sauron Поймали шифровальщик, пострадали 3 компьютера

[Volos]

Зашифрованы файлы на трех компьютерах. Одна из машин теперь не запускается, была запущена полная проверка Касперским. Обнаружены два вредоносных файла (приложил фото).

Запустил сканирование FRST на другой машине, которая запускается (логи и файлы с требованиями приложил)

 

файлы.zip Addition.txt FRST.txt

Изменено 20 мая пользователем Volos

[safety]

Файлы, которые на скриншоте, можете добавить в архив с паролем virus, и архив загрузить в ваше сообщение?

Если они в карантине, то предварительно восстановить из карантина.

[Volos]

Они попали в карантин и после полной проверки эта машина не запускается. Сейчас попробую Cureit-ом просканировать на другой машине без лечения, на этой машине Каспер удален зловредом

 

Изменено 20 мая пользователем Volos

[safety]

Вот сэмплы надо обязательно карантинить, чтобы понимать чем вас зашифровали.

[Sadch]

Аналогичная ситуация. Зашифровано Ransom. Подскажите, есть какой-то шанс на дешифровку? Или разворачивать с нуля.

Изменено 21 мая пользователем Sadch

[safety]

2 часа назад, Sadch сказал:

Аналогичная ситуация. Зашифровано Ransom. Подскажите, есть какой-то шанс на дешифровку? Или разворачивать с нуля.

Создайте новую тему в данном разделе. Один пользователь - одна тема.

Изменено 21 мая пользователем safety

[Volos]

На втором компе обнаружил папку (называется "Mimik") с инструментами взлома. Шифровальщик как на первом компе не нашел. Возможно как то добраться до хранилища карантина Касперского без запуска самой системы?

[safety]

11 минут назад, Volos сказал:

Возможно как то добраться до хранилища карантина Касперского без запуска самой системы?

Если у вас установлены Endpoint Security, то возможно что и есть консоль управления. Возможно что через консоль управления можно попытаться восстановить нужный файл, если он помещается в хранилище на сервере управления.

 

В Kaspersky Endpoint Security (KES) файлы на карантине хранятся в специальном зашифрованном внутреннем хранилище и не имеют фиксированного пути к обычным файлам на диске

 

В 20.05.2026 в 17:49, Volos сказал:

Они попали в карантин и после полной проверки эта машина не запускается

Проверьте, возможно через безопасный режим систему можно загрузить.

Изменено 22 мая пользователем safety

[Volos]

Получилось вытащить файлы вируса. Два файла в архиве

virus.zip

[safety]

Восстановили через консоль управления, или вытянули с проблемного ПК?

 

Судя по детектам на Virustotal:

#Sauron #Ransomware (Conti-based)

https://www.virustotal.com/gui/file/0cca0804e8dd0c6c3b4ba5aebb4c06c486d6fa6beeabb2dd311cfd224513552b/detection

 

Для доп. анализа проверьте ЛС.

 

[Volos]

Предполагаю по RDP на одну из машин (там где инструменты взлома нашел, был переброшен порт для буха), а потом по расшаренным папкам в локальной сети

[safety]

2 часа назад, Volos сказал:

Предполагаю по RDP на одну из машин (там где инструменты взлома нашел, был переброшен порт для буха)

По ней и сделайте то о чем я написал вам в ЛС. Вам это будет полезным

 

Важные зашифрованные файлы сохраните на отдельный носитель, возможно что расшифровка будет возможной в будущем.

Если будет слив ключей, или полиция доберется до серверов злоумышленников.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 26 мая пользователем safety