Sauron Ransomware
Sauron (Conti-based) Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.Encoder.41150, Trojan.Encoder.41182
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1, Trojan.GenericKD.74295393
ESET-NOD32 -> A Variant Of Win64/Filecoder.PP
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win64/Lockbit.AC!MTB, Ransom:Win64/Filecoder!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD), Ransom.Generic!8.E315 (CLOUD)
Symantec -> Ransom.Zombie
Tencent -> Malware.Win32.Gencirc.10c05a0a, Malware.Win32.Gencirc.10c053f4
TrendMicro -> Ransom.Win64.CONTI.SMYPDL1, Ransom_Filecoder.R002C0DLK24
---
© Генеалогия: ✂ Conti-3, ✂ LockBit + другой код >> Sauron
Tencent -> Malware.Win32.Gencirc.10c05a0a, Malware.Win32.Gencirc.10c053f4
TrendMicro -> Ransom.Win64.CONTI.SMYPDL1, Ransom_Filecoder.R002C0DLK24
---
© Генеалогия: ✂ Conti-3, ✂ LockBit + другой код >> Sauron
Информация для идентификации
Активность этого крипто-вымогателя была замечена в середине — второй половине октября 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .Sauron
Фактически используется составное расширение по шаблону: .[ID-{ID}].[<email>].Sauron
Пример такого расширения: .[ID-35AEE360].[adm.helproot@gmail.com].Sauron
Записка с требованием выкупа называется: #HowToRecover.txt
Записка с требованием выкупа называется: #HowToRecover.txt
Содержание записки о выкупе:
Перевод записки на русский язык:
Your Files Have Been Encrypted!
Attention!
All your important files have been stolen and encrypted by our advanced attack.
Without our special decryption software, theres no way to recover your data!
Your ID: [ 35AEE360 ]
To restore your files, reach out to us at: adm.helproot@gmail.com
You can also contact us via Telegram: @adm_helproot
Failing to act may result in sensitive company data being leaked or sold.
Do NOT use third-party tools, as they may permanently damage your files.
Why Trust Us?
Before making any payment, you can send us few files for free decryption test.
Our business relies on fulfilling our promises.
How to Buy Bitcoin?
You can purchase Bitcoin to pay the ransom using these trusted platforms:
xxxxs://www.kraken.com/learn/buy-bitcoin-btc
xxxxs://www.coinbase.com/en-gb/how-to-buy/bitcoin
xxxxs://paxful.com
Перевод записки на русский язык:
Ваши файлы зашифрованы!
Внимание!
Все ваши важные файлы были украдены и зашифрованы нашей передовой атакой.
Без нашего специального программного обеспечения для дешифрования восстановить ваши данные невозможно!
Ваш идентификатор: ***
Чтобы восстановить ваши файлы, свяжитесь с нами по email: adm.helproot@gmail.com
Вы также можете связаться с нами через Telegram: @adm_helproot
Бездействие может привести к утечке или продаже конфиденциальных данных компании.
НЕ используйте сторонние инструменты, так как они могут навсегда повредить ваши файлы.
Почему нам доверяют?
Перед совершением платежа вы можете отправить нам несколько файлов для бесплатной тест-расшифровки.
Наш бизнес основан на выполнении наших обещаний.
***
Также используется изображение, заменяющее обои Рабочего стола, с текстом:
SAURON
All your files are encrypted
for more information see #HowToRecover.txt that is located in every encrypted folder
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
#HowToRecover.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: adm.helproot@gmail.com
BTC: -
Telegram: @adm_helproot
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: eb13533a89da9762d93de5d54966df5f
SHA-1: c0d2cef9149395218eb3a91afe6cbbdbf0181c65
SHA-256: 3dc6902dc87d976787bdf0878e7174ec526df613645d3f275e0216d05cf2d217
Vhash: 065076655d155515555078z657z17z2011z35z27z
Imphash: b5f1a1d1c89893764273d20e9396c5d5
MD5: 75eeb5869fe1fe3a98749b6b31afdab7
SHA-1: ba4d5f0087b39be43b514dcbbfb35bf478c8345a
SHA-256: fce945ba2c72acbc82e8129196cd7043f9d205ad545e005a3de8739ba25f493b
Vhash: 065076655d155515555038z65hz2011z25z27z
Imphash: 3bc9aa7495560b44d271f3a1b43942f3
Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 23 октября 2024 или раньше:
Расширение: .<random 5 chars>
Пример полного расширения: .[ID-528DAF49].[adm.systemic@gmail.com].iXgTi
Записка: #HowToDecrypt.txt
