sauron Ransomware Phobos

[Warlocktv]

Добрый день,

Через RDP словили шифровальщик Phobos (на основании ID Ransomware https://id-ransomware.malwarehunterteam.com/identify.php?case=52c4281ece07330467137e30a150ae4130e52132).
Отчеты Recorded Future Triangle https://tria.ge/241216-tdxdrsvpek и Joe Sand Cloud https://www.joesandbox.com/analysis/1576226/1/executive.

Зараженные системы удалены. Остались зараженные файлы которые требуется дешифровать. Необходима помощь. В архиве два зараженных файла и сообщения от шифровальщиков.Encrypted.zip

[safety]

Не похоже это на Phobos.

Если сохранились сэмплы шифровальщиков, которые вы загрузили на недоступные нам сервисы, загрузите их для проверки на Virustotal.com, и дайте ссылку на результат проверки.

Или добавьте в архив с паролем virus, загрузите на облачный диск и дайте здесь ссылку на скачивание.

-----------

Судя по предыдущим случаям шифрования, ваши файлы были атакованы с помощью Sauron

 

 

Судя по хэшу файла с TRIA.GE

6be1ac98bb95592761fdf5272ffbc411b358e3c1

мнение экспертов, что это Sauron

 

---------------

Расшифровка файлов по данному типу невозможна без приватного ключа.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 13 июля, 2025 пользователем safety