Перейти к содержанию

проклятый RYUK

sanka
 Share

Рекомендуемые сообщения

sanka Новичок

sanka

Опубликовано
Опубликовано

Добрый день!

 

Зашифровались файлы, добавились расширения .[vulcanteam@onionmail.org].RYK и .[vulcanteam@onionmail.org].RYKCRYPT.

Сам файл ryuk.exe у меня тоже есть.

Помогите, пожалуйста

Addition.txt FRST.txt зашифрованные.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, именно для этой версии вымогателя расшифровки нет.

Помощь в очистке системы от его следов нужна?

Ссылка на комментарий
Поделиться на другие сайты
sanka Новичок

sanka

Опубликовано
  • Автор
Опубликовано

Да, хорошо бы. 

По логам вошли по рдп сразу под определенным пользователем (давно не используемым) и запустили ryuk. 

За несколько дней до этого тоже был вход-выход под этим пользователем.

 

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.html [2023-03-02] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.txt [2023-03-02] () [Файл не подписан]
2023-03-04 15:09 - 2023-03-04 15:00 - 000000152 _____ C:\Users\TEMP.NT Service\RyukReadMe.html
2023-03-04 15:09 - 2023-03-02 01:52 - 000002233 _____ C:\Users\TEMP.NT Service\hrmlog1
2023-03-04 15:09 - 2023-03-02 01:52 - 000001103 _____ C:\Users\TEMP.NT Service\RyukReadMe.txt
2023-03-04 15:03 - 2023-03-04 15:00 - 000000152 _____ C:\Windows\RyukReadMe.html
2023-03-04 15:01 - 2023-03-04 15:01 - 000000858 _____ C:\Users\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-04 15:01 - 2023-03-04 15:01 - 000000858 _____ C:\Users\administrator\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-04 15:01 - 2023-03-04 15:00 - 000000152 _____ C:\Users\RyukReadMe.html
2023-03-04 15:01 - 2023-03-04 15:00 - 000000152 _____ C:\Users\Public\RyukReadMe.html
2023-03-04 15:01 - 2023-03-04 15:00 - 000000152 _____ C:\Users\Default\RyukReadMe.html
2023-03-04 15:01 - 2023-03-04 15:00 - 000000152 _____ C:\Users\administrator\RyukReadMe.html
2023-03-04 15:01 - 2023-03-04 15:00 - 000000152 _____ C:\Program Files (x86)\RyukReadMe.html
2023-03-04 15:01 - 2023-03-02 01:52 - 000002233 _____ C:\Users\administrator\Desktop\hrmlog1
2023-03-04 15:01 - 2023-03-02 01:52 - 000001103 _____ C:\Users\administrator\Desktop\RyukReadMe.txt
2023-03-04 15:00 - 2023-03-04 15:00 - 000000152 _____ C:\RyukReadMe.html
2023-03-04 15:00 - 2023-03-04 15:00 - 000000152 _____ C:\ProgramData\RyukReadMe.html
2023-03-04 15:00 - 2023-03-04 15:00 - 000000152 _____ C:\Program Files\RyukReadMe.html
2023-03-02 02:39 - 2023-03-02 01:52 - 000001103 _____ C:\Windows\RyukReadMe.txt
2023-03-02 01:55 - 2023-03-02 01:52 - 000001103 _____ C:\Users\Public\RyukReadMe.txt
2023-03-02 01:54 - 2023-03-02 01:52 - 000001103 _____ C:\Users\RyukReadMe.txt
2023-03-02 01:54 - 2023-03-02 01:52 - 000001103 _____ C:\Users\Default\RyukReadMe.txt
2023-03-02 01:54 - 2023-03-02 01:52 - 000001103 _____ C:\Users\administrator\RyukReadMe.txt
2023-03-02 01:53 - 2023-03-02 01:53 - 000000858 _____ C:\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-02 01:53 - 2023-03-02 01:53 - 000000858 _____ C:\Program Files\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-02 01:53 - 2023-03-02 01:53 - 000000858 _____ C:\Program Files (x86)\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-02 01:53 - 2023-03-02 01:52 - 000001103 _____ C:\RyukReadMe.txt
