sauron Шифровальщик с расширением .wtch

16 декабря, 2024

Здравствуйте.

Поймали шифровальщик, зашифровал файлы с расширением .wtch. После чего произошло, сказать затрудняюсь (возможно, был получен удаленный доступ к компьютеру, был найден на компьютере advanced port scanner). Помогите, пожалуйста, если есть возможность. Отчеты Farbar и зашифрованные файлы прикладываю. Злоумышленники требуют писать им на почту DecryptData@skiff.com.

Файл самого шифровальщика обнаружен, готов предоставить.

Addition.txt FRST.txt файлы.zip

16 декабря, 2024

Имя записки о выкупе:

#README-TO-DECRYPT-FILES.txt

Данные файлы добавьте в архив с паролем malware123, архив загрузите на облачный диск и дайте ссылку на скачивание здесь.

Цитата

2024-12-07 16:28 - 2024-12-08 17:04 - 000681984 _____ C:\Users\buh\Desktop\cryptor.exe

HKU\S-1-5-21-65742528-3860353280-3700343050-1007\...\Run: [TrustFiles@skiff.com.exe] => C:\Users\admin\Desktop\cryptor.exe (Нет файла)

Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cryptor.exe [2024-12-08] () [Файл не подписан]

после загрузки архива данные файлы следует удалить.

16 декабря, 2024

Скрипт по очистке системы от тел шифровальщика для выполнения в FRST

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-65742528-3860353280-3700343050-1007\...\Run: [TrustFiles@skiff.com.exe] => C:\Users\admin\Desktop\cryptor.exe (Нет файла)
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cryptor.exe [2024-12-08] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\#README-TO-DECRYPT-FILES.txt [2024-12-07] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-12-07 16:35 - 2024-12-07 18:19 - 000001682 _____ C:\ProgramData\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:35 - 2024-12-07 18:14 - 000001682 _____ C:\Program Files (x86)\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:34 - 2024-12-07 18:14 - 000001682 _____ C:\Users\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:34 - 2024-12-07 18:13 - 000001682 _____ C:\Program Files\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:34 - 2024-12-07 18:11 - 000001682 _____ C:\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:28 - 2024-12-08 17:04 - 000681984 _____ C:\Users\buh\Desktop\cryptor.exe
2024-12-07 09:17 - 2024-12-08 17:05 - 000000000 ____D C:\Users\buh\Desktop\1
2024-12-07 09:12 - 2024-12-07 09:16 - 020386224 _____ (Famatech Corp. ) C:\Users\buh\Desktop\Advanced_Port_Scanner_2.5.3869.exe
2024-12-07 16:34 - 2024-12-07 18:13 - 000001682 _____ () C:\Program Files\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:35 - 2024-12-07 18:14 - 000001682 _____ () C:\Program Files (x86)\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:41 - 2024-12-07 18:19 - 000001682 _____ () C:\Program Files\Common Files\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:45 - 2024-12-07 18:13 - 000001682 _____ () C:\Program Files (x86)\Common Files\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:46 - 2024-12-07 18:10 - 000001682 _____ () C:\Users\admin\AppData\Roaming\#README-TO-DECRYPT-FILES.txt
2024-12-07 17:37 - 2024-12-07 18:06 - 000001682 _____ () C:\Users\admin\AppData\Roaming\Microsoft\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:46 - 2024-12-07 18:10 - 000001682 _____ () C:\Users\admin\AppData\Local\#README-TO-DECRYPT-FILES.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

16 декабря, 2024

Сам crypto.exe тоже в архив поместить?

Его "Касперский" удаляет, положу в отдельный архив с паролем virus.

Пока положил только #README-TO-DECRYPT-FILES.txt

https://disk.yandex.ru/d/gtD6p4jHLm3G4A

Fixlog.txt прикладываю.

Архив поместил на диск, пароль на архив внутри virus

https://disk.yandex.ru/d/gtD6p4jHLm3G4A

Fixlog.txt

16 декабря, 2024

38 минут назад, tom1 сказал:

Сам crypto.exe тоже в архив поместить?

Как раз нужен файл шифровальщика - записка о выкупе у нас уже есть, надеюсь он попал в карантин.

16 декабря, 2024

Только что, safety сказал:

Как раз нужен файл шифровальщика - записка о выкупе у нас уже есть, надеюсь он попал в карантин.

Да, там всё в архиве лежит. Сам шифровальщик внутри архива FRST, в отдельном архиве cryptor. Пароль везде virus.

16 декабря, 2024

Судя по комментарию специалиста, это действительно Sauron,

набирающий активность тип шифровальщика, основанный на утекшем коде Conti.

#Sauron #Ransomware (Conti-based)

https://www.virustotal.com/gui/file/58ad733b6abcf3793248cfb24aa8e75709b58982a11b86800a81f65287747f24/detection

пример шифрования:

#README-TO-DECRYPT-FILES.txt

7-zip.chm.[id-f51292e4].[decryptdata@skiff.com].ojnh

Изменено 16 декабря, 2024 пользователем safety

16 декабря, 2024

1 минуту назад, safety сказал:

Судя по комментарию специалиста, это действительно Sauron,

Ничего нельзя сделать?

16 декабря, 2024

Можем проанализировать причину проникновения злоумышленников на ваше устройство.

Проверьте ЛС.

-----------

С расшифровкой по данному типу шифровальщика, увы, не сможем помочь.

Изменено 16 декабря, 2024 пользователем safety

16 декабря, 2024

1 час назад, tom1 сказал:

Fixlog.txt прикладываю.

Что еще пропустили для выполнения в FRST:

(поправил скрипт)

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2680996432-1665435054-3968177902-1001\...\Run: [T.exe] => C:\Users\kassa\Desktop\c\cryptor.exe [446976 2024-12-11] () [Файл не подписан]
Startup: C:\Users\kassa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\#README.hta [2024-12-16] () [Файл не подписан]
Startup: C:\Users\kassa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cryptor.exe [2024-12-11] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\#README.hta [2024-12-16] () [Файл не подписан]
2024-12-16 13:22 - 2024-12-16 16:07 - 006221922 _____ C:\ProgramData\T.bmp
2024-12-16 13:10 - 2024-12-16 13:25 - 000010146 _____ C:\Windows\SysWOW64\Drivers\#README.hta
2024-12-16 13:10 - 2024-12-16 13:25 - 000010146 _____ C:\Windows\SysWOW64\#README.hta
2024-12-16 13:10 - 2024-12-16 13:25 - 000010146 _____ C:\Windows\system32\Tasks\#README.hta
2024-12-16 13:10 - 2024-12-16 13:25 - 000010146 _____ C:\Windows\system32\spool\prtprocs\x64\#README.hta
2024-12-16 13:10 - 2024-12-16 13:25 - 000010146 _____ C:\Windows\system32\Drivers\etc\#README.hta
2024-12-16 13:10 - 2024-12-16 13:25 - 000010146 _____ C:\Windows\system32\Drivers\#README.hta
2024-12-16 13:10 - 2024-12-16 13:25 - 000010146 _____ C:\Windows\system32\config\#README.hta
2024-12-16 13:10 - 2024-12-16 13:25 - 000010146 _____ C:\Windows\system32\#README.hta
2024-12-16 13:10 - 2024-12-16 13:10 - 000010146 _____ C:\Windows\Tasks\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Windows\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\Downloads\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\Documents\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\Desktop\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\AppData\Roaming\Microsoft\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\AppData\Roaming\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\AppData\LocalLow\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\AppData\Local\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\AppData\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Public\Downloads\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Public\Documents\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Public\Desktop\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Public\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\Downloads\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\Documents\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\Desktop\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\AppData\Roaming\Microsoft\Windows\Start Menu\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\AppData\Roaming\Microsoft\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\AppData\Roaming\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\AppData\LocalLow\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\AppData\Local\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\AppData\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\Downloads\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\Documents\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\Desktop\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\AppData\Roaming\Microsoft\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\AppData\Roaming\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\AppData\Local\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\AppData\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\ProgramData\Microsoft\Windows\Start Menu\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\ProgramData\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Program Files\Common Files\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Program Files\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Program Files (x86)\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\#README.hta
2024-12-16 13:08 - 2024-12-16 16:07 - 000001703 _____ C:\ProgramData\#README-TO-DECRYPT-FILES.txt
2024-12-16 13:08 - 2024-12-16 13:08 - 000001703 _____ C:\Users\User\#README-TO-DECRYPT-FILES.txt
2024-12-16 13:08 - 2024-12-16 13:08 - 000001703 _____ C:\Users\kassa\Documents\#README-TO-DECRYPT-FILES.txt
2024-12-16 13:08 - 2024-12-16 13:08 - 000001703 _____ C:\Users\kassa\Desktop\#README-TO-DECRYPT-FILES.txt
2024-12-16 13:08 - 2024-12-16 13:08 - 000001703 _____ C:\Users\kassa\#README-TO-DECRYPT-FILES.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 16 декабря, 2024 пользователем safety

sauron Шифровальщик с расширением .wtch

Рекомендуемые сообщения

tom1

safety

safety

tom1

safety

tom1

safety

tom1

safety

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum