Sauron

Sauron Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41150
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win64/Filecoder.PP
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win64/Lockbit.AC!MTB
Rising -> Ransom.Agent!8.6B7 (CLOUD)

Symantec -> Ransom.Zombie
Tencent -> Malware.Win32.Gencirc.10c05a0a
TrendMicro -> Ransom.Win64.CONTI.SMYPDL1
---

© Генеалогия: ✂ Conti, ✂ LockBit + другой код >> Sauron

Сайт "ID Ransomware" идентифицирует это как Sauron с 11 января 2025. 

Информация для идентификации

Активность этого крипто-вымогателя была замечена в середине — второй половине октября 2024 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .Sauron

Фактически используется составное расширение по шаблону: .[ID-{ID}].[<email>].Sauron

Пример такого расширения: .[ID-35AEE360].[adm.helproot@gmail.com].Sauron

Записка с требованием выкупа называется: #HowToRecover.txt

Содержание записки о выкупе:

Your Files Have Been Encrypted!

Attention!

All your important files have been stolen and encrypted by our advanced attack.

Without our special decryption software, theres no way to recover your data!

Your ID: [ 35AEE360 ]

To restore your files, reach out to us at: adm.helproot@gmail.com

You can also contact us via Telegram: @adm_helproot

Failing to act may result in sensitive company data being leaked or sold.

Do NOT use third-party tools, as they may permanently damage your files.

Why Trust Us?

Before making any payment, you can send us few files for free decryption test.

Our business relies on fulfilling our promises.

How to Buy Bitcoin?

You can purchase Bitcoin to pay the ransom using these trusted platforms:

xxxxs://www.kraken.com/learn/buy-bitcoin-btc

xxxxs://www.coinbase.com/en-gb/how-to-buy/bitcoin

xxxxs://paxful.com

Перевод записки на русский язык:

Ваши файлы зашифрованы!

Внимание!

Все ваши важные файлы были украдены и зашифрованы нашей передовой атакой.

Без нашего специального программного обеспечения для дешифрования восстановить ваши данные невозможно!

Ваш идентификатор: ***

Чтобы восстановить ваши файлы, свяжитесь с нами по email: adm.helproot@gmail.com

Вы также можете связаться с нами через Telegram: @adm_helproot

Бездействие может привести к утечке или продаже конфиденциальных данных компании.

НЕ используйте сторонние инструменты, так как они могут навсегда повредить ваши файлы.

Почему нам доверяют?

Перед совершением платежа вы можете отправить нам несколько файлов для бесплатной тест-расшифровки.

Наш бизнес основан на выполнении наших обещаний.

***

Также используется изображение, заменяющее обои Рабочего стола, с текстом:

SAURON

All your files are encrypted

for more information see #HowToRecover.txt that is located in every encrypted folder

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#HowToRecover.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: adm.helproot@gmail.com
BTC: -

Telegram: @adm_helproot

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG

MD5: eb13533a89da9762d93de5d54966df5f 

SHA-1: c0d2cef9149395218eb3a91afe6cbbdbf0181c65 

SHA-256: 3dc6902dc87d976787bdf0878e7174ec526df613645d3f275e0216d05cf2d217 

Vhash: 065076655d155515555078z657z17z2011z35z27z 

Imphash: b5f1a1d1c89893764273d20e9396c5d5

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 S!Ri, petik, cyfirma, pcrisk
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.