Перейти к содержанию

Зловред .id[XXXXXXXX-XXXX].[jabber paybtc@sj.ms].Caley

pioner007
 Share

Рекомендуемые сообщения

pioner007 Новичок

pioner007

Опубликовано
Опубликовано

Словил данного зловреда через RDP на сервере 2008 R2. Kaspersky Endpoint Security 10 for Windows был включен. Утром в Пнд обнаружил не работающий 1С RemoteApp RDP файл, полез смотреть что на сервере и ужаснулся - на моих глазах в папках файлы меняли расширение на .id[XXXXXXXX-XXXX].[jabber paybtc@sj.ms].Caley. Я так в жизни никогда не бегал в серверную) Вырвал 220 из него, тем спас его дальнейшее заражение. Но, все же, часть данных была испорчена.

Что было сделано:

Сразу в инет - и попал на тему из этого топика понял, что у меня такая же беда.

Вынул HDD с сервака и пройдясб по каталогам удалил пакость. (один файл с вирусом предварительно запаковал) потом

Прогнал Kaspersky Virus Removal Tool 2015

При визуальном анализе диска увидел что папка c:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows SP2\

Содержит каталоги и подкаталоги но без единого файла. Выкошено все.

(к сожалению работу надо было возобновлять и сносить все и быстро подымать. Заниматься сбором логов на зараженной полу рабочей (после виря) системы не было времени.)

 

К сожалению не понятны слова модеров и консультантов:

Скорее всего заработали Phobos Ransomware. Расшифровки нет.

 

Пока НЕТ или вообще ЭТО нереально. Поясните пожалуйста.


Заметил что если были "скушаны" архивы больше чем 30мб из них частично можно достать файлы. Просто переименовываем в исходное расширение zip rar 7z делаем восстановление и уже 7z распаковываем (winrar ругается и не может распаковать. 7z распаковывает) Может кому то пригодится. И, да, большие файлы тоже частично он шифрует. Заголовок потерт и конец середина читаема.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Пока НЕТ или вообще ЭТО нереально

Точнее вам ответят в вирлабе.

 

Почитайте:

https://www.bleepingcomputer.com/forums/t/688649/phobos-ransomware-phobos-phoenix-actin-actor-adage-adame-support/

https://id-ransomware.blogspot.com/2017/10/phobos-ransomware.html

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Зловреды в бесплатной игре Super Mario 3: Mario Forever | Блог Касперского
      От KL FC Bot
      Мы часто говорим о том, что не стоит скачивать пиратские версии игр, поскольку в них могут скрываться зловреды. Но угрозу могут представлять не только они. Иногда неприятные сюрпризы могут обнаружиться в изначально бесплатной игре — совсем недавно это произошло с Super Mario 3: Mario Forever. Но рассказываем обо всем по порядку.
      Зловреды в бесплатной игре Super Mario 3: Mario Forever
      Серия игр Super Mario, также известная как Super Mario Bros. или просто Mario, — одна из самых широко известных игровых вселенных. За 38 лет ее существования только в основной серии вышло 24 оригинальных игры плюс десяток ремейков и ремастерингов. А помимо нее также существует семь спин-офф-серий, которые добавляют в общую вселенную Mario еще многие десятки игр. Однако есть у них одна общая черта: все эти игры, за редчайшим исключением, официально выходили только на собственных игровых платформах Nintendo.
      Что же делать, если хочется поиграть в Mario на компьютере? Придется либо скачивать версии настоящих игр, портированные на PC, либо загружать игры, созданные фанатами Mario, что называется, по мотивам. Но следует иметь в виду, что оба варианта — совсем не официальные, на сайте Nintendo их, конечно же, скачать не получится.
      Поэтому поиск дистрибутива часто может завести в весьма сомнительные места, а вместо игры — или вместе с ней — предприимчивые люди могут подсунуть вам что-нибудь вредоносное. Что-то подобное как раз и произошло с бесплатной игрой Super Mario 3: Mario Forever, созданной фанатами Mario. Эксперты обнаружили версии игры, в комплекте с которыми на компьютер жертвы попадали сразу несколько зловредов.
       
      Посмотреть полную статью
    • KL FC Bot
      Как зловред DoubleFinger ворует крипту | Блог Касперского
      От KL FC Bot
      Вокруг криптовалют крутится невероятное количество разнообразных преступных схем — от банальной разводки на биткойны под тем или иным предлогом до грандиозных криптоограблений на сотни миллионов долларов.
      Опасности подстерегают владельцев крипты буквально на каждом шагу. Совсем недавно мы рассказывали про поддельные криптокошельки, которые выглядят и работают совсем как настоящие, но в один не очень прекрасный момент воруют все деньги пользователя. И вот уже наши эксперты обнаружили новую угрозу: сложную атаку, использующую загрузчик DoubleFinger, который приводит с собой друзей — криптостилер GreetingGhoul и, чтобы уж наверняка, троян удаленного доступа Remcos. Но обо всем по порядку.
      Как загрузчик DoubleFinger устанавливает криптостилер GreetingGhoul
      Наши эксперты отдельно отмечают высокий технический уровень этой атаки и ее многоступенчатость — по этой части данная угроза напоминает сложные атаки из категории Advanced Persistant Threat (APT). Заражение DoubleFinger начинается с электронного письма, в которое вложен вредоносный PIF-файл. После того как пользователь открывает это вложение, происходит цепочка событий, которую можно разделить на несколько стадий:
      Стадия 1. Загрузчик DoubleFinger выполняет шелл-код, который загружает с сервиса для обмена изображениями Imgur.com файл в формате PNG. На самом деле это никакая не картинка: в файле в зашифрованном виде содержатся несколько компонентов DoubleFinger, которые используются на следующих стадиях атаки. В том числе — загрузчик второй стадии атаки, легитимный файл java.exe и еще один PNG-файл, который будет использован позднее, на четвертой стадии.
       
      Посмотреть полную статью...
×
×
  • Создать...