Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 5 6 7 8 9 10 11 12 13 14 15 ... 1728 След.
[ Закрыто] Снова обращение. Не могу убить Yandex.Sovetnik
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

deldirex %SystemDrive%\USERS\KKKNAT\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]
delref {DBC80044-A445-435B-BC74-9C25C1C588A9}\[CLSID]
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDJGDGDCFMDKFICBIFBNAACKNBLBKHHOC%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27
regt 28
regt 29

deltmp
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref 752073A1-23F2-4396-85F0-8FDB879ED0ED\[CLSID]
delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {F0D63F85-37EC-4097-B30D-61B4A8917118}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref TBS\[SERVICE]
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\AEPROAM.DLL
delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemRoot%\SYSWOW64\WPCCPL.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref G:\SETUP.EXE
delref G:\HISUITEDOWNLOADER.EXE
delref G:\ILINKER.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
REvil Ransomware поразил 200 компаний в результате атаки на цепочку поставок MSP
Массовая атака REvil затрагивает нескольких поставщиков управляемых услуг и их клиентов через атаку цепочки поставок Kaseya, о которой сообщается.

Начиная с полудня июля, REvil, также известная как Sodinokibi, нацелена на MSP с тысячами клиентов с помощью атаки на цепочку поставок Kaseya VSA.

В настоящее время существует восемь известных крупных поставщиков услуг мобильной связи, которые пострадали в результате этой атаки на цепочку поставок.

Kaseya VSA - это облачная платформа MSP, которая позволяет поставщикам выполнять управление исправлениями и мониторинг клиентов для своих клиентов.

Атака REvil распространяется через автообновление

Как сообщили BleepingComputer атаки на MSP, по всей видимости, являются атакой на цепочку поставок через Kaseya VSA.

В результате обновления, Kaseya VSA поместит файл agent.crt в папку c: \ kworking, которая распространяется как обновление под названием «Kaseya VSA Agent Hot-fix».

Затем запускается команда PowerShell для декодирования файла agent.crt с помощью допустимой команды Windows certutil.exe и извлечения файла agent.exe в ту же папку.

[IMG WIDTH=1236 HEIGHT=233]https://www.bleepstatic.com/images/news/ransomware/attacks/k/kaseya/powershell-command.png[/IMG]

Agent.exe подписан с использованием сертификата от «PB03 TRANSPORT LTD» и включает встроенные файлы «MsMpEng.exe» и «mpsvc.dll», при этом DLL является шифровальщиком REvil.

MsMPEng.exe - это более старая версия законного исполняемого файла Microsoft Defender, используемого в качестве LOLBin для запуска DLL и шифрования устройства с помощью доверенного исполняемого файла.

Некоторые образцы добавляют ключи реестра Windows и изменения конфигурации зараженных компьютеров.

Например, образец [VirusTotal], установленный BleepingComputer, добавляет ключ HKLM \ SOFTWARE \ Wow6432Node \ BlackLivesMatter для хранения информации о конфигурации атаки.

Специалист Intel Виталий Кремез сообщил BleepingComputer, что другой образец настраивает устройство для запуска REvil Safe Mode с паролем по умолчанию «DTrump4ever».

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   "AutoAdminLogon"="1"
   "DefaultUserName"="[account_name]"
   "DefaultPassword"="DTrump4ever"

Fabian Wosar выпустил расшифрованную копию конфигурации шифратора REvil / Sodin. Этот файл содержит подробную информацию о полезной нагрузке программы-вымогателя, включая списки уничтоженных процессов, компоненты из белого списка и используемые домены управления и контроля.

IOC (SHA256):

agent.exe d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e­9f1e

mpsvc.dll (загруженная DLL) e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a546­6ea2

mpsvc.dll (загруженная DLL) 8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae7­59dd

MSP - важная цель для кибергрупп, поскольку они предлагают простой канал для заражения многих компаний посредством единственного взлома, однако атаки требуют глубоких знаний о MSP и используемом ими программном обеспечении.

REvil имеет аффилированное лицо, хорошо разбирающееся в технологиях, используемых MSP, поскольку у них есть долгая история нацеливания на эти компании и программное обеспечение, обычно используемое ими.

В июне 2019 года филиал REvil нацелился на MSP через удаленный рабочий стол, а затем использовал их программное обеспечение для управления, чтобы отправить установщиков программ-вымогателей на все конечные точки, которыми они управляют.

https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-200-companies-in-msp-supply-chain-attack/
https://app.any.run/tasks/d02a2a64-750a-47fb-a310-178d1f7276a1#
https://www.bleepingcomputer.com/news/security/kaseya-was-fixing-zero-day-just-as-revil-ransomware-sprung-their-attack/
https://www.bleepingcomputer.com/news/security/revil-ransomware-asks-70-million-to-decrypt-all-kaseya-attack-victims/
https://news.sophos.com/en-us/2021/07/04/independence-day-revil-uses-supply-chain-exploit-to-attack-hundreds-of-businesses/
Не могу обновить программу.
Цитата
Вадим Курт написал:
При попытке обновления программы через Live Installer до последней версии,
а просто, через обновление версии до актуальной не работает? через интерфейс самого антивируса, без liveinstaller
поговорить о uVS, Carberp, планете Земля
скрытый майнер в процессе lsass
https://www.cyberforum.ru/viruses/thread2855713.html

из норм режима видим:

из под winpe
D:[B]\WINDOWS\SYSTEM32\DRIVERS\TDEX1U.SYS[/B]
a variant of Win32/Agent.ABZW.gen
Win64:DangerousSig [Trj]

Действительна, однако сертификат УСТАРЕЛ
HT Srl
HKLM\uvs_system\ControlSet001\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B}\ImagePath
system32\drivers\tDEx1u.sys
тип запуска: На этапе загрузки (0)
Cryakl/CryLock - этапы "большого пути"
[QUOTE]Павел Михайловский написал:
Добрый день, столкнулся с такой же проблемой, CryLock/v{2.0.0.0} - кто знает как победить проблему, расшифровать файлы, количество от 1 Гб до 20, в зависимости от того насколько это сложно, есть просто пара файлов очень нужных.
Может ли кто помочь за соответствующую оплату, спасибо
Несколько зараженных файлов здесь
[URL=https://disk.yandex.ru/d/fhpQ2GoaE8FRcQ]https://disk.yandex.ru/d/fhpQ2GoaE8FRcQ[/URL] [/QUOTE]
да, версия CryLock/v{2.0.0.0}, на текущий момент без расшифровки.
сделайте в зараженной системе лог  ESETlogcollector, чтобы по возможности получить доп информацию, по тому каким образом злоумышленники проникли в сеть
https://forum.esetnod32.ru/forum9/topic10671/
+
если система еще не очищена, добавьте образ автозапуска системы в uVS
Файлы зашифрованы с расширением .LIZARD, DMR/Trojan.Encoder.32508/Filecoder.Flamingo
[QUOTE]Ярослав Самоделов написал:
Постараюсь в ближайшее время сделать. Единственное настолько накрыло пк, что даже войти не могу. [/QUOTE]

Вирлаб ESET детектирует данный шифратор как Filecoder.[B]Flamingo [/B]

03.07.2021 20:39:46;Защита файловой системы в реальном времени;файл;G:\DATA\shifr\encode_files\DMR\100\#ReadThis.TXT;Win32/Filecoder.Flamingo

[B]Flamingo [/B] .SUMMON (prefix: [%EmailAddress%][id=%hex%{8}])
[B] .LIZARD (prefix: [%EmailAddress%][id=%hex%{8}])[/B]

попробуйте, при наличие лицензии на продукт ESET обратиться в support@esetnod32.ru
поговорить о uVS, Carberp, планете Земля
[B]Атака REvil распространяется через автообновление[/B]

Как сообщили BleepingComputer, атаки на MSP, по всей видимости, являются атакой на цепочку поставок через Kaseya VSA.

