-
Похожий контент
-
От KL FC Bot
Мы в блоге Kaspersky Daily постоянно призываем читателей внимательно относиться к контенту, который они загружают на свои устройства. Ведь даже в Google Play могут затесаться приложения с вредоносным ПО, чего уж говорить о неофициальных источниках с модифицированными или взломанными версиями. Сколько существует цифровой мир, столько и будут трояны проникать в устройства, не имеющие надежной защиты.
Сегодня расскажем историю, как 11 миллионов пользователей Android по всему миру стали жертвами трояна Necro. В каких приложениях мы нашли это вредоносное ПО и как от него защититься — в этом материале.
Что такое Necro
Наши постоянные читатели, скорее всего, на этом месте улыбнулись — мы писали про Necro еще в 2019 году. Тогда наши эксперты обнаружили троян в приложении для распознавания текста CamScanner, которое пользователи Android загрузили из Google Play более 100 миллионов раз. И вот какие-то некроманты возродили старый троян, снабдив его новыми возможностями: мы обнаружили его как в популярных приложениях в Google Play, так и в различных модах приложений, размещенных на неофициальных ресурсах. Вероятнее всего, разработчики этих приложений использовали непроверенное решение для интеграции рекламы, через которое Necro и проник в код.
Necro сегодня — это загрузчик, который обфусцирован, чтобы избежать детектирования (правда, злоумышленникам это не помогло, мы его все равно нашли). Вредоносную нагрузку он скачивает не менее хитрым образом: прячет ее код в безобидной с виду картинке, используя стеганографию.
А скачанные вредоносные модули умеют загружать и запускать любые DEX-файлы (скомпилированный код Android-приложения), устанавливать скачанные приложения, запускать туннель через устройство жертвы и даже (потенциально) оформлять платные подписки. Кроме того, в невидимых окнах они могут показывать рекламу и взаимодействовать с ней, а также открывать произвольные ссылки и выполнять любой JavaScript-код.
Подробнее о том, как именно устроен и работает Necro, читайте в блоге Securelist.
View the full article
-
От Sashok103
Здравствуйте! Имеется такая проблема: после установки ПО подхватил вирусы и майнер.
Что бы попытаться решить эту проблему, пробовал самостоятельно методы по их удалению с помощью просмотра советов в Интернете.
Например при запуске ПК, у меня сразу же отображались командная строка и Windows PowerShell на пару секунд, исходя из которых они делали внедрение своих вредоносных команд в мою систему.
Изучая это всю ночь, мне таки удалось удалить в пути C:\ProgramData\ папки с вредоносным содержимым (Папка Setup, папка RealtekHD, папка WindowsTask и папка Windows Tasks Service).
и теперь, после запуска системы, диспетчер задач больше не закрывается автоматически, блокнот с файлом hosts и сама папка ProgramData, но я всё равно заметил, что возможно какие-то команды при запуске Windows всё ещё включаются (но появляется теперь только командная строка).
Увидел похожее обращение на вашем сайте и решил так же воспользоваться такой возможностью.
Прикрепил логи результатов из программы AV_block_remover
Заранее спасибо!
AV_block_remove_2024.05.20-09.23.log
-
От aryanatha
Здравствуйте
Сервер под управлением Windows Server 2012 R2
Заходили на него используя RDP
2 диска зашифровались BitLockerом
Системный диск Битлокером не зашифровали, но часть файлов на нем были зашифрованы
В идеале нужно полностью восстановить систему, но в принципе, самый важный файл на всем компьютере один - это база данных 1С.
Она лежит на незашифрованном диске, и зашифрована отдельно. Размер порядка 10 гб
в приложении логи анализа и да зашифрованный файла Эксель.
файл с вирусом не нашли. требований денег не нашли
возможно заразились после того как дней 5 назад дестоп был с помощью Хамачи подключен в одну локалку с ноутом внука, на котором куча скачанных с тореннnов поломанных игрушек. после этого на декстопе запускался drWebCureIt
и после этого с дестопа по RDP ходил на сервер
прошу помощи
-
От Apotka
Доброго времени суток, 08.04.24 в 00:45 по МСК (судя по дате создания файла записки вымогателей) *.exe файлы не пострадали, под удар попали различные БД 1С, сервис Забота, аудио видео файлы и MS office
Корневой файл заражения нам найти не удалось при ручном поиске, KVRT показал наличие 1 угрозы
В сервисе "крипто шериф" декприптора на наш случай не нашлось,
Следовал инструкции найденной на одном из порталов
Также изучил похожую тему на наш случай на этом форуме
и выполнил сканирование утилитой Farbar Recovery Scan Tool. а также по инструкции по созданию обращения AutoLogger внутри архива report1.log и report2.log
зашифрованные файлы не содержат конфиденциальных данных, находятся в архиве Encripted с таким же паролем, внутри также записка вымогателя
Addition.txt Encripted.zip FRST.txt CollectionLog-2024.04.08-15.34.zip
-
От Berkut1
Причину не знаю. На комп заходил по виндоусовскому удаленному рабочему столу. Ничего не скачивал и не открывал. Кодировка произошла 14.02.2024г. С вымогателями общался через какой-то защищенный чат utox_x86_64. Переписки не осталось. Сегодня установил Касперский стандарт, который нашел и удалил несколько троянов. Пытался сам расшифровать файлы с помощью бесплатных утилит Касперского. Теперь обращаюсь к Вам. Все файлы открываются так:
CHTO_S_EBALOM Ransomware!!!
ATTENTION!
YOUR PERSONAL DECRYPTION ID - YI3G3AShkaayDiguW29orWlSlpKI8dDXd28JnNVQcH8*CHTO_S_EBALOM
At the moment, your system is not protected.
We can fix it and restore your files.
To get started, send 1-2 small files to decrypt them as proof
You can trust us after opening them
2.Do not use free programs to unlock.
OUR CONTACTS:
1) TOX messenger (fast and anonymous)
https://tox.chat/download.html
Install qtox
Press sign up
Create your own name
Press plus
Put there our tox ID:
E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
And add me/write message
2)ICQ - @CHTO_S_EBALOM
3)SKYPE - CHTO_S_EBALOM DECRYPTION
Addition.txt FRST.txt Файлы.rar
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти