Aigir Опубликовано 24 января, 2017 Опубликовано 24 января, 2017 Пришел в письме, внутри архив, в архиве файл с очень длинным названием и двойным расширением xls.hta На данный момент не детектися Касперским и на Virustotal. При запуске файла в пользовательской папке TEMP генерится файл с именем fastdyn (js-скрипт) который в дальнейшем запускается скриптом как ActiveX (new ActiveXObject) командой (wscript //E:jscript %TEMP%\fastdyn) Образцы файлов отправлены в ЛК.
kmscom Опубликовано 24 января, 2017 Опубликовано 24 января, 2017 аккуратно выполните указания в теме «Порядок оформления запроса о помощи».
Aigir Опубликовано 24 января, 2017 Автор Опубликовано 24 января, 2017 Да помощь в общем-то не требуется. Запуск трояна удалось своевременно предотвратить. Я просто посчитал необходимым проинформировать остальных о механизме активации трояна, учитывая что контроль запуска программ во всех официальных версиях KES (кроме последней беты) не позволяет блокировать этот способ запуска.
mastda1 Опубликовано 24 января, 2017 Опубликовано 24 января, 2017 подтверждаю, сегодня пришло письмо пользователю с таким архивом, скрипт был успешно запущен. зашифрованы все файлы ms office. файлы pdf и изображения троян не тронул. расширения у зараженных файлов не изменились. файлы соответственно не открываются. требований злоумышленники не выставили.
kmscom Опубликовано 24 января, 2017 Опубликовано 24 января, 2017 помощь в общем-то не требуется Сообщение от модератора kmscom тема перемещена из раздела Уничтожение вирусов
Aigir Опубликовано 24 января, 2017 Автор Опубликовано 24 января, 2017 помощь в общем-то не требуется Сообщение от модератора kmscom тема перемещена из раздела Уничтожение вирусов судя по сообщению пользователя mastda1, помощь все-таки нужна наверное есть смысл вернуть пост обратно
kmscom Опубликовано 24 января, 2017 Опубликовано 24 января, 2017 судя по сообщению пользователя пользователь, которому нужна помощь, должен Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи». морочить голову, вашими траля-ля, нашим бесценным Консультантам, я не позволю.
Aigir Опубликовано 24 января, 2017 Автор Опубликовано 24 января, 2017 (изменено) если это поможет решению проблемы у пострадавших пользователей, могу приложить запароленый архив с исходными вредоносными файлами вот только файл почем у-то не загружается.. во flash-загрузчике пишет "Ошибка IO", а кнопку простого менеджера загрузки не могу найти Изменено 24 января, 2017 пользователем Aigir
kmscom Опубликовано 24 января, 2017 Опубликовано 24 января, 2017 архив с исходными вредоносными файлами и будете наказаны, за нарушение правил Форума (статья Запрещено, пункт 11), это посерьезней будет, чем нарушение вами правил одного раздела 1
Aigir Опубликовано 24 января, 2017 Автор Опубликовано 24 января, 2017 (изменено) ну ок мне казалось, это могло бы помочь в решении проблемы с расшифровкой файлов у пострадавших пользователей еще раз извиняюсь за беспокойство p.s. при необходимости исходные вредоносные файлы или необходимую инфу можете запросить у аналитиков по инциденту INC000007302186 Изменено 24 января, 2017 пользователем Aigir
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти