С тегами:

троян

Любые посты за всё время, сначала свежие, с любым рейтингом
Найти посты
сбросить
загрузка...
640
ВНИМАНИЕ! Опасный вирус-шифровальщик для 1С
132 Комментария  

Антивирусная компания "Доктор Веб" сообщила 22 июня 2016 г. о том, что выявлен опасный вирус для 1С:Предприятия – троянец, запускающий шифровальщика-вымогателя.


Троянец распространяется в виде вложения в сообщения электронной почты с темой «У нас сменился БИК банка» и следующим текстом:


Здравствуйте!
У нас сменился БИК банка.
Просим обновить свой классификатор банков.
Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.
Файл - Открыть обработку обновления классификаторов из вложения.
Нажать ДА. Классификатор обновится в автоматическом режиме.
При включенном интернете за 1-2 минуты.

К письму прикреплен файл внешней обработки для программы «1С:Предприятие» с именем ПроверкаАктуальностиКлассификатораБанков.epf. Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами невозможно. Если получатель такого письма последует предложенным инструкциям и откроет этот файл в программе «1С:Предприятие», на экране отобразится диалоговое окно.

Какую бы кнопку ни нажал пользователь, 1C.Drop.1 будет запущен на выполнение, и в окне программы «1С:Предприятие» появится форма с изображением забавных котиков.


В это же самое время троянец начинает свою вредоносную деятельность на компьютере. В первую очередь он ищет в базе 1С контрагентов, для которых заполнены поля с адресом электронной почты, и отправляет по этим адресам письмо с собственной копией. Текст сообщения идентичен приведенному выше. Вместо адреса отправителя троянец использует e-mail, указанный в учетной записи пользователя 1С, а если таковой отсутствует, вместо него подставляется адрес 1cport@mail.ru. В качестве вложения троянец прикрепляет к письму файл внешней обработки с именем ОбновитьБИКБанка.epf, содержащий его копию. Пользователи, попытавшиеся открыть такой файл в приложении 1С, также пострадают от запустившегося на их компьютере шифровальщика, однако эта копия 1C.Drop.1 разошлет по адресам контрагентов поврежденный EPF-файл, который программа «1С:Предприятие» уже не сможет открыть. 1C.Drop.1 поддерживает работу с базами следующих конфигураций 1С:


"Управление торговлей, редакция 11.1"

"Управление торговлей (базовая), редакция 11.1"

"Управление торговлей, редакция 11.2"

"Управление торговлей (базовая), редакция 11.2"

"Бухгалтерия предприятия, редакция 3.0"

"Бухгалтерия предприятия (базовая), редакция 3.0"

"1С:Комплексная автоматизация 2.0"


После завершения рассылки 1C.Drop.1 извлекает из своих ресурсов, сохраняет на диск и запускает троянца-шифровальщика Trojan.Encoder.567. Этот опасный энкодер, имеющий несколько модификаций, шифрует хранящиеся на дисках зараженного компьютера файлы и требует выкуп за их расшифровку. К сожалению, в настоящее время специалисты компании «Доктор Веб» не располагают инструментарием для расшифровки файлов, поврежденных этой версией Trojan.Encoder.567, поэтому пользователям следует проявлять особую бдительность и не открывать полученные по электронной почте файлы в приложении «1С:Предприятие», даже если в качестве адреса отправителя значится адрес одного из известных получателю контрагентов.


http://1c.ru/news/info.jsp?id=21537

https://news.drweb.ru/show/?i=10034&c=5&lng=ru&p=0

Показать полностью
52
Троянчик от GameNet (Black Desert) и как его удалить. Решение.
71 Комментарий  

Может кто и выкладывал как победить этого трояна - не видела.

Появляется ли он после дальнейшей игры в БДДДО - не знаю, но скорее всего да, обновы жеж. Но если  вы решили вычистить все остатки то...


Взялась я за это смело, начну со своих неудач.


1) Открываем диспетчер задач, завершаем процессы Thorn.exe и ThornHelper.exe.

Как мы видим - они появляются снова.

Открываем пуск - в поиск пишем cmd. И в терминале прописываем следующее

Троянчик от GameNet (Black Desert) и как его удалить. Решение. Троян, GameNet, Black Desert, Чистка, Вопрос и ответ, длиннопост

2) Как мы видим - мыло мочало начинаем сначала.

Открываем путь файла, заходим в папку, пробуем удалить - естественно нас оправляют лесом.

Показать полностью 2
3270
Всем кто пострадал от трояна-шифровальщика TeslaCrypt .
122 Комментария  
Всем кто пострадал от трояна-шифровальщика TeslaCrypt . хакеры, шифрование, троян, TeslaCrypt

Издание Bleeping Computer сообщает о том, что создатели знаменитого трояна TeslaCrypt, который зашифровывал файлы на атакованных машинах, опубликовали мастер-ключ для разблокировки и закрыли проект. 

Источник: https://habrahabr.ru/company/pt/blog/301226/

БМ выдавал какие то чаты.

468
Новый вирус криптовымогатель "Locky"
161 Комментарий  

Исследователями в области информационной безопасности был обнаружен новый тип ransomwave — вредоносной программы, шифрующей пользовательские файлы и требующей выкуп в bitcoin. Новый криптовымогатель, который сами создатели назвали «locky», распространяется не совсем стандартным для подобного ПО способом — при помощи макроса в Word-документах.


По словам специалиста по информационной безопасности Лоуренса Абрамса, криптовымогатель маскируется под выставленный пользователю счет и приходит жертве по почте.


Прикрепленный файл имеет имя вида invoice_J-17105013.doc, а при его открытии пользователь увидит только фарш из символов и сообщение о том, что «если текст не читабелен, включите макросы».

Новый вирус криптовымогатель "Locky" вирус, троян, ransomwave, внимание, длиннопост, locky, habrahabr
Показать полностью 2
5416
Наш препод по информационной безопасности
181 Комментарий  
Наш препод по информационной безопасности
1207
Троян с доставкой
151 Комментарий  
Показать полностью 1 Производственное предприятие, утро понедельника, звонок секретарю:

М: Здравствуйте, я из ООО Ромашка, у меня вопрос по акту сверки,
М: подскажите телефон вашей бухгалтерии или переключите.
С: Переключаю.

Бухгалтерия

М: Здравствуйте, я Иванов Сергей Юрьевич, из налоговой инспекции,
М: мы решили провести у вас выездную проверку 20 августа.
Бух: Но у нас уже была проверка 3 месяца назад.
М: Это внеочередная. Продиктуйте адрес электронной почты,
М: отправлю вам информацию, какие документы нужно
М: подготовить и предоставить.
Бух: Может переключить вас на главбуха?
М: Давайте не будем тратить ваше и мое время,
М: продиктуйте адрес, я отправлю информацию,
М: а если что не понятно вы потом нам перезвоните.
М: Телефон вы знаете, он есть на нашем сайте.
Бух: Хорошо, xxxxx@xxxx.ru
М: Не вешайте трубку, сейчас отправлю вам письмо.
Бух: Ок
М: Пришло письмо?
Бух: Да
М: Там ссылка в конце, жмите.
Бух: Нажала, ничего не происходит.
Бух: А вот вижу архив и в нем файл. Что-то файл не открывается,
Бух: нажала и ничего.
М: Наверно у вас не установлена какая-то программа,
М: перешлите письмо коллегам пусть они попробуют открыть.
М: Если будут какие вопросы, звоните, телефон на нашем сайте.
М: Всего доброго.

Бухгалтерия, 5-ю минутами позже.

Бух: Оль, мне сейчас из налоговой звонили, сказали будет проверка,
Бух: прислали письмо со списком необходимых документов,
Бух: но что-то не открывается.
Бух: Попробуй у себя открыть, я тебе отправила.
Оля: Нажала, ничего не происходит. Может отправить Наташе?

Секретарь, через 10 минут, звонок.

М: Здравствуйте, а у вас есть отдел снабжения?
С: Да, что вы хотели?
М: Я генеральный директор ООО Ромашка, мы новая молодая фирма,
М: хотим с вами сотрудничать. Переключите пожалуйста.
С: Переключаю

Снабжение:

М: Здравствуйте, я Иванов Сергей Юрьевич из ООО Ромашка,
М: мы новая молодая фирма, очень хотим с вами сотрудничать.
М: У нас широкий выбор комплектующих и материалов
М: по очень низким ценам. Давайте адрес вашей электронки,
М: пришлю каталог.
Сотр: yyyy@xxxx.ru
М: Подождите, не вешайте трубку, сейчас отправлю вам письмо.
М: Отправил, пришло?
Сотр: Да, вижу.
М: Там есть ссылка, откройте, там архив, а в нем каталог.
Сотр: Скачал, открыл, но ничего не вижу.
М: Поробуйте еще раз
Сотр: Щелкнул еще раз, ничего не происходит
М: Наверно у вас не установлена какая-то программа,
М: попробуйте переслать коллегам и открыть у них.
М: Надеюсь на взаимовыгодное сотрудничество, всего доброго.

Сисадмин, через 30 минут.

