sauron Поймали шифратор Neshto, зашифрованы файлы в корне папок диска (вложенные папки остались не повреждены)

[KrivosheevYS]

Здравствуйте!
Поймали шифратор Neshto, зашифрованы файлы в корне папок диска (вложенные папки остались не повреждены)! расширение .XEXK просим о помощи в расшифровке.
Файл с логами прилагается.

Neshta.rar

Изменено 8 декабря пользователем KrivosheevYS

[safety]

Этот файл (C:\Users\buh\Desktop\cryptor.exe) заархивируйте с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание архива здесь.

2024-12-07 16:28 - 2024-12-08 17:04 - 000681984 _____ C:\Users\buh\Desktop\cryptor.exe

 

[KrivosheevYS]

1 час назад, safety сказал:

Этот файл (C:\Users\buh\Desktop\cryptor.exe) заархивируйте с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание архива здесь.

2024-12-07 16:28 - 2024-12-08 17:04 - 000681984 _____ C:\Users\buh\Desktop\cryptor.exe

 

ссылка удалена.

Изменено 8 декабря пользователем safety

[safety]

Загрузите архив, пожалуйста, на яндекс_диск. (И тайте ссылку на скачивание здесь).

Так как transfiles предлагает установку ненужной мне программы.

[KrivosheevYS]

40 минут назад, safety сказал:

Загрузите архив, пожалуйста, на яндекс_диск. (И тайте ссылку на скачивание здесь).

Так как transfiles предлагает установку ненужной мне программы.

ссылка очищена

Изменено 8 декабря пользователем safety

[safety]

Результат сканирования на Virusscan:

https://virusscan.jotti.org/ru-RU/filescanjob/y1nnkbnyct

+детект ESET:

Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь
08.12.2024 19:22:28;Защита файловой системы в реальном времени;файл;E:\temp\cryptor.1exe;модифицированный Win64/Filecoder.QZ троянская программа;очищено удалением

 

[KrivosheevYS]

какие наши дальнейшие действия?

[safety]

Возможно, это разновидность шифровальщика Sauron.

(Шифровальщик основан на утекшем коде Conti)

Вот пример одного из подобных сэмплов Sauron

https://www.virustotal.com/gui/file/8767e67f5b58e66a4ce4ddc934797d55481432b7f0d80815a8f7c040c38187ad

Здесь видим, что детект ESET: ESET-NOD32 A Variant Of Win64/Filecoder.QZ

И по данной ссылке видим пример шифрования:

C:\MSOCache\#README-TO-DECRYPT-FILES.txt

C:\MSOCache\All Users\{90160000-0011-0000-0000-0000000FF1CE}-C\Setup.xml.[ID-F51292E4].[TrustFiles@skiff.com].OJNH

Именно эта записка о выкупе, а так же шаблон зашифрованного файла присутствует у вас.

 

 

По очистке системы в FRST скрипт сейчас добавлю.

 

 

[safety]