По словам Хаммонда, Kaseya VSA поместит файл agent.crt в папку c: \ kworking, которая распространяется как обновление под названием «Kaseya VSA Agent Hot-fix».

Затем запускается команда PowerShell для декодирования файла agent.crt с помощью допустимой команды Windows certutil.exe и извлечения файла agent.exe в ту же папку.

[IMG WIDTH=1236 HEIGHT=233]https://www.bleepstatic.com/images/news/ransomware/attacks/k/kaseya/powershell-command.png[/IMG]

Agent.exe подписан с использованием сертификата от «PB03 TRANSPORT LTD» и включает встроенные файлы «MsMpEng.exe» и «mpsvc.dll», при этом DLL является шифровальщиком REvil.

MsMPEng.exe - это более старая версия законного исполняемого файла Microsoft Defender, используемого в качестве LOLBin для запуска DLL и шифрования устройства с помощью доверенного исполняемого файла.

[QUOTE]Тенденции злоумышленников, как правило, приходят и уходят. Но одна популярная техника, которую мы наблюдаем в настоящее время, - это использование живых двоичных файлов, или «LoLBins». LoLBins используются различными субъектами в сочетании с бесфайловыми вредоносными программами и законными облачными сервисами, чтобы повысить шансы остаться незамеченными в организации, как правило, на этапах атаки после эксплуатации. [/QUOTE]

https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-200-companies-in-msp-supply-chain-attack/

вот кстати пример, как REvil отработал:

agent.exe доставлен в зашифрованном виде, распаковался легитимной программой, и ей видимо запустился.
после запуска созданы два новых файла, один из них легитимный, компонент WindowsDefender, а вот dll, которую он загрузил уже вредоносная с шифратором от revil

ниже анализ с app.any.run

[B]ComandLine: "C:\Users\admin\AppData\Local\Temp\MsMpEng.exe"[/B]

Version Information:
Company:
Microsoft Corporation
Description:
Antimalware Service Executable
Version:
4.5.0218.0
[B]Renames files like Ransomware[/B]
name:
C:\Users\admin\Desktop\popphones.jpg
newname:
c:\users\admin\desktop\popphones.jpg.4soa3
[B]Loads dropped or rewritten executable[/B]
image:
C:\Users\admin\AppData\Local\Temp\mpsvc.dll
message:
Dropped from process
[B]Application was dropped or rewritten from another process[/B]
image:
C:\Users\admin\AppData\Local\Temp\MsMpEng.exe
message:
Dropped from process
Creates files like Ransomware instruction
name:
C:\users\admin\desktop\4soa3-readme.txt
[B]Uses NETSH.EXE for network configuration[/B]

cmdline:
netsh advfirewall firewall set rule group="Network Discovery" new enable=Yes
image:
C:\Windows\system32\netsh.exe
[B]Dropped object may contain TOR URL's[/B]
string:
b) Open our website: http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/C2D97495C4BA3647
При обнаружении вредоносного файла приходят три письма на эл. почту, как настроить чтобы приходило одно?
напишите в техническую поддержку support@esetnod32.ru
поговорить о uVS, Carberp, планете Земля
как вариант использовать функцию filtered

[QUOTE]Полное имя C:\PROGRAM FILES (X86)\TRANSMISSION\TRANSMISSION-DAEMON.EXE
Имя файла                   TRANSMISSION-DAEMON.EXE
Тек. статус                 АКТИВНЫЙ сервис в автозапуске Фильтр
                         
Удовлетворяет критериям    
[B]SIGN.NOT.IN WHITE LIST (ССЫЛКА ~ \IMAGEPATH)(1) AND (ЦИФР. ПОДПИСЬ ~ ДЕЙСТВИТЕЛЬНА)(1) AND (ЦИФР. ПОДПИСЬ !~ WDSL)(1) [auto (0)][/B]
FLOCK (FILTERED)            (ПРОИЗВОДИТЕЛЬ ~ TRANSMISSION PROJECT)(1) [filtered (0)]
                         
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПРОВЕРЕННЫЙ сервис в автозапуске
Процесс                     32-х битный
File_Id                     5EC7A34817F000
Linker                      14.25
Размер                      1558232 байт
Создан                      05.12.2020 в 21:56:44
Изменен                     22.05.2020 в 07:05:52
                         
TimeStamp                   22.05.2020 в 10:02:48
EntryPoint                  +
OS Version                  6.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
[B]Цифр. подпись Действительна, подписано SignPath Foundation
                          [/B]
Оригинальное имя            transmission-qt.exe
Версия файла                3.00 (bb6b5a062e)
Описание                    Transmission Qt Client
Производитель               Transmission Project
                         
Доп. информация             на момент обновления списка
pid = 3932                  NT AUTHORITY\СИСТЕМА
CmdLine                     "C:\Program Files (x86)\Transmission\transmission-daemon.exe" -run-instance
Процесс создан              23:11:58 [2021.06.24]
С момента создания          00:21:25
CPU                         0,09%
CPU (1 core)                0,34%
parentid = 744              C:\WINDOWS\SYSTEM32\SERVICES.EXE
SHA1                        E2325342A56423D628556549C56B7F4435AD276E
MD5                         7F8E96F120678508C58810F8A77F603B
                         
Ссылки на объект          
Ссылка                      HKLM\System\CurrentControlSet\Services\Transmission\ImagePat­h
ImagePath                   "C:\Program Files (x86)\Transmission\transmission-daemon.exe" -run-instance
DisplayName                 Transmission Daemon
Description                 Background BitTorrent service accessible with Qt client, web UI, or remote CLI tool.
Transmission                тип запуска: Авто (2)
Изменен                     03.05.2021 в 21:29:35
                         
Образы                      EXE и DLL
TRANSMISSION-DAEMON.EXE     C:\PROGRAM FILES (X86)\TRANSMISSION
                         
[B]Загруженные DLL НЕИЗВЕСТНЫЕ[/B]
LIBCRYPTO-1_1.DLL           C:\PROGRAM FILES (X86)\TRANSMISSION
LIBCURL.DLL                 C:\PROGRAM FILES (X86)\TRANSMISSION
LIBSSL-1_1.DLL              C:\PROGRAM FILES (X86)\TRANSMISSION
QT5CORE.DLL                 C:\PROGRAM FILES (X86)\TRANSMISSION
QT5DBUS.DLL                 C:\PROGRAM FILES (X86)\TRANSMISSION
QT5GUI.DLL                  C:\PROGRAM FILES (X86)\TRANSMISSION
QT5NETWORK.DLL              C:\PROGRAM FILES (X86)\TRANSMISSION
QT5WIDGETS.DLL              C:\PROGRAM FILES (X86)\TRANSMISSION
QT5WINEXTRAS.DLL            C:\PROGRAM FILES (X86)\TRANSMISSION
QWINDOWS.DLL                C:\PROGRAM FILES (X86)\TRANSMISSION\PLATFORMS
ZLIB.DLL                    C:\PROGRAM FILES (X86)\TRANSMISSION
                         
Загруженные DLL             ИЗВЕСТНЫЕ и ПРОВЕРЕННЫЕ[/QUOTE]
поговорить о uVS, Carberp, планете Земля
[QUOTE]RP55 RP55 написал:
Просто кто-то в очередной раз сэкономил.
Эффектный менеджмент.[/QUOTE]вывод неверный. просто отсюда следует, что даже белая цифровая - не гарантия, что файл безопасен, нужна проверка по хэшу и сигнатуре. (плюс конечно, анализ поведения - но это уже для специалистов, и песочниц, типа app.any.run)

--------
пока что встречается сейчас ситуация часто, когда основные исполняемые модули  - имеют чистую цифровую, а dll которые загружаются были (пропатчены) без цифровых, на примере майнера FLOCK
Пред. 1 ... 5 6 7 8 9 10 11 12 13 14 15 ... 1728 След.