Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте! 

Каким-то образом, скорее всего через почту, подхватили шифровальщик... Что делать не можем понять. На сервере зашифровался целый диск. На нем хранилось, к счастью, только мультимедиа.

 

Заметили случайно. Зашли картинку скачать, а там все файлы с припиской ...[Vulcanteam@CYBERFEAR.COM].RYK после расширения файла.

В каждой папке создались файлы: "RyukReadMe.txt", "hrmlog1"

Файлы предоставить не могу, так как сервер на данный момент отключили

 

Текст редми файла:

Your network has been penetrated.

All files on each host in the network have been encrypted with a strong algorithm.

Backups were either encrypted
Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.

We exclusively have decryption software for your situation.
More than a year ago, world experts recognized the impossibility of deciphering by any means except the original decoder.
No decryption software is available in the public.
Antiviruse companies, researchers, IT specialists, and no other persons cant help you decrypt the data.

DO NOT RESET OR SHUTDOWN - files may be damaged.
DO NOT DELETE readme files.

To confirm our honest intentions.Send 2 different random files and you will get it decrypted.
It can be from different computers on your network to be sure that one key decrypts everything.
2 files we unlock for free

To get info (decrypt your files) contact us at
RyanRinse@mailfence.com
or
RyanRinse@firemail.de

You will receive btc address for payment in the reply letter

Ryuk

No system is safe

Зашифрованные файлы - образец.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

4 минуты назад, SouL_77335 сказал:

В каждой папке создались файлы: "RyukReadMe.txt", "hrmlog1"

Файлы предоставить не могу, так как сервер на данный момент отключили

Тогда либо ждём когда включат, либо снимите жёсткий диск и подключите к другому компьютеру. Эти файлы нужны.

Ссылка на сообщение
Поделиться на другие сайты

@Sandor И так сервер запустили, файлы получил. На всякий случай так же закину оригиналы тех 3-х зашифрованных файлов

Оригиналы зашифрованных файлов.rar Шифровальщик - сопровождающие файлы.rar

 

Так же вот еще один файл обнаружили странный

Доп найденый вирФайл.rar

Ссылка на сообщение
Поделиться на другие сайты

Оригиналы не нужны.

Прикрепите, если возможно, несколько других зашифрованных. Файл hrmlog1 из той же папки, где лежат эти другие, тоже упакуйте и прикрепите.

Ссылка на сообщение
Поделиться на другие сайты

Доброго дня. Все файлы по вашей просьбе подготовил

hrmlog1_из_папки_с_другими_шифр_файлами.rar Другие_Шифр_Файлы.rar Логи_Farbar.rar

Ссылка на сообщение
Поделиться на другие сайты

Логи нужно переделать, запустив утилиту от имени администратора:

Цитата

Запущено с помощью GololobovAl (ВНИМАНИЕ: Пользователь не является Администратором) на SERVER1

 

К сожалению, похоже у вас другая модификация, для которой пока нет расшифровки.

Советую обратиться в тех-поддержку (конечно, при наличии лицензии).

Ссылка на сообщение
Поделиться на другие сайты

@Sandor Вот логи от имени Админа

 

А вот это инфа не очень...

Цитата

К сожалению, похоже у вас другая модификация, для которой пока нет расшифровки.

 

ЛогиFarbar_admin.rar

Ссылка на сообщение
Поделиться на другие сайты

Раз у вас установлен Kaspersky Small Office Security, то обратиться в поддержку следует через Company Account.

 

Скриптом мы только закроем разрешения на порты.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    FirewallRules: [{FBF6273C-95FF-4136-A027-97E6061CB64A}] => (Allow) LPort=475
    FirewallRules: [{B3E657EE-0DFD-4D46-80FB-32A59880CE90}] => (Allow) LPort=475
    FirewallRules: [{0769273E-2FC0-4032-9DEC-E1C9D8EC8E74}] => (Allow) LPort=10501
    FirewallRules: [{6162D001-8247-41B0-B380-2D39DD665E77}] => (Allow) LPort=9502
    FirewallRules: [{B15C0B80-0B47-4AF1-93FA-DE5C363E195B}] => (Allow) LPort=9502
    FirewallRules: [{4EFB497B-47F2-41F6-BA8E-2E4499A6E267}] => (Allow) LPort=9502
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Если будете обращаться в ТП, сообщите результат здесь, пожалуйста.

