surtr шифровальщик SURTR

[zloi_user]

Здравствуйте! Оказались зашифрованы файлы на компьютере c RDP. А также в сетевой папке.

[zloi_user]

Addition.txt

FRST.txt зашифр_файлы_пароль_virus.rar

[safety]

Gnupg сами ставили?

2024-01-24 00:22 - 2020-08-28 11:11 - 000000000 ____D C:\Users\Пользователь\AppData\Roaming\gnupg

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и запросит перезагрузку.

 

Start::
CloseProcesses:
HKLM-x32\...\Run: [svchos1] => C:\ProgramData\Service\Surtr.exe (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Unfortunately , ALL Your Important Files Have Been Encrypted and Stolen By Surtr Ransomware. Find SURTR_README files and follow instructions.
Startup: C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Surtr.exe [2023-12-01] () [Файл не подписан]
Startup: C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SURTR_README.hta [2024-01-24] () [Файл не подписан]
Startup: C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SURTR_README.txt [2024-01-24] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Surtr.exe [2023-12-01] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\SURTR_README.hta [2024-01-24] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\SURTR_README.txt [2024-01-24] () [Файл не подписан]
End::

Заархивируйте папку с карантином FRST (%systemdrive%\FRST\Quarantine) с паролем virus, загрузите папку на облачный диск и дайте ссылку на скачивание в ЛС.

файл fixlog,txt из папки, откуда запускали FRST добавьте в ваше сообщение.

Изменено 24 января, 2024 пользователем safety

[zloi_user]

https://cloud.mail.ru/public/t7Ri/PAajHn2QR

 

Fixlog.txt

GNUPG возможно когда-то и ставили, информации нет.

[safety]

Новые логи сделайте пожалуйста для контроля.

 

подготовьте, пожалуйста, дополнительные логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[zloi_user]

FRST.txtAddition.txt

BU3_2024-01-25_09-43-09_v4.15.1.7z

[safety]

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически выполнится и завршит работу uVS без перезагрузки

Скрипт ниже:

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\WPARUS\WADMIN\TRACE.EXE
czoo
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\SERVICE\SURTR.EXE
apply

QUIT

архив ZOO_дата_время из папки с uvs загрузите в ваше сообщение.

[zloi_user]

Первый архив неполный встроенный антивирус заблокировал. Второй создал после отключения антивируса

ZOO_2024-01-25_11-04-10.7z ZOO_2024-01-25_11-03-09.7z

[safety]

Похоже, кейлоггер. и он висключениях Дефендера

сами ставили?

%SystemDrive%\WPARUS\WADMIN\TRACE.EXE - Kaspersky HEUR:Trojan-Spy.Win32.KeyLogger.gen

https://www.virustotal.com/gui/file/a8c4a69850041de5e817754a5c34a264a6d9cf21d232f3197df57c8d0b2094ec?nocache=1

 

Quote

Полное имя                  C:\WPARUS\WADMIN\TRACE.EXE
Имя файла                   TRACE.EXE
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ Исключение
                            
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ Исключение
File_Id                     6590767D36000
Linker                      14.29
Размер                      200704 байт
Создан                      31.12.2023 в 14:21:23
Изменен                     30.12.2023 в 14:00:36
                            
TimeStamp                   30.12.2023 в 19:58:53
EntryPoint                  +
OS Version                  6.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
                            
Доп. информация             на момент обновления списка
SHA1                        D53A4873466AC3536F5D9AAA1F1C09BCBEB04B6C
MD5                         105687EB3B368907B14E28CBFE58F6E9
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows Defender\Exclusions\Paths\C:\WPARUS\WADMIN\TRACE.EXE
C:\wParus\wAdmin\Trace.exe  0
                            

 

Изменено 25 января, 2024 пользователем safety

[zloi_user]

Не скажу. Там бухг. программа Парус установлена, возможно на нее ругается. Собственно говоря, вирус сетевую папку на другом компьютере тоже запаролил. И флешку тоже, которая была вставлена.

[safety]

6 minutes ago, zloi_user said:

Собственно говоря, вирус сетевую папку на другом компьютере тоже запаролил. И флешку тоже, которая была вставлена.

так и должно быть. Если запустился на устройстве, то будет шифровать все сетевые папки и съемные диски.

 

К сожалению,  по Surtr расшифровка невозможна без приватного ключа. Восстановление возможно только из архивных копий. Сохраните важные зашифрованные документы на отдельный носитель, возможно в будущем расшифровка станет возможной.

Примите в работу рекомендации (из ЛС), чтобы исключить новые атаки шифровальщиков в будущем.

[zloi_user]

Ок, спс.