Вирус с расширением *.pif, *.exe, *.rar, *.src (опознаётся как Trojan.Dropper:win32)
Автор
IgoreKMaN
в Помощь в удалении вирусов
-
Похожий контент
-
Автор KL FC Bot
Программы-архиваторы, упрощающие хранение и пересылку файлов, стали привычным инструментом не только для пользователей, но и для злоумышленников. Вредоносные архивы систематически находят как в целевых атаках, так и в инцидентах с шифровальщиками-вымогателями. Злоумышленники в основном применяют их для обхода средств защиты информации, обмана пользователей и, конечно, для извлечения украденных данных. А значит, ИБ- и ИТ- отделам следует уделять особое внимание тому, как архивы обрабатываются в ОС, бизнес-приложениях и защитных инструментах. Рассказываем, для чего злоумышленники могут использовать архивы.
Доставка вредоносного ПО с обходом предупреждений Mark-of-the-Web
Благодаря логическим особенностям и уязвимостям конкретных архиваторов, при распаковке под Windows у извлеченного файла иногда не устанавливаются атрибуты «загружен из Интернета» (Mark-of-the-Web, MOTW). Технически эти атрибуты сохраняются в альтернативном потоке данных (NTFS alternative data stream) Zone.Identifier. Если идентификатор указывает на внешний источник файла (ZoneID = 3, 4), то при попытке запуска исполняемого файла появляется предупреждение Windows, а Office автоматически открывает потенциально небезопасный документ в защищенном режиме.
Эксплуатируя дефекты архиваторов, атакующие обходят этот слой защиты. Самой свежей уязвимостью, приводящей к инцидентам такого рода, стала CVE-2025-31334 в WinRAR, но этот случай не единичный: известны CVE-2025-0411 в 7-Zip, CVE-2024-8811 в WinZip и другие. Важно учитывать, что некоторые архиваторы вообще не поддерживают MOTW, устанавливают ее только для некоторых расширений файла либо только при определенных способах распаковки. Сводная таблица по поддержке MOTW архиваторами доступна на GitHub.
View the full article
-
Автор badabucha
Все файлы на сервере зашифрованы расширением .frank
FRST.txt Frank_Help.txt файлы.rar Addition.txt
-
Автор Bruce007
Здравствуйте!
Поймали вирус-шифровальщик с расширением fear.pw прикладываю два зашифрованных файла и лог FRST (запускал с live cd) почта platishilidrochish@fear.pw
Пожалуйста, помогите, чем можете!
DeCrYpTiOn.txt FRST.txt Примеры файлов.rar
-
Автор Kemel
Your ID: EBF7F3B5F6C0398D
If you want your files back, contact us at the email addresses shown below.
Frank1850@mailum.com
Frank1850@firemail.de
((*** Your ID must be included in the subject line of your email or we WILL NOT answer ***))
This notification shows that your system has been hacked.
Your files have not been damaged or infected by viruses; they are just locked with the Frank suffix.
We saved your data on our servers,
and if you don't contact us, we'll extract your sensitive information and put it on the darknet, where anybody can view it.
We have no political goals and are not trying to harm your reputation.
This is our business. Money and our reputation are the only things that matter to us.
There is no software or company on the internet that can recover your locked files; we are the only ones who can help you.
Do Not Change These Locked Files; if you want to do it anyway, make a backup of your files first.
Frank_Help.txt Зашифрованные файлы.rar
-
Автор Evgeniych
Здравствуйте! Возникла такая дилемма, а именно : Перестали открываться любые файлы exe. ; Ноутбук стал работать более громко и повысилась нагрузка на ЦП и ГП. Так как файлы exe не открывались, пришлось открывать Dr. Web с помощью Winrar. Только после архивации exe файла, у меня получается что либо установить и открыть. После прогонки Dr.Web удалил все вирусы (парочку случайно зацепил и поместил в карантин), но exe файлы так и не открываются и ноутбук немного нагружен. Нужна помощь, заранее благодарю. Система Win 11. Если что, простите заранее за глупые вопросы (совсем чайник в данном).
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти