-
Похожий контент
-
Автор biden
Столкнулся с достаточно критической проблемой. При запуске компьютера запускается процесс COM surrogate с именем dllhost.exe,который понарастающе нагружает память на 99%, если отключить этот процесс, он запускается снова, потом не включается до определенного момента, потом снова запускается. Я так понимаю, что в процессе работы в компьютере при открытии определенных вещей (каких не выяснил) инициализируется запуск этого процесса, но что то идет не так и он просто нагружает мне память и компьютер умирает. Если компьютер просто включен или на нем работает одна определённая программа, в которой не запускается этот процесс, то и сам процесс соответственно тоже не запускается. Сначала думал, что это майнер поэтому обратился на другую тему, просматривал в журнале событий, вроде чего то критического, из-за чего это может быть, не наблюдал. Можно ли определить из-за чего это всё происходит и как это можно устранить?
-
-
Автор biden
Столкнулся с достаточно критической проблемой. При запуске компьютера запускается процесс COM surrogate с именем dllhost.exe,который нагружает память на 99%, можно без всяких препятствий выключить эту задачу через диспетчер, при этом он запускается снова, снова снимаешь задачу и он на некоторое время затихает, потом запускается снова и так в течение работы компьютера. У меня стоит платный каспер, ничего не нашел, пробовал с доктором вебом, тоже ноль результата и с curelt пробовал и с автономным дефом. Запускал в безопасном режиме, все равно запускается, повреждения через консоль винда не нашла. При этом сам процесс находится в system32 и с сертификатом майка, ничего не блокирует, на все антивирусы могу зайти, диспетчер задач постоянно держу открытым чтобы мониторить. В последнее время ничего не скачивал, что могло привести к таким последствиям. Это что то вредоносное или что то в винде полетело, нужно ли идти на тему по удалению майнера или переустанавливать винду?
Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
-
Автор KL FC Bot
Ransomware-группировка Interlock начала использовать технику ClickFix для проникновения в инфраструктуру своих жертв. В одном из недавних постов мы уже рассказывали об общей идее ClickFix, а сегодня поговорим о конкретном примере использования этой тактики одной из группировок. Исследователи кибербезопасности обнаружили, что Interlock использует поддельную CAPTCHA якобы от Cloudflare на странице, маскирующейся под сайт Advanced IP Scanner — популярного бесплатного сетевого сканера.
Исходя из этого можно предположить, что атаки нацелены на ИТ-специалистов, работающих в потенциально интересующих группировку организациях. Судя по всему, Interlock находится на этапе тестирования новых инструментов, в частности техники ClickFix.
Как Interlock использует ClickFix для распространения вредоносного ПО
Злоумышленники из Interlock заманивают жертву на страницу, адрес которой имитирует адрес сайта Advanced IP Scanner. Описавшие атаку исследователи нашли одну и ту же страницу, размещенную по нескольким адресам в Сети.
При переходе по ссылке пользователь видит извещение о необходимости пройти CAPTCHA, якобы от Cloudflare. В сопутствующем тексте мошенники рассказывают жертве о том, что Cloudflare «помогает компаниям восстановить контроль над своими технологиями». За этим достаточно типичным бизнесовым текстом, скопированным со страницы «Что такое Cloudflare?» настоящего веб-сайта компании, следует указание: нажать сочетание [Win] + [R], затем [Ctrl] + [V] и, наконец, [Enter]. После этой инструкции находятся кнопки Fix it (Исправить проблему) и Retry (Повторить попытку).
Внизу следует объяснение: якобы ресурс, на который пытается войти жертва, должен проверить безопасность соединения.
На практике, когда жертва нажимает кнопку Fix it, в буфер обмена автоматически копируется вредоносная команда
PowerShell. После этого пользователь сам открывает консоль с помощью сочетания клавиш [Win] + [R] и сам же вставляет эту команду через [Ctrl] + [V]. После нажатия [Enter] вредоносная команда выполняется.
В результате выполнения команды на компьютер жертвы загружается 36-мегабайтный файл поддельного установщика PyInstaller,. Для отвлечения внимания жертвы при этом в браузере открывается окно с настоящим сайтом Advanced IP Scanner.
View the full article
-
Автор KL FC Bot
12 мая — Всемирный день борьбы с шифровальщиками. В 2025 году в этот памятный день, учрежденный Интерполом и «Лабораторией Касперского», мы хотим обсудить тенденции, которые прослеживаются в ransomware-инцидентах и служат доказательством того, что с каждым годом идея вести переговоры со злоумышленниками и совершать переводы в криптовалюте становится все хуже.
Низкое качество расшифровщиков
Когда инфраструктура компании зашифрована в результате атаки, бизнес в первую очередь хочет вернуться к нормальной деятельности, как можно быстрее восстановив данные на рабочих станциях и серверах. Из записок вымогателей может сложиться впечатление, что после оплаты компания получит приложение, которое быстро вернет всю информацию на свои места и можно будет практически безболезненно продолжить работу. На практике этого почти никогда не случается.
Во-первых, часть вымогателей просто обманывает своих жертв и вообще не присылает расшифровщик. Такие случаи стали широко известны, например благодаря утечке внутренней переписки вымогателей Black Basta.
Во-вторых, бизнес вымогателей — это шифрование, а не расшифровка, поэтому написанию декрипторов уделяется минимум внимания: они плохо и медленно работают. Может оказаться, что восстановление данных из резервной копии пройдет значительно быстрее, чем восстановление при помощи утилиты злоумышленников. Часто присланные вымогателями расшифровщики сбоят при встрече с экзотическими именами файлов, из-за конфликтов прав доступа или просто без видимой причины и при этом не имеют механизма продолжения расшифровки с того места, где она прервалась. Иногда, из-за некорректной обработки, они просто портят файлы.
В результате образовался целый сегмент ИТ-бизнеса — нормальная расшифровка. Легитимные компании берут полученный от вымогателей сырой расшифровщик и переписывают его так, чтобы он работал нормально. Но быстро найти такую компанию и дождаться улучшенную версию утилиты — опять потери денег и времени.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти