ouroboros Recoverifiles, Trojan Siggen20 38036, зашифрованы файлы

[Implex]

Добрый день, взлом произошел по RDP по порту 3389, получили доступ к учетку Администратор
Запуск произошел C:\Users\Администратор\Desktop\Recoverifiles@gmail.com.exe

Dr.Web обнаружил Trojan.Siggen20.38036 (приложил в файле exe virus)

key id pkey rsakey.7z зашифрованные docx.7z FRST.7z

Строгое предупреждение от модератора thyrex

Вредоносное вложение удалено

[safety]

По шифрованию:

Recoverifiles@gmail.com.vexe

https://www.virustotal.com/gui/file/7b44ca9572a04d8c5452bf963fb01c5305e7ecf26e8bfe9186c48e944bbb3921

Это Ouroboros/Voidcrypt - расшифровка по данному типу невозможна без приватного ключа, но и приватный ключ от злоумышленников, скорее всего не поможет.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
IFEO\CompatTelRunner.exe: [Debugger] C:\WINDOWS\system32\systray.exe
IFEO\mobsync.exe: [Debugger] C:\WINDOWS\system32\systray.exe
Startup: C:\Users\Vitaliy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dectryption-guide.txt [2025-03-30] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Dectryption-guide.txt [2025-03-30] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S3 cpuz155; \??\C:\WINDOWS\temp\cpuz155\cpuz155_x64.sys [X] <==== ВНИМАНИЕ
S3 vna_ap; \SystemRoot\system32\DRIVERS\vnaap.sys [X]
S3 WdBoot; \SystemRoot\system32\drivers\wd\WdBoot.sys [X]
S3 WdFilter; \SystemRoot\system32\drivers\wd\WdFilter.sys [X]
S3 WdNisDrv; system32\drivers\wd\WdNisDrv.sys [X]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено 30 марта пользователем safety

[Implex]

Fixlog.txt

А как приватный ключ должен выглядеть? присутствуют файлы

IDk.txt
pkey.txt
RSAKEY-MJ-JG4836750192.key
RSAKEY.key

 

[safety]

Возможно, что вот так:

Самое интересное, что дешифратором и ключом, который присылают невозможно расшифровать файлы, но это было 2-3 года назад.

В последнее время Ouroboros редко встречается, чаше всего с расширением hop_dec.

Я думаю, мало что изменилось, так как сэмпл от 28. 03.2023.

RSAKEY-MJ-JG4836750192.key - возможно это приватный ключ, в зашифрованном виде.

Изменено 30 марта пользователем safety

[Implex]

1 hour ago, safety said:

 

содержимое pkey

MIIBIDANBgkqhkiG9w0BAQEFAAOCAQ0AMIIBCAKCAQEAvLVehPeSkjhXbgPSS3XHSiL/jkDW
5JSlZJjToF6koMfQjYsFfG3/VHeWjFVynpMYPnsiOqDJwRFCH/uYCO6KAq8WWHkc5MYP+7A0
KIz4MJWYif7xM+5ttTHboFob+UAEo24Q8NFWb1bq+mpRJrP5Bv2+UCLOhrVmoSMrRY+zjuVe
/+yRMjNkHAC82uRALbFN601wTOkUgA+2Fr7BzVGSXmMvvt5WEXrD1EOmkBdGc5lmIZozalzj
5I3sBTvZiaHO70hlRtZzQKiTheVKFLFFFampTQMM9y+VtwBUOHS/FNcu6fFZvgf0cHkLC5Vm
gBuuYKYZ8XaK6qN4kVzCw/CUnQIBEQ==
 

Изменено 30 марта пользователем safety
не надо лишнего цитирования, просто пишите ответ

[safety]

А вы разницы не видите по количеству строк.

 

RSAKEY-MJ-JG4836750192.key - возможно это приватный ключ, но в зашифрованном виде.  Расшифровать его смогут только злоумышленники. Они могут передать вам этот ключ за выкуп, но он не поможет расшифровать файлы.