Ссылка на сообщение
Поделиться на другие сайты

Скрипт выполнять мне не разрешают. Там наш сетевик в ручном режиме с портами разбирался сам. А вот в Касперский попробую обратиться, если найду учетные данные)))

 

Запустили Касперского, был отключен по каким-то неведомым мне причинам, возможно был отключен при атаке, и вот что он нашел.

Вас интересуют данные файлы? Если да, то как наиболее аккуратно их можно выловить и отправить?

Kasperski_Screen_1.jpg

Kasperski_Screen_2.jpg

Ссылка на сообщение
Поделиться на другие сайты
Только что, SouL_77335 сказал:

был отключен по каким-то неведомым мне причинам

Пароли на админские учётки меняйте, скорее всего были взломаны.

 

Файлы вероятно понадобятся тех-поддержке. Их нужно будет упаковать с паролем. А пока попробуйте их загрузить на www.virustotal.com и покажите ссылку на результат анализа.

Ссылка на сообщение
Поделиться на другие сайты

Админки не тронуты. Был взломан пользователь, отключенная учетка "Vlasova", вычислили очень просто. Аккаунт был отключен и по факту пользователь у нас давно не работает, вчера же был зафиксирован разовый вход под ее учеткой. Это же подтверждает расположение вирусного файла

Вот лог проверки Каспера

 

Отчет о проверке Каспер 21-02-23.txt

Ссылка на сообщение
Поделиться на другие сайты

Вредонос виден ещё в некоторых местах:

Цитата

 

C:\ProgramData\RYUKID

C:\ProgramData\ryuk.exe

 

 

А прикрепите, пожалуйста, этот файл:

Цитата

C:\Users\Vlasova\Desktop\hrmlog2

 

Ссылка на сообщение
Поделиться на другие сайты

Я не могу зайти по пути с первого скриншота (С:\User\Vlasova\Desktop\5-NS.exe) - не хватает у меня прав

А другие 2 файла помещены в карантин, тоже не знаю где он находится и как файлы из него достать.

Главный админ не решается доставать даже NetScaner для загрузки на www.virustotal.com... Пока буду ждать указаний от него. 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • ruzome
      От ruzome
      YGXcPNLfKVnWvtb-Mail[Gilbertdecsupp@gmail.com]ID-[09241377651329].FLNDEA
      YGXcPNLfKVnWvtb-Mail[Gilbertdecsupp@gmail.com]ID-[09241377651329].zip
    • Den_donskoy_2024
      От Den_donskoy_2024
      Программа дня 
    • Eduard Kutuev
      От Eduard Kutuev
      Здравствуйте, вирус зашифровал данные на сервере, ещё нет дешифратора от этого типа? Могу предоставить файл-примеры.
    • Stepan1992
      От Stepan1992
      Добрый день! Попался как то я на вирус шифровальщика в 2020 году, с тех пор ОС не переустановливал, но файлы остались хотелось расшифровать если это возможно и никак не мог найти решение и вот пишу сюда чтоб кто то помог если это возможно.
      Во вложении файлы логи с Farbar Recovery Scan Tool и примеры файдов расшифровки  файлы с требованием к сожалению были сразу удалены
      FRST64.zip Duplicate File Remover v3.5.1287 Build 34 Final Eng_Rus.rar
    • decoy4ik
      От decoy4ik
      Добрый день, поймали вирус-шифровальщик, есть ли возможность расшифровки? Логи и архив с файлами прикреплен. Файл с требованием к сожалению был сразу удален.Addition.txtFRST.txt
      Desktop.rar
×
×
  • Создать...