Troyan Generic Kryptik

[Medved1337]

Приветствую.

Уважаемая Техподдержка! С недавнего времени наша организация подвергается атаке. На почтовые ящики приходят письма, некоторые пользователи открыли приложенные .doc / .pdf документы и тем самым скачали вредоносные файлы. Далее по всей ЛВС началось распространение. Участились взломы личной почты и социальных сетей. Вирус не только сливает пароли, но и жестко убивает некоторые службы, к примеру Workstation (а это критично). Атаки подвергаются все операционные системы Windows.

Продукт Endpoint обнаруживает не все опасные сигнатуры, некоторые вообще игнорирует.

 

• C:\Windows\System32 (exe + dll + dat + ini)
• C:\Windows\SysWOW64 (exe + dll + dat + ini)
• C:\Windows\temp (tmp)

Во все выше перечисленные директории генерируются файлы с рандомными символами/цифрами с расширениями .exe
Кроме того создаются многочисленные службы с именами генерируемых вредоносов

 

Строгое предупреждение от модератора Mark D. Pearlstone

Не публикуйте вредоносные и потенциально вредоносные файлы и ссылки на них на форуме.

[Mark D. Pearlstone]

У нас тут не сотрудники техподдержки.

Порядок оформления запроса о помощи

[regist]

@Medved1337,

1) Здесь помогает не тех. поддержка, но пароль мне скинуть можете

2) Для чего вы плодите дубли тем? Вы ещё на оф. форуме несколько тем создали. Там скорее сотрудники ЛК ответят.

3) Если цель просто пролечить систему, то выполняйте Порядок оформления запроса о помощи. Если хотите разобраться с проблемой и чтобы её иследовали, то лучше продолжайте на оф. форуме.

[Medved1337]

@Medved1337,

1) Здесь помогает не тех. поддержка, но пароль мне скинуть можете

2) Для чего вы плодите дубли тем? Вы ещё на оф. форуме несколько тем создали. Там скорее сотрудники ЛК ответят.

3) Если цель просто пролечить систему, то выполняйте Порядок оформления запроса о помощи. Если хотите разобраться с проблемой и чтобы её иследовали, то лучше продолжайте на оф. форуме.

1) Отправил пароль личным сообщением.

2) С официального форума отправили прямой ссылкой на ваше сообщество, прямо в этот раздел. Попросил модераторов оф. форума удалить топик с их сообщества, надеюсь тут нам помогут.

Изменено 22 августа, 2017 пользователем Medved1337

[regist]

1) Ничего не получал.

2) С лечением конечно поможем, а вот добавить сигнатуры на файлы, на которые нет детекта это не в нашей власти. С этим к аналитикам, можно и через тех. поддержку.

но для того чтобы смогли помочь нужны логи, карты таро - не предлагать!

Как собрать логи ссылка выше.

[Medved1337]

1) Ничего не получал.

2) С лечением конечно поможем, а вот добавить сигнатуры на файлы, на которые нет детекта это не в нашей власти. С этим к аналитикам, можно и через тех. поддержку.

но для того чтобы смогли помочь нужны логи, карты таро - не предлагать!

Как собрать логи ссылка выше.

утром обязательно скину с нескольких зараженных объектов.

[thyrex]

Только помните: мешать в одной теме логи с разных компьютеров не нужно. Для каждого компьютера отдельная тема.

[regist]

 

 

утром обязательно скину с нескольких зараженных объектов.

зараженные объекты не нужны, нужны логи! Без логов помочь не сможем. И как заметили в предыдущем посте, для каждой заражённой машины создайте отдельную тему.

А карантин уже посмотрел. У вас банковский троянец, так что со здоровой машины срочно меняйте все пароли.

Если интересно описание вашего трояна, то вот http://www.securitylab.ru/news/454620.php

[Medved1337]

Интересно как быть, когда компьютеров в сети более 300 ?

[regist]

@Medved1337, вот именно поэтому и предложил вначале продолжить разбираться на оф. форуме. Но вижу ответ вам https://forum.kaspersky.com/index.php?/topic/376160-troyan-attackspamhack-etc/&tab=comments#comment-2727365

Ещё вариант уже написал выше, написать в https://companyaccount.kaspersky.com/

А также послать им архивы с вирусом, чтобы они добавили детекты. Если лечить будет уже установленный антивирус, а не мы тут вручную, то сами понимаете эффективность будет выше.

Так что советую пока написать туда. Если захотите продолжить тут, мы не откажем, просто повторюсь для каждого компьютера нужно будет завести отдельную тему и выполнять ряд инструкций.