Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

HEUR:Trojan-Ransom.Win32.Generic

Zafod
 Поделиться

Рекомендуемые сообщения

Zafod

Zafod

Опубликовано
Опубликовано

Произошло шифрование файлом Locker.exe из под учётной записи администратора домена admin$ (создан вирусом). Время когда учётка админа (admin$) была создана удалено из логов (из логов пропали сутки). На сервере установлен Kaspersky Endpoint Security под управлением KSC, вирус был обнаружен, скопирован в карантин, удалён, но данные всё равно зашифрованы. Машина с KSC так же зашифрована и не стартует.

1.zip

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)
6 часов назад, Zafod сказал:

Произошло шифрование файлом Locker.exe

Хэш этого файла можете сравнить с:

9AD387A2B1D5002147AAAFD1EF89ABCEDC29AF31   ?

Можете предоставить данный файл в архиве с паролем virus через облачный диск, по ссылке в ЛС?

 

Так понимаю, зашифровано больше устройств чем эти два.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Zafod

Zafod

Опубликовано
  • Автор
Опубликовано
10 часов назад, safety сказал:

Можете предоставить данный файл в архиве с паролем virus через облачный диск, по ссылке в ЛС?

Как вытащить файл из карантина KES?

10 часов назад, safety сказал:

Так понимаю, зашифровано больше устройств чем эти два.

Верно.

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)
4 часа назад, Zafod сказал:

Как вытащить файл из карантина KES?

зайти в функцию карантина, и восстановить файл в папку (обратите внимание, куда будет восстановлен файл, скорее всего у KES нет функции куда восстановить указанный файл, а только в ту папку, откуда он был удален). Возможно, на него будет реагировать антивирус, поэтому защиту надо временно отключить. После архивации файла и загрузки архива на облачный диск, можно опять этот файл  отправить в "расход". И включить защиту.

 

проверил. Хэш другой, по сравнению со случаем от 03.08

AA4B6A653F3F5C2B66D9F5E580FFEFB94C860145

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано

При наличие лицензии на продукты Касперского лучше сделать запрос в техническую поддержку, хотя с расшифровкой, скорее всего, не смогут помочь по данному типу шифровальщика.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vltr
      PDM:Trojan.Win32.Generic
      Автор vltr
      Доброго времени суток. Несколько дней назад после установки игры Симс начала вылезать плашка об обнаружении "PDM:Trojan.Win32.Generic" в определённой папке. Был просканирован компьютер. Нежелательные файлы удалены. В том числе и тот, в котором видел троян. Его касперский сам сразу удалял. Но проблема в том, что после лечения трояна и перезапуска пк плашка снова появляется. Троян сам восстанавливается или программа почему - то до сих пор удалённый файл видит и ругается? Никак не могу понять. Прошу помочь с данной ситуацией 

    • nikolai.ilyin
      Ransom.Win32.Generic
      Автор nikolai.ilyin
      Зашифровали всю сеть 
      virus.7z Addition.txt
    • GlibZabiv
      Восстанавливающийся PDM:Trojan.Win32.Generic
      Автор GlibZabiv
      При фоновой проверке Kaspersky Internet Security нашел PDM:Trojan.Win32.Generic, после лечения и следующего включения компьютера он восстанавливается. Помогите, пожалуйста, его удалить.
      CollectionLog-2025.07.23-12.02.zip
    • AleksandrNeiman
      [РЕШЕНО] PDM:Trojan.WiPDM:Trojan.Win32.Generic востанавливается после лечения и перезагрузкиn32.Generic востанавливается после лечения и перезагрузки
      Автор AleksandrNeiman
      Windows 11 PRO 64
    • Skorpionio
      [РЕШЕНО] PDM:Trojan.Win32.Generic востанавливается после лечения и перезагрузки
      Автор Skorpionio
      CollectionLog-2025.07.28-14.18.zipХотел скачать fallout 4, вместе с ним скачал вирус. Начал лечение с перезагрузкой, после включения касперский начал жаловаться на файл, который расположен по этому пути в c:\users\иван\appdata\local\temp\2zvuszgbodcz5kzzrq7msdo5orn. После повторной перезагрузки проблема повторяется, такой же путь и файл. Запускал в безопасном режиме и проводил полную проверку, касперский ничего не нашел, также этот файл в папке temp я тоже не находил. В мониторинге активности подобные логи:

      Событие: Обнаружен вредоносный объект
      Программа: setup
      Пользователь: DESKTOP-SFFOTKN\Иван
      Тип пользователя: Активный пользователь
      Компонент: Мониторинг активности
      Описание результата: Обнаружено
      Тип: Троянская программа
      Название: PDM:Trojan.Win32.Generic
      Степень угрозы: Высокая
      Тип объекта: Процесс
      Путь к объекту: c:\users\иван\appdata\local\temp\2zvuszgbodcz5kzzrq7msdo5orn
      Имя объекта: setup.exe
      Причина: Базы
      Дата выпуска баз: Сегодня, 28.07.2025 4:49:00

      Событие: Процесс завершен
      Программа: setup
      Пользователь: DESKTOP-SFFOTKN\Иван
      Тип пользователя: Активный пользователь
      Компонент: Мониторинг активности
      Описание результата: Завершен
      Тип: Троянская программа
      Название: PDM:Trojan.Win32.Generic
      Степень угрозы: Высокая
      Тип объекта: Процесс
      Путь к объекту: C:\Users\Иван\AppData\Local\Temp\2zvUszGBODCz5KZzRQ7mSDo5Orn
      Имя объекта: setup.exe

      Событие: Объект удален
      Программа: setup
      Пользователь: DESKTOP-SFFOTKN\Иван
      Тип пользователя: Активный пользователь
      Компонент: Мониторинг активности
      Описание результата: Удалено
      Тип: Троянская программа
      Название: PDM:Trojan.Win32.Generic
      Степень угрозы: Высокая
      Тип объекта: Процесс
      Путь к объекту: c:\users\иван\appdata\local\temp\2zvuszgbodcz5kzzrq7msdo5orn
      Имя объекта: setup.exe
×
×
  • Создать...