Перейти к содержанию

Рекомендуемые сообщения

После открытия письма, произошло заражение компьютера. Вирус зашифровал все файлы *doc, *xls, *rar и т.д. От вируса избавился, а вот от последствий пока безуспешно. Если есть возможность, помогите пожалуйста с дешифровщиком!

Addition.txt

AdwCleanerS2.txt

FRST.txt

hijackthis.log

virusinfo_autoquarantine.zip

virusinfo_syscheck.htm

virusinfo_syscheck.xml

virusinfo_syscheck.zip

virusinfo_syscure.htm

virusinfo_syscure.xml

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Ekaterina\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','');
 QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\655A6976-73AD-40AB-BC9B-05022946D92F.exe','');
 QuarantineFile('C:\Users\Ekaterina\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\54FDB08F-5520-44FC-9673-98C28568D29C.exe','');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','');
 QuarantineFile('C:\Users\Ekaterina\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 QuarantineFile('C:\Users\Ekaterina\AppData\Roaming\WJUCZ.exe','');
 QuarantineFile('C:\Program Files (x86)\punto.bat','');
 DeleteService('2B6A2B381');
 DeleteService('bd0001');
 DeleteService('bd0002');
 DeleteService('BDMWrench_x64');
 DeleteService('BDSafeBrowser');
 DeleteService('QMUdisk');
 DeleteService('TS888x64');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\QMUdisk64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\TS888x64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\2B6A2B381.sys','32');
 DeleteFile('C:\Program Files (x86)\punto.bat','32');
 DeleteFile('C:\Users\Ekaterina\AppData\Roaming\WJUCZ.exe','32');
 DeleteFile('C:\Windows\Tasks\WJUCZ.job','32');
 DeleteFile('C:\Windows\system32\Tasks\754a8056-3fa6-471b-ab0c-83f6ebb77db9-1-6','64');
 DeleteFile('C:\Windows\system32\Tasks\754a8056-3fa6-471b-ab0c-83f6ebb77db9-6','64');
 DeleteFile('C:\Windows\system32\Tasks\754a8056-3fa6-471b-ab0c-83f6ebb77db9-7','64');
 DeleteFile('C:\Users\Ekaterina\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\extsetup','64');
 DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','64');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','32');
 DeleteFile('C:\Users\Ekaterina\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\54FDB08F-5520-44FC-9673-98C28568D29C.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\12111700-F76E-4D04-A7C1-5AC299C09966','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\655A6976-73AD-40AB-BC9B-05022946D92F','64');
 DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\655A6976-73AD-40AB-BC9B-05022946D92F.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\A12111700-F76E-4D04-A7C1-5AC299C09966','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\A655A6976-73AD-40AB-BC9B-05022946D92F','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\KRBUUS\KRB Updater Utility Service','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SafeBrowser','64');
 DeleteFile('C:\Windows\system32\Tasks\SafeBrowser','64');
 DeleteFile('C:\Windows\system32\Tasks\WJUCZ','64');
 DeleteFile('C:\Users\Ekaterina\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

В письме пришло.

 

Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

вoйти в интeрнeт.exe - not-a-virus:Downloader.Win32.LMN.afw

New potentially risk software was found in this file. It's detection will be included in the next update. Thank you for your help.

krbupdater-utility.exe - Trojan.Win32.ExtenBro.bmm

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.com http://www.viruslist.com"

ClearLNK-05.07.2016_12-33.log

CollectionLog-2016.07.05-13.04.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-3294240474-2717639177-893809422-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=91072394_hao_pg
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
HKU\S-1-5-21-3294240474-2717639177-893809422-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0b7130c2e58f7a0e2a76b9b51caa0536&text={searchTerms}
HKU\S-1-5-21-3294240474-2717639177-893809422-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://letani.ru/?utm_source=startpage03&utm_content=d0e80e93385627aee1261bdf778ed4c5&utm_term=86BB509677B130E6E6FF3F48CCB6815B
HKU\S-1-5-21-3294240474-2717639177-893809422-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0b7130c2e58f7a0e2a76b9b51caa0536&text={searchTerms}
HKU\S-1-5-21-3294240474-2717639177-893809422-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3294240474-2717639177-893809422-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0b7130c2e58f7a0e2a76b9b51caa0536&text={searchTerms}
SearchScopes: HKU\S-1-5-21-3294240474-2717639177-893809422-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0b7130c2e58f7a0e2a76b9b51caa0536&text=
SearchScopes: HKU\S-1-5-21-3294240474-2717639177-893809422-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541&q={searchTerms}
BHO-x32: No Name -> {68DE54BD-49C8-4982-BF5E-895C3124931A} -> No File
DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0b7130c2e58f7a0e2a76b9b51caa0536&text= <==== ATTENTION
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541
CHR Extension: (Smart Browser) - C:\Users\Ekaterina\AppData\Local\Google\Chrome\User Data\Default\Extensions\iabeihobmhlgpkcgjiloemdbofjbdcic [2016-06-15]
OPR Extension: (No Name) - C:\Users\Ekaterina\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhnpmdabjgpimmnbmhefncbghknfegog [2016-02-08]
OPR Extension: (Smart Browser) - C:\Users\Ekaterina\AppData\Roaming\Opera Software\Opera Stable\Extensions\iabeihobmhlgpkcgjiloemdbofjbdcic [2016-06-15]
OPR Extension: (No Name) - C:\Users\Ekaterina\AppData\Roaming\Opera Software\Opera Stable\Extensions\iblenkmcolcdonmlfknbpbgjebabcoae [2016-06-10]
OPR Extension: (No Name) - C:\Users\Ekaterina\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-05-23]
OPR Extension: (No Name) - C:\Users\Ekaterina\AppData\Roaming\Opera Software\Opera Stable\Extensions\nlipoenfbbikpbjkfpfillcgkoblgpmj [2016-04-21]
2016-07-01 18:33 - 2016-07-01 18:33 - 03148854 _____ C:\Users\Ekaterina\AppData\Roaming\04E2C51A04E2C51A.bmp
2016-07-01 18:33 - 2016-07-01 18:33 - 00002731 _____ C:\Users\Public\Desktop\README1.txt
2016-07-01 14:56 - 2016-07-01 14:56 - 00002731 _____ C:\README9.txt
2016-07-01 14:56 - 2016-07-01 14:56 - 00002731 _____ C:\README8.txt
2016-07-01 14:56 - 2016-07-01 14:56 - 00002731 _____ C:\README7.txt
2016-07-01 14:56 - 2016-07-01 14:56 - 00002731 _____ C:\README6.txt
2016-07-01 14:56 - 2016-07-01 14:56 - 00002731 _____ C:\README5.txt
2016-07-01 14:56 - 2016-07-01 14:56 - 00002731 _____ C:\README4.txt
2016-07-01 14:56 - 2016-07-01 14:56 - 00002731 _____ C:\README3.txt
2016-07-01 14:56 - 2016-07-01 14:56 - 00002731 _____ C:\README2.txt
2016-07-01 14:56 - 2016-07-01 14:56 - 00002731 _____ C:\README10.txt
2016-07-01 14:46 - 2016-07-01 19:49 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-07-01 14:46 - 2016-07-01 19:49 - 00000000 __SHD C:\ProgramData\Windows
2016-07-05 12:20 - 2015-06-04 10:39 - 00000000 ____D C:\Users\Все пользователи\KRB Updater Utility
2016-07-05 12:20 - 2015-06-04 10:39 - 00000000 ____D C:\ProgramData\KRB Updater Utility
2014-12-25 15:04 - 2014-12-25 15:04 - 0000113 ____H () C:\Program Files (x86)\diary.bat
2014-12-25 15:04 - 2014-04-24 18:17 - 0291128 ____H (ООО Яндекс) C:\Program Files (x86)\diаry.bаt.exe
2014-12-25 15:04 - 2014-12-25 15:04 - 0000115 ____H () C:\Program Files (x86)\layouts.bat
2014-12-25 15:04 - 2014-04-24 18:17 - 0034104 ____H (ООО Яндекс) C:\Program Files (x86)\lаyоuts.bаt.exe
2014-12-25 15:04 - 2014-12-25 15:04 - 0000110 ____H () C:\Program Files (x86)\ps.bat
2014-12-25 15:04 - 2014-04-24 18:17 - 1590584 ____H (ООО Яндекс) C:\Program Files (x86)\puntо.bаt.exe
2014-12-25 15:04 - 2014-12-25 15:04 - 0000116 ____H () C:\Program Files (x86)\WelcomeToPunto.bat
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
Task: {F49391CB-266B-48B8-A95F-313BEA5AE525} - \Microsoft\Windows\12111700-F76E-4D04-A7C1-5AC299C09966 -> No File <==== ATTENTION
Task: {C00F7209-A2C1-4F24-BEDA-0900183EEC50} - \extsetup -> No File <==== ATTENTION
Task: {95E40E24-F2DE-42E1-8FFB-84440F466639} - \SafeBrowser -> No File <==== ATTENTION
Task: {64553FE1-748B-48A2-BB0A-EE2A4D7B8E3A} - \754a8056-3fa6-471b-ab0c-83f6ebb77db9-7 -> No File <==== ATTENTION
Task: {6F71C3E9-4386-414A-BC5E-760BD61415CB} - \KRB Updater Utility -> No File <==== ATTENTION
Task: {5BCD193D-A7D3-4DFC-AD80-02D6886BDA5D} - \Microsoft\Windows\A655A6976-73AD-40AB-BC9B-05022946D92F -> No File <==== ATTENTION
Task: {04A8562F-01CC-415F-9DA7-61B422432B27} - \Microsoft\Windows\655A6976-73AD-40AB-BC9B-05022946D92F -> No File <==== ATTENTION
Task: {089CD9C9-14E2-4CFA-A8ED-C6EB6EC202BB} - \Microsoft\Windows\A12111700-F76E-4D04-A7C1-5AC299C09966 -> No File <==== ATTENTION
Task: {1AAB69EA-02E0-4FF5-AFF8-916F610C73B1} - \754a8056-3fa6-471b-ab0c-83f6ebb77db9-6 -> No File <==== ATTENTION
Task: {2F407D3C-8707-4BBC-A035-89CAD4DADABD} - \Microsoft\Windows\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Task: {33EBEF2D-58A2-4BA6-932F-738D679B156A} - \754a8056-3fa6-471b-ab0c-83f6ebb77db9-1-6 -> No File <==== ATTENTION
Task: {3DCE282A-C2D2-49A7-9F5F-A2AEF06BA365} - \Microsoft\Windows\SafeBrowser -> No File <==== ATTENTION
Task: {44241574-1F45-4CA5-B083-C4097D87D448} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Tetradb
      Автор Tetradb
      Здравствуйте.
      Зашифровались все файлы, прошу помощи по расшифровке файлов если есть возможно.
      29.11.2022.rar
    • Kataomi_3232
      Автор Kataomi_3232
      Здравствуйте. После установки игры с неизвестного источника моим родственником, браузер Google Chrome начал 2-3 раза в день вылетать, при попытке зайти в настройки и например удалить историю он стал выдавать - некоторые настройки были изменены сторонним приложением, браузер вернул их по умолчанию. Еще что я заметил, это то, что окошко где находятся расширения после всех этих манипуляций всегда самостоятельно переходили в режим разработчика. Но буквально 30 минут назад на моих глаза из ни откуда появилось расширение torrent scanner, оказывается оно все это время существовало и во встроенном браузере от windows (microsoft edge) Благодаря беседе с одним модератором на форуме касперского, он сообщил мне что стоит обратиться сюда и что расширение установилось локально.
      CollectionLog-2025.05.06-22.58.zip
    • Hotei
      Автор Hotei
      Появляется после удаления расширение в бразуре "T-cahback", которое я никогда не скачивал. Касперский при проверке ничего не нашёл.
      При этом браузер может раз в 3-4 часа вылететь, иногда с какой-нибудь неизвестной ошибкой. 
    • KL FC Bot
      Автор KL FC Bot
      Наши исследователи обнаружили в магазине Open VSX несколько поддельных расширений, адресованных разработчикам на Solidity, с вредоносной нагрузкой внутри. Как минимум одна компания стала жертвой злоумышленников, распространяющих эти расширения, и потеряла криптоактивы на сумму около $500 000.
      Об угрозах, связанных с распространением зловредов в open-source-репозиториях, известно давно. Несмотря на это, пользователи редакторов кода с поддержкой искусственного интеллекта — таких как Cursor и Windsurf — вынуждены использовать магазин open-source-решений Open VSX, поскольку другого источника необходимых расширений для этих платформ у них нет.
      Однако в Open VSX расширения не проходят такие же тщательные проверки, как в Visual Studio Code Marketplace, и это дает злоумышленникам возможность распространять под видом легитимных решений зловредное ПО. В этом посте мы расскажем подробности об исследованных экспертами «Лаборатории Касперского» вредоносных расширениях из Open VSX и о том, как предотвратить подобные инциденты в вашей организации.
      Чем рискуют пользователи расширений из Open VSX
      В июне 2025 года блокчейн-разработчик, у которого злоумышленники похитили криптоактивы на сумму около $500 000, обратился к нашим экспертам с просьбой расследовать инцидент. В процессе изучения образа диска с зараженной системой исследователи обратили внимание на компонент расширения Solidity Language для среды разработки Cursor AI, который запускал PowerShell-скрипт — явный признак наличия вредоносной активности.

      Это расширение было установлено из магазина Open VSX, где оно имело десятки тысяч загрузок (предположительно такое количество объясняется накруткой). Согласно описанию, оно якобы помогало оптимизировать работу с кодом на языке для смарт-контрактов Solidity. Однако анализ расширения показал, что никакой полезной функциональности у него не было вообще. Установившие его разработчики посчитали невыполнение заявленных функций багом, не стали разбираться с ним сразу и продолжили работать.
       
      View the full article
    • Fantamax
      Автор Fantamax
      Добрый день. Сегодня в 6 утра вирус поменял расширение у многих файлов и зашифровал. 
      Похожая тема была, но у меня есть бекапы некоторых файлов, можно ли расшифровать (файл бекапа тоже прикрепил в архив):
       
      Addition.txt FRST.txt files.rar
×
×
  • Создать...