2023-03-02 01:53 - 2023-03-02 01:52 - 000001103 _____ C:\Program Files\RyukReadMe.txt
2023-03-02 01:53 - 2023-03-02 01:52 - 000001103 _____ C:\Program Files (x86)\RyukReadMe.txt
2023-03-02 01:52 - 2023-03-02 01:52 - 000001103 _____ C:\ProgramData\RyukReadMe.txt
2023-03-02 01:52 - 2023-03-02 01:52 - 000000292 _____ C:\ProgramData\hrmlog2
2023-03-02 01:52 - 2023-03-02 01:52 - 000000152 _____ C:\ProgramData\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-02 01:52 - 2023-03-02 01:52 - 000000032 _____ C:\ProgramData\nons
2023-03-02 01:52 - 2023-03-02 01:52 - 000000008 _____ C:\ProgramData\RYUKID
2023-03-02 01:52 - 2023-03-02 01:11 - 000906752 ___SH C:\ProgramData\ryuk.exe
FirewallRules: [{68B486FA-A827-4DB4-AE67-1C9D02FC2683}] => (Allow) LPort=3655
FirewallRules: [{C9E6804D-C6DA-4CD7-9791-23D359A25BDE}] => (Allow) LPort=3655
FirewallRules: [{08EFA91D-928E-4258-A6F5-4B6E1B8863B3}] => (Allow) LPort=40006
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • РоманАнатольевич
      шифровальщик-вымогатель ryuk
      От РоманАнатольевич
      После одних выходных, при включении бухгалтерского компьютера, девочки наши не смогли войти в систему, был установлен кем-то пароль, пароль с помощью утилиты удалось сбросить и войти в систему, при запуске открылся txt файл записка от злоумышленников и оказалось, что все фалы зашифрованы. Компьютер был отключен от сети. Встроенный Defender был отключен и а при его включении  и быстром сканировании был обнаружен вирус ryuk64 и помещен в карантин. Прикрепляю логи программы Farbar Recovery Scan Tool, архивированный ryuk64.exe, сообщение о выкупе и два зашифрованных файла.
      Addition.txt FRST.txt Ryuk64(пароль virus).rar Зашифрованные файлы.zip
    • mr1www
      RYUK шифровальщик
      От mr1www
      Доброго времени суток!
      Были зашифрованы файлы. В автозагрузке найден троян ryuk.exe, антивирус Касперского определил как "HEUR:Trojan-Ransom.Win32.Generic". В папке программ дата есть файл "RYUKID". Зашифрованные файлы имеют расширение .RYK и .RYKCRYPT. 
      Прошу помощи в дешифровке. Образец прилагаю.
      decrypt.rar
    • VBarabash
      [РАСШИФРОВАНО] шифровальщик RYUK
      От VBarabash
      Добрый день. В ночь с 23 на 24 февраля были зашифрованы все файлы на компьютере. Помогите, пожалуйста, в расшифровке, если можете.
      Addition.txt FRST.txt RyukReadMe.rar Addition.txt
    • igsdv
      Шифровальщик Ryuk
      От igsdv
      Здравствуйте! Необходима помощь в удалении вируса ryuk и дешифровке файлов. Необходимые файлы прилагаю.
       
      Addition.txt files.zip FRST.txt
    • JIAMA
      Помощь с расшифровкой RYK/Ryuk
      От JIAMA
      Добрый день, система и диск с данными были зашифрованы, на данный момент системный диск переустановлен, на форуме уже были успешные расшифровки по данному вирусу, надеюсь и нам получится помочь, прикреплен файл с образцами (пароль virus)
      шифр файлы.rar
×
×
  • Создать...