sauron Шифровальщик [aeternum1337@gmail.com].1337

[Anders77]

FRST.txtAddition.txtxpNCeceMko.17ui2IF8.[ID-AD275FAD].[aeternum1337@gmail.com].zip

[safety]

Файлы в этой системе были зашифрованы?

Если систему сканировали Cureit,KVRT или штатным антивирусом, добавьте отчеты сканирования в архиве, без пароля

[Anders77]

Особо не смотрел, т.к. тупит жестко. Систему спасать не надо. ...или она нужна для нахождения ключа?

Мне сейчас важно расшифровать данные на хранилище.

 

файлы системы (в частности папку windows посмотрел), как ни странно зараженных нет

[safety]

Тип шифровальщика пока не определен, ждем некоторое время. Для расшифровки, если она будет возможна, важен именно сэмпл шифровальщика. проверьте систему (системный диск) с помощью KVRT, возможно что-то найдется.

 

Цитата

 

Особо не смотрел, т.к. тупит жестко. Систему спасать не надо. ...или она нужна для нахождения ключа?

Мне сейчас важно расшифровать данные на хранилище.

 

Системные ошибки:
=============
Error: (04/26/2026 03:47:43 AM) (Source: Ntfs) (EventID: 55) (User: NT AUTHORITY)
Description: Обнаружено повреждение в структуре файловой системы на томе Windows X-Lite.

The exact nature of the corruption is unknown.  The file system structures need to be scanned online.

Error: (04/26/2026 03:42:18 AM) (Source: volsnap) (EventID: 28) (User: )
Description: Не удается создать теневую копию тома 😄 из-за ошибки при создании необходимой дисковой структуры.

Изменено 26 апреля пользователем safety

[Anders77]

Делал сканрование с помощью KVRT, выбросила на последнем этапе, запускаю заново

 

Повторное сканирование приводит к тому же самому

[safety]

Сделайте проверку системного диска chkdsk с исправлением ошибок, после проверки и исправления пробуйте еще раз просканировать в KVRT

[Anders77]

Нет, не дает провести chkdsk, не может заблокировать диск, говоря что какой то процесс запущен.

Предлагает запустить после перезагрузки, но после перезагрузки все забывается, даже дистрибуты которые я скидываю удаляются.

Проще снести эту систему, чем лечить, тем более это виртуальная машина Proxmox

[safety]

Для доп. анализа проверьте ЛС.

[Anders77]

В ЛС ответил или сюда надо было?

[safety]

Увы,

С расшифровкой файлов по данному типу не сможем помочь

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[Anders77]

Т.е. зашифрованные файлы считать потерянными, к безопасности отнестись по серьезне?

[safety]

Сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем расшифровка станет возможной. Пока ее нет, приватные ключи у злоумышленников.

[Anders77]

Сами зашифрованные файлы они безопасны для соседних, т.е. зараза не может перескочить, а систему лучше либо лечить либо снести?

[safety]

Зашифрованные файлы безопасны.

Цитата

 а систему лучше либо лечить либо снести?

Если chkdsk не исправил ошибки в файловой системе, то может, лучше и переустановить, и установить доступные обновления.

-----------------

здесь примеры похожего варианта Sauron:

имя сэмпла может быть cryptor.exe

https://www.virustotal.com/gui/file/2303cad5bfbf996aec39c53b562947e4dd6f6689e498c6731e360d92622b8fce/behavior

и

https://www.virustotal.com/gui/file/6b9a69b8f2491f97f1e86f94987d1fe5b02e76b1b23bab66b06d96d6193bd4da/behavior

шаблон зашифрованного несколько отличается от "нашего" случая.

Filename.[ID-A69CE525].[davidrmg2219@gmail.com].rmg

т.е. в "нашем случае" имя файла заменено на рандомное.

RandomName.[ID-AD275FAD].[aeternum1337@gmail.com].1337

В этом и отличие.

Работают злоумышленники.

 

Видим также что в "нашем случае" в записке о выкупе упоминаются адреса, которые которые есть и по ссылкам на VT.

Изменено 27 апреля пользователем safety

[Anders77]

Дадите знать когда получится , т.е. когда появится возможность дешифровки?