Автор
jonikppk
в Помощь в борьбе с шифровальщиками-вымогателями
-
Похожий контент
-
Автор preamble
Приветствую!
Нашел странную директорию по пути C:\Program Files\Client Helper. В директории имелся логотип Steam и явно должен был притворяться его оверлеем.
Проверил через Kaspersky Free, файлы были помещены в карантин (директории потенциально опасных файлов приведены на скриншоте). После этого, поспешил деинсталировать вредоносный софт Client Helper 6.1.6, однако, полагаю, что после подобного стоит перепроверить логи еще раз. Отмечу, что после деинсталяции Kaspersky Free вирусов не диагностирует. Наверное, хотелось бы понять причину попадания вируса в том числе
Помимо этого, в логах не нашел информации об этом, однако, директория была создана 24.11.2024 (к сожалению, сканирование логов устроил после удаления).
Замечу, что я не замечал каких-либо подозрительных изменений в поведении ПК на протяжении всего времени
CollectionLog-2025.03.30-21.11.zip
-
Автор lamer
function fio($id3,$id4)
{
var tx=document.getElementById($id3).value;
var s1=tx.substring(0,44);
var s2=tx.substring(44,64);
var s3=tx.substring(64,85);
var s4=document.getElementById($id4).value;
var s5;
var x=[];
x[1]=s4.split(' ',1);
s4=s4.replace(x[1]+' ','');
x[2]=s4.split(' ',1);
s4=s4.replace(x[2]+' ','');
x[3]=s4;
s5=s1+x[1]+s2+x[2]+s3+x[3]+"';";
alert(s5);
return s5;
}
данная функция не возвращает значение, не пойму по какой причине, alert выдает корректное значение!
Подскажите в чем может быть проблема?
-
Автор Sandynist
Добрый вечер!
Эта заметка посвящается всем тем пользователям, у которых не хватило денег на покупку лицензии для антивируса и они решили воспользоваться бесплатным антивирусным решением.
Предыстория такова: больше недели тому назад один из попавшихся мне на глаза опасных по моему мнению скриптов (шифровальщик RAA) я дважды безуспешно отправил в Лабораторию Касперского на исследования через почту newvirus@kaspersky.com
Оба раза пришёл стандартный ответ авторобота, о том, что файл будет передан на исследование в антивирусную лабораторию. Никакого эффекта это не дало, скрипт, несмотря на свои вредоносные действия, вообще никак не детектировался продуктами Лаборатории Касперского, это было проверено на KTS и на KES10. Естественно срабатывали правила контроля активности, скрипт помещался в слабые ограничения или недоверенные, соответственно никакого шифрования файлов не происходило.
Не удовлетворившись результатом, я обратился на Фейсбуке к одному из сотрудников KL с просьбой проверить номера запросов — [KLAN-4733379059] и [KLAN-4726601605]. После этого свершилось чудо Через день скрипт стал детектироваться как троян дженерик в KTS и на KES он тоже стал удаляться каким-то из компонентов.
В итоге я решил проверить — а как же реагирует на него бесплатная версия Kaspersky Free, а также решил попутно проверить нескольких его антивирусных аналогов, которые распространяются бесплатно.
Итак тестовая среда: Win XP SP3 на VMware Workstation, все антивирусы скачивались, устанавливались и обновлялись, затем была перезагрузка системы, создание точки отката и после этого проверка на противодействие шифровальщику.
1) Kaspersky Free: никакого сопротивления не оказал, файлы оказались зашифрованы.
2) Аваст Free категорически отказался запускаться на виртуальной машине, видимо придётся проводить дополнительное тестирование в реальных условиях
3) Avira Free: никакой реакции на шифровальщика, все файлы зашифрованы.
4) Comodo Free: запускает скрипт в песочнице, никакого шифрования файлов не происходит (естественно у пользователя есть возможность не поверить антивирусу и в следующий раз запустить скрипт без песочницы, но это действие уже оставим на совести пользователя).
Если мне не изменяет мой склероз, то Лаборатория Касперского 3—5 лет тому назад отказалась от технологии песочницы как от слишком затратной и ресурсоёмкой процедуры. Как видим у конкурентов всё работает, причём в бесплатных версиях продуктов.
5) 360 Total Security: скрипт не запустился и ничего не смог зашифровать.
6) NANO Антивирус : из всех испытуемых продуктов задетектировал этот скрипт базами,
что не было для меня сюрпризом, так как неделю назад скрипт проверялся на Вирустотале, там у этого антивируса (одного из очень немногих) был отмечен детект скрипта.
7) Baidu Antivirus 2015: никакой реакции на шифровальщика, всё как у Авиры и Kaspersky Free.
Решил добавить тест на этом антивирусе, хотя не особенно надеялся на какой-то успех — ничем выдающимся Байду не отличился, единственное, что достал всех русскоязычных пользователей своей версией на китайском языке, которая распространяется как при помощи операционной системы (например, если истекла лицензия на текущий антивирус, то Windows 7 первым предлагает загрузить именно Baidu), так и некими злоумышленниками через ссылки и письма.
8) Для полноты эксперимента проверил этот же скрипт на KAV 2017 (то есть платном антивирусе от Лаборатории Касперского), отмечается детектирование, поднимается алерт об опасности.
Теперь меня мучает следующая мысль — насколько оправданно то, что функционал в Kaspersky Free зарезали настолько, что он стал намного хуже, чем его бесплатные конкуренты?
Ведь многие пользователи доверяют бренду Kaspersky Lab, но на самом деле такая «защита» не защищает от самых современных угроз. Пока этот вопрос чисто риторический, я понимаю — программисты хотят есть и кормить свою семью, руководство стремится увеличить прибыли компании, но насколько всё это оправдывает выпуск беззубых антивирусных продуктов?
Update: 31.07.2016
Провёл дополнительное тестирование вредоносного файла на устаревшем продукте для корпоративных пользователей — WKS 6 MP4 (версия 6.0.4.1611). Несмотря на какие-то попытки продукта отреагировать на заражение, все файлы в итоге зашифрованы.
Update: 03.08.2016
Пришла рассылка от партнёра Лаборатории Касперского, как раз в тему:
Ещё немаловажное уточнение — в вирлабе Лаборатории Касперского наконец-то провели работу над ошибками, теперь скрипт-шифровальщик на WKS MP4 сразу же блокируется при запуске с вердиктом Trojan-Ransom.JS.RaaCrypt.e.
Kaspersky Free теперь тоже не даёт запустить этот скрипт, вердикт правда не успел рассмотреть при запуске, поэтому пришлось потом лезть искать в отчётах данное событие.
-
Автор lf1xix
Помогите расшифровать файлы, поймал этот вирус https://www.virustotal.com/ru/file/53bf757dc213d4cd1cc8bb757bb161ea6613636129a45f593830bc93e763802b/analysis/
файл удалён
CollectionLog-2018.06.17-22.22.zip
-
Автор Нуржамал Альмухамедова
Доброго дня!
Я сделал все как по ссылке:
http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]
Коротко о проблеме:
Письмом пришел вирус, который зашифровал все файлы с расширением .*locked(.pdf, .docx, .xlsx, .rar, .zip итд)
На компе стоит Dr.web SS 11.0 - лицензионная корпоративная версия, обращение в тех поддержку Dr.web результатов не дало, цитирую их:
"Расшифровка невозможна из-за криптостойкого алгоритма шифрования. В будущем расшифровка маловероятна, однако, если она появится - мы вам сообщим..." в общем парни Данилова расписались в бессилии перед продуктом, который создавали какие-то дилетанты/обманщики/мошенники
Перерыл весь интернет и ничего не нашел
Надежда только на Вас!
P.S: "Вирус заразил нас 13 сентября 2016 года и по сей день(20.09.16) решение не найдено, файлы для нас очень важны, дошло вплоть до того, что наши юристы готовят судебный иск в адрес ДрВеба..."
CollectionLog-2016.09.19-12.59.zip
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти