sauron Поймали шифравальщик

[alexlex]

Добрый день

На сервере утром зашифровались все данные

 

Addition.txt FRST.txt 1c Cash.bat.[ID-774BEC7E].[Telegram ID @Hitler_77777].zip

Изменено 30 января пользователем alexlex

[alexlex]

Файл шифровальщика нашли но не получается с ним ничего сделать. Пишет про отказ в доступе. Выполняем действия из под пользователя с которого и началось заражение (пользователь с админ правами и очень слабым паролем)

winserver 2019

[safety]

Этот файл?

HKU\S-1-5-21-3753966556-1347947650-1748578893-1004\...\Run: [T.exe] => C:\Users\1C_Test\Desktop\ДАРЬЯ ОРО\Fast.exe (Нет файла)

Возможно его Anti=ransomware заблокировал.

 

Скопировать файл в другой каталог не получается?

----------

Если систему уже сканирование KVRT или Cureit, добавьте логи/отчеты о сканировании в архиве без пароля.

 

Записку о выкупе еще добавьте:

отсюда:

Startup: C:\Users\IT3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\#README-TO-DECRYPT-FILES.txt [2025-01-30] () [Файл не подписан]

или отсюда:

2025-01-30 04:05 - 2025-01-30 04:05 - 000001609 _____ C:\ProgramData\#README-TO-DECRYPT-FILES.txt
2025-01-30 04:04 - 2025-01-30 04:04 - 000001609 _____ C:\#README-TO-DECRYPT-FILES.txt

 

 

Изменено 30 января пользователем safety

[alexlex]

Да это файл

 

 

 

 

файл пребывали всеми способами слить не получается даже под админом с которого и произошла атака 

[safety]

записку о выкупе добавьте в виде файла через вложение.

+

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 30 января пользователем safety

[alexlex]

сделали

#README-TO-DECRYPT-FILES.txt WIN-A0SMROJQBII_2025-01-30_13-13-54_v4.99.8v x64.7z

[safety]

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы.

 

;uVS v4.99.8v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\1C_TEST\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FAST.EXE
zoo %SystemDrive%\USERS\1C_TEST\DESKTOP\ДАРЬЯ ОРО\FAST.EXE.EXE
hide %SystemDrive%\USERS\1C_TEST\DESKTOP\GOOGLECHROMEPORTABLE\GOOGLECHROMEPORTABLE.EXE
;---------command-block---------
delall M:\BASE1C\OBRABOTKI\ARXIV\FAST.EXE
delall %SystemDrive%\USERS\IT3\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FAST.EXE.[ID-774BEC7E].[TELEGRAM ID @HITLER_77777].WIQN
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HLIFE.EXE.[ID-774BEC7E].[TELEGRAM ID @HITLER_77777].WIQN
delall %SystemDrive%\USERS\1C_TEST\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FAST.EXE
delall %SystemDrive%\USERS\1C_TEST\DESKTOP\ДАРЬЯ ОРО\FAST.EXE.EXE
apply

czoo
QUIT

После завершения работы скрипта:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Добавьте архив ZOO_дата_время*.7z

[alexlex]

сделали

2025-01-30_13-56-18_log.txt ZOO_2025-01-30_13-56-17.7z

[safety]

судя по логу файлы не смогли забрать:

Копирование файла в Zoo: \\?\C:\USERS\1C_TEST\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FAST.EXE

Нет доступа к файлу, возможно файл защищен [ C:\USERS\1C_TEST\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FAST.EXE ]

Копирование файла в Zoo: \\?\C:\USERS\1C_TEST\DESKTOP\ДАРЬЯ ОРО\FAST.EXE.EXE

Нет доступа к файлу, возможно файл защищен [ C:\USERS\1C_TEST\DESKTOP\ДАРЬЯ ОРО\FAST.EXE.EXE ]

хэш так же не определился

Файл                        Возможно защищенный файл

 

С загрузочного диска сможете загрузиться  и забрать необходимые файлы?

Изменено 30 января пользователем safety

[alexlex]

вроде достали

Fast.7z

[safety]

Результат проверки на Virusscan, но нам это не поможет в определении типа шифровальщика

(На VT пока невозможна проверка, и сэмпл еще не был загружен)

https://virusscan.jotti.org/ru-RU/filescanjob/hsjnb49msz

 

ESET определил как:

30.01.2025 20:10:12;Защита файловой системы в реальном времени;файл;E:\temp\Fast.1xe;модифицированный Win64/Filecoder.QZ троянская программа;очищено удалением;

 

И это соответствует типу шифровальщика вариант Sauron

https://www.virustotal.com/gui/file/8767e67f5b58e66a4ce4ddc934797d55481432b7f0d80815a8f7c040c38187ad/behavior

здесь шаблон зашифрованного файла:

Fn.[ID-F51292E4].[TrustFiles@skiff.com].OJNH

RN=#README-TO-DECRYPT-FILES.txt

 

Изменено 30 января пользователем safety

[safety]

22 минуты назад, alexlex сказал:

вроде достали

Эти файлы надо все удалить.

Это тело шифровальщика Sauron. По которому, к сожалению, мы не сможем помочь с расшифровкой, без приватного ключа.

+

проверьте ЛС.

Изменено 30 января пользователем safety