Nhờ giúp đỡ ransomware được tải xuống qua powershell

nqhuund

New Member
05/12/2022
0
2 bài viết
Nhờ giúp đỡ ransomware được tải xuống qua powershell
Xin chào mọi người
Trong tháng 10 và 11 mình dính con ransom FAGO3 và MALLOX, hiện mình đã cài HĐH nhưng tiếp tục có dấu hiệu dính mã độc nghi lây nhiễm trong mạng lan
như bài viết của bác HustReMw "Ransomware FARGO tấn công máy chủ SQL Server" thì hiện tượng của em cũng tương tự nó tự tạo ra 1 file .ps1 với nội dung như hình ảnh đính kèm sau đó tải các tệp .exe với tên mã bất kỳ lưu trong thư mục C:\Users\MSSQL$SQL2014EXPRESS và C:\ProgramData.
Hiện mình đã ngắt kết nối internet và tìm, xóa các file được tạo ra trong khoảng thời gian nghi lây nhiễm . Hiện nó vẫn chưa kích hoạt mã hóa.
Mình nhờ mọi người tư vấn và giúp mình xóa sạch mã độc này với ạ
Cảm ơn mọi người nhiều !
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn cho mình hỏi lúc bạn cài lại win thì bạn dùng usb cài win hay bạn dùng chức năng reset của window ạ
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
N
nqhuund
mình format xong và cài luôn chứ ko check lại bạn ạ
 
Dot of Moon
nhiều khi bạn cài các thứ xong trong đó có cả file bị lây điều này ảnh hưởng đến việc điều tra file virus gốc, bạn nên cài lại thêm lần nữa :> hoặc bạn muốn sửa máy thì chỉ cần tìm key run của nó xóa đi, và cài bkav antivirus bạn nhá.
 
N
nqhuund
Mình cũng đang muốn tìm key run cảu nó để xóa nhưng chưa biết cách tìm thế nào
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
2 Comments
N
nqhuund
Cái này bắt buộc phải dùng internet à bạn, mình đang tạm ngưng internet vì sợ nó kích hoạt ransom
 
tgnd
tgnd
Không cần internet thì bạn check sign thôi cũng rà soát đc tương đối rồi
 
Bên trên