sauron Зашифрованы данные на ПК и подключенных к нему сетевых дисках

[ТурбоПирожок]

Доброго времени суток. Злоумышленник получил доступ к компьютеру и зашифровал на нём данные. Записку, логи FRST и зашифрованные файлы (два из которых расшифровал сам злоумышленник для демонстрации) прикрепил ниже. Пароль к архиву: virus

ШИФР_ДЕШИФР.7z Addition.txt FRST.txt #HOW-TO-RESTORE-YOUR-FILES.txt

[ТурбоПирожок]

Результат сканирования через KVRT

[safety]

Dосстановите, пожалуйста, файлы 64.exe, и systemkii.exe из карантина, переименуйте данные файлы в *.vexe, добавьте переименованные файлы в архив с паролем virus, загрузите архив в ваше сообщение. После загрузки данные файлы можно удалить.

Изменено 2 часа назад пользователем safety

[ТурбоПирожок]

6 минут назад, safety сказал:

Dосстановите, пожалуйста, файлы 64.exe, и systemkii.exe из карантина, переименуйте данные файлы в *.vexe, добавьте переименованные файлы в архив с паролем virus, загрузите архив в ваше сообщение. После загрузки данные файлы можно удалить.

Файлы в архиве. Пароль: virus

Вирусы.7z

[safety]

Файл шифровальщика:

64.exe. systemki.exe

TrendMicro
Ransom.Win64.SAURON.SMPI

https://www.virustotal.com/gui/file/805ebf2efdc55295289eff342adae101f9b10a80c4444c2518fc8459bf2d9b25/details

 

По очистке системы:

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\RunOnce: [93381111-986a-4fdf-85fc-4af51aa99b13] => "C:\Users\admin1\AppData\Local\Temp\{16b06bf2-5ed9-440f-bbcc-1e3eac8ac01d}\93381111-986a-4fdf-85fc-4af51aa99b13.cmd" (Нет файла) <==== ВНИМАНИЕ
Startup: C:\Users\admin1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\#README!.hta [2025-12-27] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\systemki.exe [2025-12-20] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Task: {1257C78B-041A-4B9B-A77C-D2FE4B72DCB8} - System32\Tasks\{A61B08AD-D827-4782-B769-AFE7676C1707} => C:\Users\admin1\Desktop\x64\Unlocker.exe  (Нет файла)
Task: {B8705546-C052-4BD1-9145-EF86694A44A2} - System32\Tasks\{F1FE429E-B7D1-4D2F-9753-96121140DDDE} => C:\Users\admin1\Desktop\x64\Unlocker.exe  (Нет файла)
2025-12-27 16:43 - 2025-12-27 16:43 - 006220854 _____ C:\ProgramData\@kind_ad.bmp
2025-12-26 22:39 - 2025-12-26 23:31 - 000000000 ____D C:\Users\admin1\Desktop\kin
2025-12-26 21:36 - 2025-12-26 23:31 - 000000000 ____D C:\Users\admin1\Desktop\12
2025-12-26 21:29 - 2025-12-27 01:14 - 000000000 ____D C:\Users\admin1\Desktop\64-bit
2025-12-26 21:28 - 2025-12-26 21:28 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wise Force Deleter
2025-12-26 21:28 - 2025-12-26 21:28 - 000000000 ____D C:\Program Files (x86)\Wise
2025-12-26 21:27 - 2025-12-02 15:07 - 004664072 _____ (WiseCleaner.com ) C:\Users\admin1\Desktop\WFDSetup_1.5.7.59.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь.

Изменено 1 час назад пользователем safety

[ТурбоПирожок]

Высылаю. Архив загрузил через dropmefiles: *здесь* пароль от архива: virus

Fixlog.txt

Изменено 1 час назад пользователем safety
архив загружен, ссылка удалена

[safety]

Для доп. анализа проверьте ЛС

 

К сожалению, с расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 53 минуты назад пользователем safety