Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)
Идём на летний корпоратив «Лаборатории Касперского»! Кто с нами? :)

проклятый RYUK

sanka
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, именно для этой версии вымогателя расшифровки нет.

Помощь в очистке системы от его следов нужна?

sanka

sanka

Опубликовано
  • Автор
Опубликовано

Да, хорошо бы. 

По логам вошли по рдп сразу под определенным пользователем (давно не используемым) и запустили ryuk. 

За несколько дней до этого тоже был вход-выход под этим пользователем.

 

 

Sandor

Sandor

Опубликовано
Опубликовано (изменено)
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.html [2023-03-02] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.txt [2023-03-02] () [Файл не подписан]
2023-03-04 15:09 - 2023-03-04 15:00 - 000000152 _____ C:\Users\TEMP.NT Service\RyukReadMe.html
2023-03-04 15:09 - 2023-03-02 01:52 - 000002233 _____ C:\Users\TEMP.NT Service\hrmlog1
2023-03-04 15:09 - 2023-03-02 01:52 - 000001103 _____ C:\Users\TEMP.NT Service\RyukReadMe.txt
2023-03-04 15:03 - 2023-03-04 15:00 - 000000152 _____ C:\Windows\RyukReadMe.html
2023-03-04 15:01 - 2023-03-04 15:01 - 000000858 _____ C:\Users\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-04 15:01 - 2023-03-04 15:01 - 000000858 _____ C:\Users\administrator\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-04 15:01 - 2023-03-04 15:00 - 000000152 _____ C:\Users\RyukReadMe.html
2023-03-04 15:01 - 2023-03-04 15:00 - 000000152 _____ C:\Users\Public\RyukReadMe.html
2023-03-04 15:01 - 2023-03-04 15:00 - 000000152 _____ C:\Users\Default\RyukReadMe.html
2023-03-04 15:01 - 2023-03-04 15:00 - 000000152 _____ C:\Users\administrator\RyukReadMe.html
2023-03-04 15:01 - 2023-03-04 15:00 - 000000152 _____ C:\Program Files (x86)\RyukReadMe.html
2023-03-04 15:01 - 2023-03-02 01:52 - 000002233 _____ C:\Users\administrator\Desktop\hrmlog1
2023-03-04 15:01 - 2023-03-02 01:52 - 000001103 _____ C:\Users\administrator\Desktop\RyukReadMe.txt
2023-03-04 15:00 - 2023-03-04 15:00 - 000000152 _____ C:\RyukReadMe.html
2023-03-04 15:00 - 2023-03-04 15:00 - 000000152 _____ C:\ProgramData\RyukReadMe.html
2023-03-04 15:00 - 2023-03-04 15:00 - 000000152 _____ C:\Program Files\RyukReadMe.html
2023-03-02 02:39 - 2023-03-02 01:52 - 000001103 _____ C:\Windows\RyukReadMe.txt
2023-03-02 01:55 - 2023-03-02 01:52 - 000001103 _____ C:\Users\Public\RyukReadMe.txt
2023-03-02 01:54 - 2023-03-02 01:52 - 000001103 _____ C:\Users\RyukReadMe.txt
2023-03-02 01:54 - 2023-03-02 01:52 - 000001103 _____ C:\Users\Default\RyukReadMe.txt
2023-03-02 01:54 - 2023-03-02 01:52 - 000001103 _____ C:\Users\administrator\RyukReadMe.txt
2023-03-02 01:53 - 2023-03-02 01:53 - 000000858 _____ C:\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-02 01:53 - 2023-03-02 01:53 - 000000858 _____ C:\Program Files\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-02 01:53 - 2023-03-02 01:53 - 000000858 _____ C:\Program Files (x86)\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-02 01:53 - 2023-03-02 01:52 - 000001103 _____ C:\RyukReadMe.txt
2023-03-02 01:53 - 2023-03-02 01:52 - 000001103 _____ C:\Program Files\RyukReadMe.txt
2023-03-02 01:53 - 2023-03-02 01:52 - 000001103 _____ C:\Program Files (x86)\RyukReadMe.txt
2023-03-02 01:52 - 2023-03-02 01:52 - 000001103 _____ C:\ProgramData\RyukReadMe.txt
2023-03-02 01:52 - 2023-03-02 01:52 - 000000292 _____ C:\ProgramData\hrmlog2
2023-03-02 01:52 - 2023-03-02 01:52 - 000000152 _____ C:\ProgramData\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-02 01:52 - 2023-03-02 01:52 - 000000032 _____ C:\ProgramData\nons
2023-03-02 01:52 - 2023-03-02 01:52 - 000000008 _____ C:\ProgramData\RYUKID
2023-03-02 01:52 - 2023-03-02 01:11 - 000906752 ___SH C:\ProgramData\ryuk.exe
FirewallRules: [{68B486FA-A827-4DB4-AE67-1C9D02FC2683}] => (Allow) LPort=3655
FirewallRules: [{C9E6804D-C6DA-4CD7-9791-23D359A25BDE}] => (Allow) LPort=3655
FirewallRules: [{08EFA91D-928E-4258-A6F5-4B6E1B8863B3}] => (Allow) LPort=40006
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vkams
      Шифровальщик .no_more_ransom [Shade Ransomware]
      Автор vkams
      Пользовательница открыла .zip-файл якобы из налоговой. По её словам, антивирус nod32 предупредил и, вроде, не дал выполнить. Через 30 мин, заметив проблемы с базой The bat! (часть писем не показывалась), обратилась ко мне. Я обнаружил признаки шифрования, по одной из тем в этом разделе убил 'C:\ProgramData\Windows\csrss.exe' с помощью AVZ, но огромное количество файлов и папок уже зашифрованы. Последующая проверка с помощью Kaspresky Security Scan, DrWeb CureIt!, Malwarebytes показали, что других заражений нет. Отчёты FRST прилагаю. 
       
      Есть ли расшифровщик?

      Папка quarantine была пустой, так что, может, ничего при запуске AVZ и не убилось, разве что перезагрузка прервала работу шифровальщика. Действовал в цейтноте, не слишком разумно... .
      Addition.zip
      FRST.zip
    • ArtMaster7
      Шифровщик email-moshiax@aol.com
      Автор ArtMaster7
      Доброго времени суток.
      Помогите....
      Получил 02.12.2015 письмо из налоговой, открыл и появились проблемы....
       
      CollectionLog-2016.01.17-01.05.zip
    • dezent17
      [РАСШИФРОВАНО] Шифровальщик honestandhope@qq.com
      Автор dezent17
      Добрый день!
      Поймал шифровальщик 3 года назад, оставил в надежде на появление решений по его расшифровке. Прочитал, что есть случаи разблокировки с данным email
      Система была переустановлена и остались лишь зашифрованные файлы с how_to_decrypt.hta
      Прошу помочь расшифровать
      Прикрепляю файлы для проверки, пароль 1111
       
      Спасибо!
      files.zip
    • cenpro
      Decoder_master@aol.com
      Автор cenpro
      Здравствуйте!
       
      Столкнулся с проблемой шифрования компьютера.
      Сделал сканирование. Прикрепляю файл 
      CollectionLog-2017.09.20-10.23.zip 
      И еще, появился файл 
      bootsqm.rar 
      Тоже прикрепил.
       
      Прошу помощи в дешифрации данных, пусть даже будет на платной основе.
       
      Спасибо за ранее! 
                                
      CollectionLog-2017.09.20-10.23.zip
      bootsqm.rar
    • Буп
      Шифровальщик @BeGood327
      Автор Буп
      Зашифровали данные у всех компьютеров, что были в сети. 
      Выдаёт везде сообщение:
      FOR UNLOCK - CONTACT TELEGRAMM @BeGood327
×
×
  • Создать...