Выполните очистку системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKU\S-1-5-21-65742528-3860353280-3700343050-1007\...\Run: [TrustFiles@skiff.com.exe] => C:\Users\admin\Desktop\cryptor.exe (Нет файла)
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cryptor.exe [2024-12-08] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\#README-TO-DECRYPT-FILES.txt [2024-12-07] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-12-07 17:37 - 2024-12-07 18:19 - 000001682 _____ C:\Users\ST.PERL\AppData\Roaming\Microsoft\#README-TO-DECRYPT-FILES.txt
2024-12-07 17:37 - 2024-12-07 18:18 - 000001682 _____ C:\Users\ST\AppData\Roaming\Microsoft\#README-TO-DECRYPT-FILES.txt
2024-12-07 17:37 - 2024-12-07 18:16 - 000001682 _____ C:\Users\SD\AppData\Roaming\Microsoft\#README-TO-DECRYPT-FILES.txt
2024-12-07 17:37 - 2024-12-07 18:15 - 000001682 _____ C:\Users\RENTGEN\AppData\Roaming\Microsoft\#README-TO-DECRYPT-FILES.txt
2024-12-07 17:37 - 2024-12-07 18:13 - 000001682 _____ C:\Users\Ortodont\AppData\Roaming\Microsoft\#README-TO-DECRYPT-FILES.txt
2024-12-07 17:37 - 2024-12-07 18:11 - 000001682 _____ C:\Users\OgorodnikovVU\AppData\Roaming\Microsoft\#README-TO-DECRYPT-FILES.txt
2024-12-07 17:37 - 2024-12-07 18:10 - 000001682 _____ C:\Users\NOTEBOOK\AppData\Roaming\Microsoft\#README-TO-DECRYPT-FILES.txt
2024-12-07 17:37 - 2024-12-07 18:09 - 000001682 _____ C:\Users\MONOBLOK\AppData\Roaming\Microsoft\#README-TO-DECRYPT-FILES.txt
2024-12-07 17:37 - 2024-12-07 18:09 - 000001682 _____ C:\Users\KKV\AppData\Roaming\Microsoft\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:28 - 2024-12-08 17:04 - 000681984 _____ C:\Users\buh\Desktop\cryptor.exe
2024-12-07 09:12 - 2024-12-07 09:16 - 020386224 _____ (Famatech Corp. ) C:\Users\buh\Desktop\Advanced_Port_Scanner_2.5.3869.exe
2024-12-07 16:34 - 2024-12-07 18:13 - 000001682 _____ () C:\Program Files\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:35 - 2024-12-07 18:14 - 000001682 _____ () C:\Program Files (x86)\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:41 - 2024-12-07 18:19 - 000001682 _____ () C:\Program Files\Common Files\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:45 - 2024-12-07 18:13 - 000001682 _____ () C:\Program Files (x86)\Common Files\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:46 - 2024-12-07 18:10 - 000001682 _____ () C:\Users\admin\AppData\Roaming\#README-TO-DECRYPT-FILES.txt
2024-12-07 17:37 - 2024-12-07 18:06 - 000001682 _____ () C:\Users\admin\AppData\Roaming\Microsoft\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:46 - 2024-12-07 18:10 - 000001682 _____ () C:\Users\admin\AppData\Local\#README-TO-DECRYPT-FILES.txt
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив згрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

[KrivosheevYS]

на втором диске также зашифрованы данные, проводили сканирование без него, обязательно-ли запускать FRST на загруженной системе или достаточно просканировать, допустим, через Win PE? и так же отправить вам логи?

[safety]

FRST запускается в активной системе, другие диски необязательны для подключения.

Скрипт очистит автозапуск системы от повторного запуска шифровальщика. Займет это несколько минут.

Сканировать через Winpe не имеет смысл, Я так понимаю, что вы уже выполняли проверку системы и находили файлы, зараженные Neshta.

Сам файл шифровальщика cryptor.exe не заражен Neshta. Судя по логам RST в системе нет признаков активности Nehta на текущий момент.

После очистки в FRST нужен будет лог Fixlog.txt для контроля очистки.

 

Если планируете продолжить использование данной системы, то имеет смысл сделать проверку из загрузочного KRD (Kaspersky Rescue Disk) так же можно добавить лог сканирования.

Изменено 8 декабря пользователем safety

[KrivosheevYS]

да, сканирование уже проводили, нас больше интересует расшифровка фалов на втором диске, есть возможность расшифровать их?

[safety]

4 часа назад, KrivosheevYS сказал:

есть возможность расшифровать их?

С расшифровкой по данному типу шифровальщика (Sauron) не сможем помочь без приватного ключа.

[KrivosheevYS]

37 минут назад, safety сказал:

С расшифровкой по данному типу шифровальщика (Sauron) не сможем помочь без приватного ключа.

На нашем ПК его не могло,остаться?

[safety]

44 минуты назад, KrivosheevYS сказал:

На нашем ПК его не могло,остаться?

Это на каком? С которого вы предоставили логи FRST? Конечно, он там есть (причем в автозапуске - т.е. в случае перезагрузки системы он опять будет активен), я написал вам скрипт для его очистки, и как вижу вы до сих пор его не выполнили.

----------

Если вы имеете ввиду приватный ключ, то он если создается на устройстве жертвы, то затем шифруется.

Изменено 9 декабря пользователем safety