Активность

Обновление Firefox 141.0.2

Добрый день! Поймал вирус, который самовосстанавливается примерно раз месяц. Не пускает в интернет мессенджеры, магазины игр и другие приложения. В интернет могу зайти только с Гугл хром. UVS показывает странные записи в реестре. Не знаю, как это поправить без последствий. Прикладываю логи, образ автозапуска и скринщоты из UVS. CollectionLog-2025.08.05-21.48.zip CALVIN_2025-08-05_21-36-23_v5.0.RC1.v x64.7z

Скопро поделимся

С разницей буквально в несколько дней команда, поддерживающая Python Package Index (каталог программного обеспечения, написанного на Python) и Mozilla (организация, стоящая за разработкой браузера Firefox), выпустили крайне похожие предупреждения о фишинговых атаках. Неизвестные злоумышленники пытаются заманить Python-разработчиков, использующих PyPi и создателей плагинов для Firefox, имеющих аккаунты addons.mozilla.org, на фальшивые сайты площадок, с целью выманить их учетные данные. В связи с чем мы рекомендуем разработчиков ПО с открытым исходным кодом (не только пользователей PyPi и AMO) быть особенно внимательными при переходе по ссылкам из писем. Эти две атаки не обязательно связаны между собой (все-таки методы у фишеров несколько различаются). Однако вместе они демонстрируют повышенный интерес киберпреступников к репозиториям кода и магазинам приложений. Вероятнее всего, их конечная цель — организация атак на цепочку поставок, или перепродажа учетных данных другим преступникам, которые смогут организовать такую атаку. Ведь получив доступ к аккаунту разработчика, злоумышленники могут внедрить вредоносный код в пакеты или плагины. Детали фишинговой атаки на разработчиков PyPi Фишинговые письма, адресованные пользователям Python Package Index, рассылаются по адресам, указанным в метаданных пакетов, опубликованных на сайте. В заголовке находится фраза [PyPI] Email verification. Письма отправлены с адресов на домене @pypj.org, который всего на одну букву отличается от реального домена каталога — @pypi.org, то есть используют строчную j вместо строчной i. В письме говорится, что разработчикам необходимо подтвердить адрес электронной почты, для чего следует перейти по ссылке на сайт, имитирующий дизайн легитимного PyPi. Интересно, что фишинговый сайт не только собирает учетные данные жертв, но и передает их на реальный сайт каталога, так что после завершения «верификации» жертва оказывается на легитимном сайте и зачастую даже не понимает, что у нее только что похитили учетные данные. Команда, поддерживающая Python Package Index, рекомендует всем кликнувшим на ссылку из письма немедленно сменить пароль, а также проверить раздел Security History в своем личном кабинете. View the full article

Добрый день! Выложили новые (21.23.1.199 MR23) бета-версии продуктов Касперского для Windows. Скачать дистрибутивы вы можете по ссылкам ниже: Kaspersky — https://box.kaspersky.com/d/2ce80ad9fff44d329bc7/ Kaspersky VPN — https://box.kaspersky.com/d/5d2168d268124fe7ab05/ KSOS — https://box.kaspersky.com/d/653df139bfdd4466ba92/ KES — https://box.kaspersky.com/d/89e86a6737494b7fbe10/

Программа поездки в Дагестан опубликована, даны рекомендации по одежде. Ждем программу встречи в офисе

Обнаружил у себя в кэше на сервере подозрительные записи. KES стоит, подозрительной активности не наблюдаю, так что вроде бы сервер в порядке. Но данных по сайту в интернете нет. Главная страница это явно инжектор скриптов, что в таком виде как сейчас явно намекает на нелегитимное использование. Возможно из KSN можно получить больше полезной информации? и в случае подтверждения опасений внести в базу. Имена: tonzz3.ru hit.tonzz3.ru hitcrypt.tonzz3.ru P.S. не нашёл подходящей темы и выбрал текущую. Помощь с сервером не нужна.

Да, это ваш шифровальщик: но мы можем получить из него только публичный ключ pub.key, которым шифровали, а вам для расшифровки нужен приватный ключ priv.key. priv.key создан на стороне злоумышленников, соответственно только они им владеют.

Делюсь памяткой по предстоящей поездке: Что взять с собой и как лучше одеться? паспорт телефон предметы гигиены SPF-крем, увлажняющий крем лекарства по необходимости повседневные удобные вещи (из натуральных тканей, лучше с длинным рукавом для защиты от солнца) ветро- и влагозащитная куртка головной убор купальный костюм, сланцы удобная обувь (кроссовки, сандали) запасная одежда (футболка, шорты) и обувь (не белая!) для катания на квадроциклах солнцезащитные очки Обращаю ваше внимание, что в даты нашей поездки обещают жаркую погоду. Пожалуйста, выбирайте вещи из натуральных тканей с длинным рукавом, чтобы защититься от перегрева и солнечных ожогов. Обращаем внимание! И мужчинам и женщинам не рекомендуется носить вещи выше колена, сильно облегающие и просвечивающие вещи, вещи с глубоким декольте и майки. Женщинам допустимо плавать в раздельном купальнике, но не слишком откровенном. Если есть возможность взять слитный купальник - лучше взять его. Не рекомендуется курить в общественных местах, тем более, женщинам. В общественных местах также нельзя распивать алкогольные напитки и быть в нетрезвом виде. Местные жители имеют право подойти и сделать замечание лично или руководителю группы. Про связь. Все операторы сотовой связи корректно работают на территории Дагестана. Однако по нашему маршруту будут участки, где будет слабо ловить связь и не работать интернет. !В регионе работает Telegram с ограничениями. Чат коммуникации будет создан в WhatsApp накануне поездки. Не пугайтесь, если увидите, что вас добавили в такой чат. Чат необходим для оперативного оповещения группы. Про деньги. В некоторых местах Дагестана принимают только наличные денежные средства. Рекомендуем заранее снять деньги для покупки памятных сувениров или фруктов.

LB3.7zНаправил файл. Пароль virus.

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

И это важно. Файл шифровальщика есть в логах 2025-08-05 01:33 - 2025-07-07 00:12 - 000162816 _____ C:\Users\Kaspersky\Documents\LB3.exe Заархивируйте его с паролем virus, добавьте архив в ваше сообщение. Дешифратор существует, т.е. проблема не в нем, а в приватном ключе, который генерируется билдером при каждом его запуске и может быть уникальным в каждой атаке. Шифрование же выполняется публичном ключом. Сэмпл шифрования содержит только публичный ключ. + проверьте ЛС.

Спасибо.

Дешифратор существует на данный момент по Lockbit 3?

Дешифраторы, скаченные по списку с сайта, зря не гоняйте, они не подойдут к любому из перечисленных ИИ вариантов. Скорее всего, это Lockbit, так как группы BlackMatter, ALPHV прекратили свою деятельность, хотя и есть определенное родство в коде Lockbit и BlackMatter. Важнее будет определить какая группа стоит за вариантом Lockbit, которым вас атаковали. ------- судя по контакту из записки: bncsupport[собака]privacyrequired.com, вариант от этой группы был месяцем ранее на bleepingcomputer.com Эксперты здесь определяют что данный контакт относится к группе С расшифровкой не сможем помочь. Без приватного ключа LockbitV3 не расшифровать, и Nomoreransom не поможет, так как подобные группы используют утекший билдер, и соответственно ключи не попадают в оф. группу Lockbit. Если есть лицензия на продукт Касперского, возможно следует провести тщательное расследование о причине проникновения злоумышленников в вашу ЛС.

Здравствуйте! В ночь произошел инцидент, в котором выяснилось, что кто-то смог авторизоваться с помощью учетной записи Kaspersky, подобрать пароль от машин VMWare и зашифровать виртуальные машины, а также содержимое файловых систем. Файл с требованиями находится внутри архива. Доступ по RDP есть к этим виртуальным машинам есть. Сейчас отключено RDP. ИИ намекнул, что, возможно, это ALPHV, LockBit или BlackMatter. Прошу помочь в определении шифровальщика и возможность дешифровки. зашифрованные файлы.zip FRST.txt Addition.txt

Добрый день! Спасибо за трейсы, завели инцидент, будем исследовать.

Замочки закрыты у параметров?

По возможности исправьте: NVIDIA GeForce Experience 3.28.0.417 v.3.28.0.417 Данная программа больше не поддерживается разработчиком. Рекомендуется использовать Приложение NVIDIA. Google Update Helper v.1.3.35.441 Данная программа больше не поддерживается разработчиком. Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления Microsoft OneDrive v.23.221.1024.0002 Внимание! Скачать обновления Яндекс.Диск v.3.2.44.5094 Внимание! Скачать обновления Telegram Desktop v.5.16.6 Внимание! Скачать обновления K-Lite Mega Codec Pack 18.4.8 v.18.4.8 Внимание! Скачать обновления Adobe Acrobat Reader DC MUI v.20.009.20074 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ Opera Stable 120.0.5543.93 v.120.0.5543.93 Внимание! Скачать обновления ^Проверьте обновления через меню Обновление и восстановление!^ Yandex v.25.6.3.327 Внимание! Скачать обновления ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^ ---------------------------- [ UnwantedApps ] ----------------------------- GetVideo Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция. Кнопки сервисов Яндекса на панели задач v.3.7.8.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. На этом закончим.

Было отключено

Хорошо. Если проблема устранена, в завершение, пожалуйста: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратораЕсли увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению.

С Днём Рождения!

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. kazoom (32)Жужа (38)gatin69 (56)Gnedyshev (33)саша98 (27)

Было бы чудом, если бы эти ключи подошли. Но то, что этот механизм работает - это неплохо. Хоть какой то порядок есть в этом. По отчету Касперского: папка с RDPWrap ваша? Сегодня, 04.08.2025 14:11:19 C:\Distr\RDPWrap-v1.6.2\RDPWInst.exe Обнаружено Мы нашли приложение, которое может быть использовано по отчету Cureit: C:\users\user\documents\ns v.222.exe - infected - 12ms, 128000 bytes Что еше осталось в этой папке незамеченным? (Кроме сканера ns*.exe и найденных файлов *.bat) Вложенной папки с Everything не осталось? Возможно, что из папки *\Documents и был запуск шифровальщика. Если есть такая возможность, выполните поиск сэмпла среди удаленных файлов, ориентируясь на дату и время процесса шифрования. (мог быть удален вручную или автоматически после завершения процесса шифрования) ------ + проверьте ЛС.

SecurityCheck.txt