Перейти к содержанию

Запрос офлайн помощи по исследованию малвари. Москва и МО

roter563

Автор roter563
в Беседка

 Поделиться

Рекомендуемые сообщения

roter563

roter563

Опубликовано
Опубликовано

Здравствуйте! У меня необычный запрос для форума, но надеюсь, что тему не удалят.

 

У моих знакомых заинфицировались все девайсы: wi-fi роутеры, телефоны\планшеты на андроиде, айфон, компьютеры на винде. Результатом работы малвари является убийство батареи, устройства не включаются, не реагируют на зарядку.

 

Ситуация: Пользователь установил себе на андроид телефон приложение, которое якобы занимается исследованием использования интернет-трафика и выплачивает за это деньги. Установлено было из недоверенного источника (но ссылки на инсталлер увы нет). Через какое-то время все устройства в квартире, подключенные к вафле, начали греться и жрать батарею, а потом и вовсе перестали включаться. У некоторых вздулась батарея. Умерло несколько роутеров, перестали включаться. Когда тот самый пользователь подключился к вафле в другой квартире, там умерло два андроид телефона, роутур и ПК на винде (также по батарее).

 

Что делали: скан имеющимся антвирусом (пользователь не помнит, каким) - не помогло. Перепрошивали андроиды - не помогло, устройства умирали с чистой прошивкой после выхода в интернет. Один из роутеров был в аренде у провайдера - приехали пострудники, подтвердили, что восстановлению не подлежит, заменили (новым роутером пока не пользуются). Айфон был на расширенной гарантии - устройство признали неподдающимся починке и заменили.

 

Сюр-бонус: Пользователю на почту приходят сообщения от авторов (?) малвари. Например, пользователь решил заклеить камеру у еще не умершего телефона - пришло сообщение с просьбой отклеить. Адрес\домен отправителя пользователь не помнит, как и пароль от почты, а сессия есть только на одном из умерших девайсов.

 

Запрос: К сожалению, онлайн нет ничего, чем можно было бы поделиться: ссылка на инсталлер утеряна, прогнать сканер на еще живых девайсах пользователи не могут, потому что боятся подключать к сети. Есть много умерших девайсов и один инфицированный планшет, который еще можно включить. Пользователь готов подвезти живые\мертвые девайсы заинтересованному энтузиасту для исследования (Москва и область). Я нахожусь далеко от места проишествия + нет уверенности, что хватит скилов разобраться.

 

Дисклеймер: я представляю, что вы подумали, у меня было то же. Но уже есть несколько подтверждений от доверенных третьих сторон, что девайсы умирают, и это реально.
 

Сообщение от модератора Mark D. Pearlstone
Тема перемещена из раздела "Помощь в удалении вирусов".

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Imrtl
      Малварь
      Автор Imrtl
      Fixlog.txt
       
      Так же, дало установить малвар, вот отчёт о проверке:
      Malwarebytes Отчет о проверке 2024-03-19 091547.txt


      И где-то раз в 10-15 минут всплывает окно

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • M_X
      Запрос на помощь в расшифровке файлов
      Автор M_X
      Здравствуйте. Зашифровали файлы... 
      Скорее всего проникли через RDP...
      Сам шифровальщик не обнаружал....
      Установленный антивирус - не отработал и был также зашифрован (symantec) .. После установил MalWarebytes.
      FRST.txt Addition.txt Desktop.rar
    • Fobos888
      Запрос на помощь в расшифровке *WORM
      Автор Fobos888
      День добрый. Поймали вирус шифровщик (*WORM) на сервере. заблокировались все данные, в том числе 1с. бэкапы хранились на том же компьютере, но на другом диске. по сети частично заразились еще 2 компьютера. прошу помочь в расшифровке. файл с требованием с сервера, только там он сформировался. а зашифрованные данные со второго зараженного компьютера. логи тоже с зараженного пк
      FRST.txt Virus.rar
    • Owl_hero
      Оповещения запросов контроля устройств
      Автор Owl_hero
      Добрый день. 
      Возникла необходимость включить запрет на usb-накопители, и хотели сделать так, что запрос от пользователя падал не в KSC в запросы, а падал на почту админу. А то в панели не всегда находишься.
      В шаблоне оповещения почту указывали, он не приходила. В инструкции по изменению шаблона сообщения оповещения написано, что на почту отправляет в случае если не развернут KSC или с ним нет связи.
      Есть ли возможность сделать оповещение на почту?
      Спасибо.
    • Annatvenn
      Вирус спамит запросами через SearchApp.exe
      Автор Annatvenn
      Заметил странный трафик исходящий от разных приложений, при детальном изучении пакетов и адресов, выяснил что это что то вроде парсинга сайтов на предмет уязвимостей или брута, адреса чаще всего ведут на формы авторизаций разных сайтов и тому подобное.
      Запросы шли от всех запущенных браузеров. 
      обнаружил проблему после запуска приложения Fiddler Classic, из-за того что не настроил сертификат (вроде бы я так это понимаю) и просто весь трафик начал блокироваться спам пошел с удвоенной силой и я его заметил, возможно особенность работы вируса, насколько могу судить он перебирает порты если не удалось установить соединение.
      После закрытия процессов всех браузеров спам начал идти через процесс SearchApp

      Через данное приложение спам уходит партиями каждый раз когда я нажимаю на поиск в строке поиска windows.

      CollectionLog-2024.04.06-02.26.zip
×
×
  • Создать...