нужен доступ к точной геолокации. Или если вы не собираетесь совершать видеозвонки через конкретный мессенджер, то и доступ к камере ему ни к чему. View the full article

100 из 100😀

прикрепил результаты FRST.zip

Это не коммерческий проект. Пускай раздадут гостям офиса.

Проблема в них - несколько дней без синхронизации с телефоном и приходится подключать заново - не могут подключиться

удаляет источник проблемы и подчищает мусор. На остальные вопросы ответов дать не смогу.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Вот готовый отчет: Fixlog.txt Ссылка для скачивания архива: https://disk.yandex.by/d/q6MT3i_636REPQ Сканирование выполнял несколько раз, может раза два-три. И сегодня и вчера и наверно в пятницу когда все и началось. Данные зашифровались в пятницу с 7.00 - до 08.00 утра. Сканирование естественно выполнялось на зараженной машине с целью нейтрализации вирусов. Проанализирую еще входящую почту за этот период, если что-то найду подозрительное, то добавлю ссылку с содержимым. Спасибо!

Может быть это намёк из серии "Пока не раскупят 6-ое, не видать тебе 10го поколения". Вот почему ты бездействуешь?🙃 Сколькое календарей за 2022-2023 год ты купил в этом году? Я тоже ни одного! Из-за таких как мы товар продолжает лежать на складе 🙂

Нам их предлагают по вполне очевидной причине - в свое время заказали и до сих пор не распродали.

Mi Band вышел в 10 поколении, а нам по прежнему предлагают залежалое 6-е. Наверно по замыслу маркетологов мерч должен символизировать консерватизм ЛК, вместо ожидаемой нами прогрессивности

После выполнения скрипта. Что еще можно добавить. Возможно, пользователю, чей ПК был зашифрован прилетело письмо с вредоносным вложением. Проверьте почту на момент шифрования. Вложение может быть несколько Мб. Если это письмо сохранилось, экспортируйте его в файл в формат EML, заархивируйте файл с паролем virus, добавьте архив в ваше сообщение.

Судя по записке - это Pay2Key, модифицированный вариант Mimic. Судя по логам FRST шифровальщик был все это время активен. Впрочем он мог запуститься через автозапуск. по очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: () [Файл не подписан] C:\Users\You\AppData\Local\044C88E9-4088-8956-58A2-5A196544B380\browser.exe <2> (C:\Users\You\AppData\Local\044C88E9-4088-8956-58A2-5A196544B380\browser.exe ->) (voidtools -> voidtools) HKLM\...\Run: [browser] => C:\Users\You\AppData\Local\044C88E9-4088-8956-58A2-5A196544B380\browser.exe [3415056 2022-12-18] () [Файл не подписан] HKLM\...\Run: [browser.exe] => C:\Users\You\AppData\Local\HowToRestoreFiles.txt [4074 2025-09-08] () [Файл не подписан] HKLM\...\Run: [enc-build.exe] => C:\Users\You\AppData\Local\HowToRestoreFiles.txt [4074 2025-09-08] () [Файл не подписан] HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ HKLM\...\Policies\system: [legalnoticetext] All your files have been stolen! You still have the original files, but they have been encrypted. IFEO\agntsvc.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\AutodeskDesktopApp.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\axlbridge.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\bedbh.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\benetns.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\bengien.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\beserver.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\CoreSync.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\Creative Cloud.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\dbeng50.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\dbsnmp.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\encsvc.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\EnterpriseClient.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\fbguard.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\fbserver.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\fdhost.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\fdlauncher.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\httpd.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\isqlplussvc.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\java.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\msaccess.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\MsDtSrvr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\msftesql.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\mspub.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\mydesktopqos.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\mydesktopservice.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\mysqld-nt.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\mysqld-opt.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\mysqld.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\node.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\ocautoupds.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\ocomm.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\ocssd.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\oracle.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\pvlsvr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\python.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\QBDBMgr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\QBDBMgrN.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\QBIDPService.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\qbupdate.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\QBW32.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\QBW64.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\Raccine.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\RaccineElevatedCfg.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\RaccineSettings.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\Raccine_x86.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\RAgui.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\raw_agent_svc.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\searchprotocolhost.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SimplyConnectionManager.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sqbcoreservice.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sql.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sqlagent.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sqlbrowser.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sqlmangr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sqlservr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sqlwriter.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\Ssms.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\Sysmon.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\Sysmon64.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\tbirdconfig.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\TeamViewer.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\TeamViewer_Service.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\tomcat6.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\tv_w32.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\tv_x64.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\vsnapvss.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\vxmon.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wdswfsafe.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wpython.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wsa_service.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wxServer.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wxServerView.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\xfssvccon.exe: [Debugger] C:\Windows\System32\Systray.exe GroupPolicy: Ограничение ? <==== ВНИМАНИЕ GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ 2025-09-05 07:08 - 2025-09-05 07:08 - 000000000 ____D C:\ProgramData\Avast Software 2025-09-05 07:08 - 2025-09-05 07:08 - 000000000 ____D C:\Program Files\Avast Software 2025-09-08 17:55 - 2024-08-20 15:07 - 000000000 __SHD C:\Users\You\AppData\Local\044C88E9-4088-8956-58A2-5A196544B380 Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении. Сканирование в KVRT сегодня выполнили? Именно в этой системе, откуда добавили логи FRST?

Систему не сканировал - боюсь навредить.

Здравствуйте! Вот дополнительная информация которую удалось достать с зараженного компьютера. После заражения системы сканирование и очистку выполнял при помощи KVRT и Curreit. Лог сканирования утилитой KVRT вторичный а лог Curreit LiveDisk отсутствует так как функции экспорта отчета в утилитах нет а готовый отчет просто скринил в формате .png и в итоге эти файлы также были зашифрованы. Но при первичном сканировании Curreit LiveDisk я сделал пометки на бумаге о найденных угрозах а утилитой KVRT пересканировал вторично и изменил расширение файла на txt с целью предотвращения повторного шифрования. Архив с названием "Virus" содержит добытую информацию, пароль такой же как и имя - Архив содержит логи работы программы FRST - Записка о выкупе - Скрин KVRT Вот лог Curreit: BackDoor.AsyncRAT.53 (вредоносный файл VncKrip.exe) PowerShell.Dropper.54 (вредоносный файл setup.exe) Trojan.PWS.Sigger3.40844 (вредоносный файлcount.exe) BackDoor.AsyncRAT.53 (вредоносный файл item.exe) Users\You\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\item.vbs Virus.zip

карантин отправил 2025.09.09_quarantine_658afcd36cabd10ab0676620675677a6.7z новые логи прикрепил CollectionLog-2025.09.09-14.00.zip CollectionLog-2025.09.09-14.00.zip просканировал курейтом еще раз, вирус не обнаружился, надеюсь в логах тоже всё чисто

С расшифровкой файлов не сможем помочь без приватного ключа. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

P.S. Шивелуч: Мы сейчас в Долине гейзеров. Интернеты здесь такое же говнище, как и погода. Посему развесистых рассказов в ближайшие дни не ждите.

Сделал Fixlog.txt

Можете дать информацию или ссылки почитать 1) что это было и откуда могло появится? 2) Что конкретно делает скрипт для исправления? 3) Почему не обнаруживался антивирусом?

Есть в планах миграция в LXC контейнер. Спасибо всем за помощь!