Email: adm.systemic@gmail.com
➤ Обнаружения:
DrWeb -> Trojan.Encoder.41191
BitDefender -> Trojan.GenericKD.75095688
ESET-NOD32 -> A Variant Of Win64/Filecoder.QJ
Microsoft -> Ransom:Win64/Lockbit.AC!MTB
Symantec -> Ransom.Zombie
TrendMicro -> Ransom.Win64.CONTI.SMYPDL1
Вариант от 25 октября 2024 или раньше:
Доп. название: Hawk Ransomware
Расширение: .hawk
Пример полного расширения: .id[XX-B2750012].[sup.logical@gmail.com].hawk
Записка: #Recover-Files.txt
Email: sup.logical@gmail.com
➤ Обнаружения:
DrWeb -> Trojan.Encoder.41194
BitDefender -> Gen:Variant.Tedy.659244
ESET-NOD32 -> A Variant Of Win64/Filecoder.QJ
Microsoft -> TrojanDownloader:Win64/BazaarLoader.AA!MTB
Symantec -> Ransom.Zombie
TrendMicro -> Ransom.Win64.CONTI.SMYPDL1
Вариант от 29 октября 2024 или раньше:
Доп. название: Heda Ransomware
Расширение: .Heda
Пример полного расширения: .[ID-E8330FE1-1337].[hedaransom@gmail.com].Heda
Записка: #HowToRecover.txt
Email: hedaransom@gmail.com
➤ Обнаружения:
DrWeb -> Trojan.Encoder.41225
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win64/Filecoder.PP
Microsoft -> TrojanDownloader:Win64/BazaarLoader.AA!MTB
TrendMicro -> Ransom.Win64.CONTI.SMYPDL1
Вариант от 30 октября 2024 или раньше:
Доп. название: Heda Ransomware
Расширение: .Heda
Пример полного расширения: .[id-79366a5b-1337].[hedaransom@gmail.com].heda
Записка: #HowToRecover.txt
➤ Обнаружения:
DrWeb -> Trojan.Encoder.41203
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win64/Filecoder.PP
Malwarebytes -> Ransom.FileCryptor
TrendMicro -> TROJ_GEN.R03BC0DJT24
Вариант от 11 ноября 2024 или раньше:
Расширение: .A08D7447
Пример полного расширения: .id[XX-73B251EF].[Xdoct0@zohomail.eu].A08D7447
Записка: #Recover-Files.txt
Email: Xdoct0@zohomail.eu
➤ Обнаружения:
DrWeb -> Trojan.Encoder.41233
BitDefender -> Trojan.Generic.37045557
ESET-NOD32 -> A Variant Of Win64/Filecoder.QJ
Microsoft -> Ransom:Win64/Lockbit.AC!MTB
TrendMicro -> Ransom_Lockbit.R002C0DKI24
Вариант от 5 декабря 2024:
Расширение: .<random 4 chars>
Пример полного расширения: .[ID-F51292E4].[TrustFiles@skiff.com].OJNH
Записки: #README.hta, #README-TO-DECRYPT-FILES.txt
Email: TrustFiles@skiff.com
Меняет обои Рабочего стола.
Добавляется в автозагрузку Windows:
%APPDATA%\microsoft\windows\start menu\programs\startup\zowq.exe
➤ Обнаружения:
DrWeb -> Trojan.MulDrop28.49123
BitDefender -> Gen:Heur.Ransom.RTH.1
ESET-NOD32 -> A Variant Of Win64/Filecoder.QZ
Microsoft -> TrojanDownloader:Win64/BazaarLoader!rfn
TrendMicro -> TROJ_GEN.R002C0DL524
=== 2025 ===
Вариант от 14 февраля 2025 или раньше:
Доп. название: Heda Ransomware
Расширение: .Heda
Пример полного расширения: .[ID-7A5C4E67-1337].[hedaransom@gmail.com].Heda
Записка: #HowToRecover.txt
Email: hedaransom@gmail.com
➤ Обнаружения:
DrWeb -> Trojan.Encoder.41711
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win64/Filecoder.PP
TrendMicro -> Ransom.Win64.CONTI.SMYPDL1
Вариант от 24 февраля 2025:
Расширение: .<random 5 chars>
Пример полного расширения: .[ID-F51292E4].[reaction0@tutamail.com].unslu
Записка: #README-TO-DECRYPT-FILES.txt
Email: reaction0@tutamail.com
➤ Обнаружения:
DrWeb -> Trojan.MulDrop29.10200
BitDefender -> Trojan.GenericKD.75904076
ESET-NOD32 -> A Variant Of Win32/Filecoder.OSN
Microsoft -> Ransom:Win32/Conti.IPA!MTB
TrendMicro -> Ransom_Conti.R053C0DC225
Вариант от 11 марта 2025:
Расширение: .<random 6 chars>
Пример полного расширения: .[ID-F51292E4].[Telegram ID @Adm1n_speed].OJNHOR
Записка: #README-TO-DECRYPT-FILES.txt
Telegram: @Adm1n_speed
➤ Обнаружения:
DrWeb -> Trojan.Encoder.41776
BitDefender -> Gen:Variant.Lazy.663648
ESET-NOD32 -> A Variant Of Win64/Filecoder.QZ
Microsoft -> TrojanDownloader:Win64/BazaarLoader.AA!MTB
TrendMicro -> TrojanSpy.Win64.NEGASTEAL.YXFCLZ
Вариант от 14 марта 2025 или раньше:
Расширение (шаблон): .<random 5 chars>
Расширение (пример): .pyfx8
Записка: #Recover-Files.txt
Email: blackdecryptor@gmail.com
Telegram: recoverydatasup@gmail.com
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Write-up, Topic of Support ***
Thanks: S!Ri, petik, cyfirma, pcrisk, rivitna Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.