Звонок из бухгалтерии:
Бух: У меня перестали открываться документы, у Оли и Наташи тоже.
Бух: Опять вы там что-то делаете, а нам срочно работать надо.
Админ: Расскажите подробнее что случилось и что вы делали перед этим.
Бух: Ничего не делала, работала как обычно.
Бух: Вот сейчас нужен документ, а он не открывается.
Бух: Перезагрузила компьютер, думала поможет, но нет.
Бух: И почта не работает, нам из налоговой важный
Бух: документ прислали, не можем открыть.
Бух: Если через 5 минут не заработает, я буду жаловаться,
Бух: за что вам только деньги платят (бросает трубку).

Звонок из снабжения:
Сотр: Договор не открывается, а 10 минут назад все работало.
Админ: Расскажите что вы делали перед этим.
Сотр: Пытался открыть каталог, присланный по почте.

Как вы уже наверное догадались, это троян. Троян-шифровщик, представляющий собой скрипт с двойным расширением в архиве:
Документы для налоговой проверки(и еще куча букв и пробелов).doc.js
Каталог (куча пробелов).doc.js

Скрипт скачивает из интернета утилиту для шифрования, находит и шифрует все доступные файлы по маске doc, xls, ppt, docx, xlsx, jpg и т.д.
Далее на рабочем столе оставляет файл с инструкциями. И e-mail вымогателей (на gmail.com) для переговоров о выкупе ключа дешифровки.

В итоге шифрованные документы были удалены и восстановлены из резервной копии, ущерба нет.
Троян вобщем-то не нов, его вариации гуляют в сети не один год, а вот способ распространения удивил.
238
Когда обнаружен троян
И антивирус не в силах тебе помочь...
16 Комментариев  
Когда обнаружен троян И антивирус не в силах тебе помочь...
348
План «Троян»: 300 атомных бомб на СССР
102 Комментария  
Показать полностью 1 План «Троян»: 300 атомных бомб на СССР
78
Троян, ворующий предметы из инвентаря Steam
45 Комментариев  
Показать полностью 1 Троян, ворующий предметы из инвентаря Steam
1702
Предостережение! Воры по всюду!!!
ссылка на пост - http://pikabu.ru/story/_1550803
237 Комментариев  
Предостережение! Воры по всюду!!! ссылка на пост - <a href="http://pikabu.ru/story/vot_on_pleer_moey_mechtyi__1550803">http://pikabu.ru/story/_1550803</a>
55
Вирусы
Внимание: длиннопост!
27 Комментариев  
Показать полностью 1 Вирусы Внимание: длиннопост!
239
Троян
V1.1.2
13 Комментариев  
Троян V1.1.2
1517
Как Файрволл борется с Троянами
56 Комментариев  
Как Файрволл борется с Троянами
158
вроде как мой первый пост, так что не судите строго
33 Комментария  
mail.ru такой mail.ru...

вы в курсе, что майл.ру пихает во все свои приложения целый букет собственных троянов? вот как то по дурости поставил восьмую аську, в процессе установки отключил весь майловский шлак. а через пару часов на рабочем столе появился файл "w1", и куча ярлыков, типа "Интернет",
"Одноклассники" и еще какая то шняга - особо не вникал, сразу грохнул. все бы ничего, вот только это дерьмо стало возникать постоянно. в фоне, без палева, сами собой ставятся: майловское подобие браузера, майловский updater и защитник. еще в диспетчере нашел несколько левых процессов, жрущих оперативку и дико грузящих сеть, грохнул и их.

как это лечить? ставим халявную утилиту Malwarebytes и не паримся. сканим, она находит левые ключи реестра, благополучно удаляет их. а для надежности желательно так же проделать все описанное ниже:

[1]
1/ в Registry (Start/Run/regedit) нужно найти все случаи mail.ru
2/ в Registry (Start/Run/regedit) нужно найти все случаи mailru
3/ в Registry (Start/Run/regedit) нужно найти все случаи sputnik
— и все их удалить вручную.

Потом на partition (диске) c: с помощью любого поисковика найти все директории ("фолдеры") и файлы, в название которых входят эти же слова

NB: когда ищете, не забудьте искать и в c:Documents and Settings, и в c:Program Files

Всех их нужно удалить.
[2]
В Сервисах (Control Panel/Administrative ../services/ найти guard.mail.ru и удалить.

[3]
В msconfig удалить guard.mail.ru или mail.ru

[4]
С рабочего стола убрать иконку "поиск в интернете"

И ни в коем случае не тащите на свой винт всякую дрянь с майла.


Пожалуйста, войдите в аккаунт или зарегистрируйтесь