Kaspersky

Вирус в Bios/Uefi, RAM, SDD, HDD и роутере

  • 3 January 2021
  • 1 reply
  • 214 views

Здравствуйте многоуважаемое сообщество,  помогите решить проблему пожалуйста. Завёлся целый комплекс вирусов в системе в результате чего очень быстро был потерян контроль над системой. В итоге данный зверь перепрошил биос и роутер, поселился в оперативной памяти отключив таким образом возможность обнаружения систем защиты. Далее захватил контроль над системой (3 ноутбука подключённых к домашнему роутеру).

Все личные данные были похищены, на всех аккаунтах были изменены пароли. При этом в истории входа например в Facebook, Google или Microsoft аккаунтах отображалось мое устройство (телефон Apple) с моим IP…

Данный вирус реагировал на поведение пользователя и включал постепенно механизмы защиты. (Ограничивая доступ к определенным программам или сайтам)

При попытке загрузить файл на Virustotal - возможно было все кроме инфицированного. При попытке загрузить антивирус дополнительно и вовсе лишил доступа в интернет.

Потом пропала возможность входа в Windows - требовало ввести пароль пользователя который естественно не подходил.

Данный вирус развернул виртуальный диск в котором и загружалась меню входа в Windows а также изменил меню загрузки rescue bios в частности командная строка лишь имитировала действия команд таких как Diskpart и т.д.

При этом у вируса продолжали срабатывать команды на мои действия и файловая система жестких дисков была изменена а rescue bios перестал работать. 
 

После танцев с бубнами удалось запустить загрузочную флешку в режиме Legasi support, но перепрошивка биоса не даёт никакого результата, низкоуровневое форматирование тоже. Знаю он присутствует в ОЗУ и возможно в ATK помогите избавится от заразы пожалуйста.

И главное что может быть полезным вашей компании:

1. Сохранился лог с программы process monitor на 1 губ где видно все изменения в файлах и реестрах что он делал.

  1. Мне удалось загрузится через Linux и все Файлы управляющей системы вируса есть (как это отдельная история)
  2. И самое важное! Там не только файлы а и запущенные программы вируса, видно как и куда уходят данные, что и как собирает, как обходит защиты, как проникает. Файлы эти не лежат в одном месте и конечно они зашифрованы. Но у меня загрузились и дешифраторы и обходы защит. Я думаю Вам это может сильно пригодится

 


1 reply

Попал он ко мне после установки Solarwinds 21.12

Reply