VIRY.CZ

Ahoj,

.nesa je výtvor STOP (djvu) ransomwaru a podle tohoto webu (zatím) není možné soubory dešifrovat
https://www.nomoreransom.org/crypto-sheriff.php?lang=cs

Ahoj,

jen doplnim. Tohle byl infostealer a byly ti ukradeny prihlasovaci udaje (ulozena hesla a cookies) z prohlizecu. I po reinstalu velice doporucuju zmenit vsechna hesla, ktera mas ulozena v prohlizecich. Cracky na tento "malirsky" software (vis, o cem mluvim) byva posledni dobou plny podobneho ...

Ahoj,

jen doplnim. Tohle byl infostealer a byly ti ukradeny prihlasovaci udaje (ulozena hesla a cookies) z prohlizecu. I po reinstalu velice doporucuju zmenit vsechna hesla, ktera mas ulozena v prohlizecich. Cracky na tento "malirsky" software (vis, o cem mluvim) byva posledni dobou plny podobneho ...

Ahoj, za mě to též bude ok. Podle vseho to bude zero trust DNS sluzba.
https://www.reddit.com/r/techsupport/co ... ice_after/

Ahoj, jen prochazim kolem...

Pokud nepouzivate ScreenConnect, odinstaluj ho. Hodne soucasnych utoku dneska probiha tak, ze utocnici obet presvedcijou, aby spustila/nainstalovala nejaky RMM tool (TeamViewer, AnyDesk, ...) a pak na PC obeti sami klikaji.

Dalsi bordel tam taky nevidim, tady bohuzel ...

Po ručním smazání klíče je problém vyřešen?

Edge Extension: (Crypto Web Extension) je rozšíření do prohlížeče, ohledně podpisu smluv s ministerstvem školství, takže v tom bych bubáka doufám neviděl. Manželka to musí mít aby se mohla ověřit u nich v systému.
Ok, tím pádem cajk.

Ukradený archiv jsem prohledal, je to teda dost hustý, ale nic ...

Když vyhledáš soubory a pak registry, vidím jen obsah z hledání registrů. Vyhledej ještě jednou soubory.

Otevři regedit a danou hodnotu (plnkhmnoajbfccclonaeepohggeolcih) v tomto klíči ručně smaž.

Hmm, divné. AdwCleaner byl koupen společností Malwarebytes, tak jsem čekal, že budou mít podobný/stejný detekční engine. Dobrá, spusť FRST, do textového pole vlož a klikni na Search Files. Pokud nic nenajde, tak i Search Registry. Obsah search.txt pak pošli.

Ano, www.neslape.cz patří k nám - u mě webovka funguje.

CBS log jsem nenašel, ale nepotřebuju ho. Díky za vzorek, sedím v tom pár hodin a je to dosti komplexní kód s plno zajímavostmi. Kluci měli v reálném čase přístup na tvůj PC - vidíme to např. v tom, že k počáteční infekci došlo 28.2., ale ...

Zatím fixlist na dočištění. Ke zbytku se vyjádřím za chvíli.

Start
CloseProcesses:
HKLM\Software\Policies\...\system: [UploadUserActivities] 0
CHR StartupUrls: Default -> "hxxp://search.conduit.com/?ctid=CT3289075&SearchSource=48&CUI=UN49515189314555504&UM=1","hxxp://www.mystartsearch.com/?type=hp ...

Díky za vzorky, večer/zítra je prostuduju. Link jsem smazal, jen pro jistotu.

Ještě budeme dočisťovat, ale havěť už neběží, takže můžeš měnit hesla. Budu mít časoprostor nejdřív večer. V mezičase zatím proskenuj PC nějakým reputable toolem třeba ESET Online Scannerem nebo MBAM.

Pouzivas jen ...

Proskenuj PC pomocí MBAM. Rád bych se dozvěděl přesnou cestu k tomuto rozšíření. Mám podezření, že si ho tam taháš přes synchronizaci - jsi do Chromu přihlášen svým účtem/gmailem?

Ahoj, dej log z AdwCleaneru, ať přesně víme, kde se ten náš PUP schovává.

Soubor nenalezen (link jsem smazal jen pro jistotu... ale mam ho ulozeny). Zkus mi ten archiv vytvorit jeste jednou, ale trosku jinak. Nezajimaji me mega velke soubory (predpokladam, ze budou v C:\Intel\logs ), takze mi do zipu dej jen ty mensi. No a duvod toho zaheslovani jsou antivirove enginy na ...