-
Похожий контент
-
Автор Andrei93
Здравствуйте.
Я выполняю powershell скрипт с помощью планировщика задач от системы
1. Скрипт подписан сертификатом.
2. Скрипт выполняет установку msi плагина для Outlook.
KSC считает, что это троян.
- По какой причине ?
- Как правильно разрешить мою проблему ?
Kasperskiy Endpoint Security: 12.3.0.493
-
Автор maks_b
Добрый день.
Настраиваю блокировку доступа к сайтам, сделал тестовое правило для блокировки доступа к сайту, например к ok.ru. Сайт блокируется все норм, но при включении этого правила перестает соединяться через SSL Network Extender. И любое правило запрета доступа через веб-контроль блокирует соединение через SSL Network Extender. Ошибка на скрине. Если правило отключить, то все работает. Подскажите, как исправить?
Версия Каспера KES 12.6., KSC тоже последней версии.
-
Автор KL FC Bot
Мы внимательно следим за изменениями тактик злоумышленников. Недавно эксперты Глобального центра исследования и анализа угроз Kaspersky GReAT обратили внимание, что после атак шифровальщика-вымогателя Fog преступники публикуют не только украденные данные жертв, но и IP-адреса пострадавших компьютеров. Ранее мы не замечали такой тактики у шифровальщиков. В данной статье рассказываем, почему это важно и какова цель этого приема.
Кто такие Fog и чем они известны
С тех пор как бизнес шифровальщиков-вымогателей стал превращаться в полноценную индустрию, у злоумышленников наблюдается четко оформленное разделение труда. Сейчас создатели шифровальщика и люди, стоящие непосредственно за атаками, чаще всего никак не связаны — одни разрабатывают платформу для шантажа, а другие просто покупают услуги по модели Ransomware-as-a-Service (RaaS).
Fog Ransomware — одна из таких платформ, впервые замеченная в начале 2024 года. Их шифровальщики используются для атак на компьютеры под управлением Windows и Linux. Как это обычно происходит в последние годы, данные на атакованных машинах не только шифруются, но и закачиваются на серверы злоумышленников, а затем, если жертва отказывается платить, публикуются на Tor-сайте.
Атаки с использованием Fog проводились против компаний, работающих в сферах образования, финансов и организации отдыха. Часто для проникновения в инфраструктуру жертвы преступники использовали ранее утекшие учетные данные для доступа через VPN.
View the full article
-
Автор Taker1993
Добрый день. Борюсь с этим майнером уже приличное время, пробовал разные антивирусы и думал что он пропал, так как используя несколько разных антивирусов от основной части майнера я вроде избавился, но заметил ещё тогда что много ошибок в системе 0xc0000017 при исполнении команд dism в командной строке (которую я вчера исправил), при обновлении всех компонентов windows и т.п. (пробовал откатывать удаляя по гайдам папку с апдейтами используя утилиты для активации обнов - но безрезультатно), также есть ошибка с безопасностью, в начале была проблема с целостностью ядра и я удалил два мешающих файла исправив проблему, но ошибка с этим так до конца и не решилась и он пишет про отсутствие TPM - а конкретно NET HELPMSG 2182 Problem with BITS; также есть проблема с невозможностью запуска диспетчера устройств и других подобных окон и некоторых команд в комбинации Win+R. Почему я думал, что избавился от майнера полностью: грузить систему перестало на постоянке и сильных нагрузок не было, а с остальным думал уже ничего не сделаешь и нужно переустанавливать Windows, оставил на потом, так как есть немало сторонних лицензионных программ,, которые шли вместе с ноутбуком и я боялся к ним потерять доступ, ну и так как не было точек восстановления и если даже они были я не могу к ним получить доступ, а оказывается всё-таки нет майнер на месте.
Несколько месяцев спустя заметил, а конкретно вчера: что изменилась возможность администрирования и я не могу получить доступ к системным файлам, не мог удалить, изменять, переименовывать файлы которые вызывали нарушение целостности ядра (xusb21.sys и STTub30.sys), но по итогу через стороннюю утилиту я их удалил (один из них STTub30.sys я потом воcстановил найдя на github). Вернул также сегодня в ночь через реестр доступ к DISM и сделал успешный запуск и восстановление по команде Dism /Online /Cleanup-Image /RestoreHealth, а SFC и прежде работала, но это ничего не поменяло; вообще все последние именно операции делал по одному гайду и там после восстановления DISM советовали воспользоваться Farbar Recovery Scan Tool 64-бит, но наткнулся поздновато и это не помогло, так как нужен составленный fixlist.txt, да и Fabar раз 6 выдал ошибку при сканировании bcdedit.exe (в процессе написания текста сделал повторное сканирование c Fabar и ошибок было уже штуки 3-4 bcdedit.exe, а результаты этого сканирования прикрепил в качестве файлов Addition.txt и FRST.txt вдруг пригодятся).
Сегодня заметил, что даже с включённым лицензионным Касперычем майнер снова поменял и ограничил что-то там в брандмауэре Windows - было уведомление (понимаю, что он уже давно в исключениях, но всё же). Ни Kaspersky Virus Removal Tool, ни Dr.Web Cruelt! ни нашли ничего, вероятно майнер добавил их уже в исключения, так как при удалении основных компонентов майнера я уже пользовался ими раньше, но до этого я пользовался AV block Remover и он удалял майнер, но спустя время он появляется снова.
Был бы очень рад если бы получилось решить данную проблему, Windows лицензионный шедший вместе с ноутом переустанавливать всё же не хочется и я не уверен что и там не будет ошибок в процессе.
Заранее всем откликвнушимся большое спасибо и с пасхой!
CollectionLog-2025.04.20-14.19.zip Addition.txt FRST.txt
-
Автор ragnar007
Всем привет.
Настраиваю правила в сетевом экране консоли управления Kaspersky Sercurity Center 15.1 для Kaspersky Endpoint Security 12.8.
Не совсем удобно писать много правил, хочу написать скрипт для генерации правил.
Ознакомился с документацией:
https://support.kaspersky.ru/kes12/245114
В принципе все понятно за исключением формата записи ip-адреса.
Вот отрывок из экспортированного xml-файла с правилами:
<key name="LocalAddresses"> <key name="0000"> <key name="IP"> <key name="V6"> <tQWORD name="Hi">0</tQWORD> <tQWORD name="Lo">0</tQWORD> <tDWORD name="Zone">0</tDWORD> <tSTRING name="ZoneStr"></tSTRING> </key> <tBYTE name="Version">4</tBYTE> <tDWORD name="V4">170852718</tDWORD> <tBYTE name="Mask">32</tBYTE> </key> <key name="AddressIP"> </key> <tSTRING name="Address"></tSTRING> </key> В данном случае ip -адрес указан в ключе <tDWORD name="V4">170852718</tDWORD>
Вопрос собственно в том что это за формат записи ip-адреса и как его перевести в привычный вид?
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти