Споймал wallet virus вымогатель
Автор
Павел Лапушкин
в Помощь в борьбе с шифровальщиками-вымогателями
-
Похожий контент
-
Автор Paul123
Здравствуйте. Суть такая. Пару дней назад друг начал жаловаться на интернет, ничего не работает, только контакт и яндекс.
Сначала думали, роскомнадзор, или антидроновая тревога.
Но!
1. Любые другие устройства, подключённые к тому же самому роутеру видят как обычно все сайты.
2. На компьютере же доступно только Авито, ВБ, яндекс Простихоспади, Гугл впадает в бесконечную загрузку, и Контакт. Так как будто вайтлист работает.
3. Все остальные сайты впадают в вечную загрузку, в том числе и Касперский (иначе бы мы пролечили давно, увы).
4. Никаких вымогательных картинок не возникало.
5. Мы скачали на мобильник Kaspersky Virus Removal Tool, загрузили на компьютер, прогнали проверку, ничего не нашлось.
6. Мы попытались до этого скачать обычный касперский, но установщик входил в бесконечную загрузку. Установщик касперского так же через мобильник скачали. (нужен дистрибутив!! свежий, обновлённый, но я такого что то не нахожу)
7. В какой то момент подумали, раз мобильник через вайфай, подключённый к тому же самому роутеру, пашет, значит надо найти свисток и подключиь его к компьютеру. Заработало! Все сайты грузит всё как обычно. Тоесть дело только в сетевой карте!
8. Мы кое как скачали через свисток большого касперского и, ничего. Он запнулся на 99%. Что ему надо непонятно. До этого надо было всю установку над ним стоять и прожимать повторить каждый раз, когда он запинался при загрузке, тут на 99% такой опции не было.
9. Ок, свисток работает, работал... На следующий день с ним по словам друга произошло то же, что и с обычной сетевой картой... Это точно вирус. Сайты так же не грузят.
Я сейчас качаю Kaspersky Rescue Disk, незнаю, поможет ли это.
Друг грешит на игру, которую относительно недавно поставил, но она достаточно старая, а с момента установки прошло несколько дней.
10. Мы посносили всё, что было установлено за последние дней 10. Но если вирус уже в системе, то это не поможет.
Мы грешили на обновление Виндовс, но тогда бы и у других было бы то же.
Виндовс 10, обновлялся ли он, не помню, если честно.
В общем сейчас пытаюсь оффлайн пролечить компьютер Kaspersky Rescue Disk. Kaspersky Virus Removal Tool не помогает.
CollectionLog-2025.07.12-19.05.zip
-
Автор norma.ekb
Добрый день.
Открыли архив, полученный по почте и после этого все файлы на ПК изменились на тип FONL. Прошу помочь с расшифровкой.
Файл шифровальщик сохранен (из полученного архива).
Файлы для примера и сообщение вымогателей .rar FRST.rar
-
Автор Antchernov
Здравствуйте. Словили шифровальщик через RDP, файл шифровальщика удалось найти на рабочем столе учетки Администратора. Зашифровать успел не все, но важным документам и базам 1С досталось. Осложняется все тем, что админ приходящий и он в текущей ситуации стал "очень занят". Прошу помочь с лечением системы и по возможности с расшифровкой, т.к. неизвестно есть ли бэкапы. Систему не лечили никак, логи FRST, зашифрованные фалы и записку прилагаю. Есть нешифрованные версии некоторых файлов, если понадобятся.
Addition.txt FRST.txt Zersrv.zip
-
Автор KL FC Bot
Поучительный инцидент с атакой ransomware-группировки Akira наверняка на несколько лет станет любимым примером ИБ-специалистов. Злоумышленники зашифровали компьютеры организации, воспользовавшись ее видеокамерой. Хотя звучит это очень странно, в развитии событий есть логика, которую легко применить к другой организации и другим устройствам в ее инфраструктуре.
Анатомия атаки
Злоумышленники проникли в сеть, проэксплуатировав уязвимость в публично доступном приложении и получив возможность выполнять команды на зараженном хосте. Они воспользовались этим, чтобы запустить популярное приложение дистанционного доступа AnyDesk, а затем инициировали с этого компьютера RDP-сессию для доступа к файл-серверу организации. На сервере они попытались запустить свой шифровальщик, но EDR-система, установленная в компании, опознала вредоносное ПО и поместила его в карантин. Увы, это не остановило атакующих.
Не имея возможности запустить свой шифровальщик на серверах и обычных компьютерах, которые находятся под защитой EDR, атакующие запустили сканирование внутренней сети и обнаружили в ней сетевую видеокамеру. В отчете команды по расследованию инцидента это устройство постоянно называют веб-камерой (webcam), но мы все же полагаем, что речь не о камере ноутбука или смартфона, а о независимом сетевом устройстве, применяемом для видеонаблюдения.
Камера стала прекрасной мишенью для атакующих по нескольким причинам:
устройство давно не обновлялось, его прошивка содержала уязвимости, позволяющие дистанционно скомпрометировать камеру и получить на ней права на запуск оболочки (remote shell); камера работает под управлением облегченной сборки Linux, на которой можно запускать обычные исполнимые файлы этой ОС, например Linux-шифровальщик, имеющийся в арсенале Akira; это специализированное устройство не имело (и, скорее всего, не могло иметь) ни агента EDR, ни других защитных средств, которые могли бы определить вредоносную активность. Злоумышленники смогли установить свое вредоносное ПО на эту камеру и зашифровать серверы организации прямо с нее.
View the full article
-
Автор Blers
При запуске хром постоянно вылезют окна от касперски рекламных приложений, not a virus или как-либо еще, с различными путями к файлам, удалить или вылечить невозможно, полявляются вновь. путь лежит в основном через AppData\Local\Google\Chrome\User Data\Default\Service Worker\ScriptCache Либо иногда через Local
MD5 объекта: D82056A40D41ECB01EB22B2420D93B57 not-a-virus:HEUR:AdWare.JS.ExtRedirect.gen
Провела анализ через FRST но не в состоянии самостоятельно прописать фикс тк файлов очень много. Прошу помочь с фиксом.
ПС: куки и кэш очищен, иные пути лечения и удаления не помогли. Все плагины в браузере удалены, браузер переустановлен. Роутер новый, настройки соединения обновляли.
FRST.txt Addition.txt
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти