Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

проклятый RYUK

sanka
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, именно для этой версии вымогателя расшифровки нет.

Помощь в очистке системы от его следов нужна?

sanka

sanka

Опубликовано
  • Автор
Опубликовано

Да, хорошо бы. 

По логам вошли по рдп сразу под определенным пользователем (давно не используемым) и запустили ryuk. 

За несколько дней до этого тоже был вход-выход под этим пользователем.

 

 

Sandor

Sandor

Опубликовано
Опубликовано (изменено)
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.html [2023-03-02] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.txt [2023-03-02] () [Файл не подписан]
2023-03-04 15:09 - 2023-03-04 15:00 - 000000152 _____ C:\Users\TEMP.NT Service\RyukReadMe.html
2023-03-04 15:09 - 2023-03-02 01:52 - 000002233 _____ C:\Users\TEMP.NT Service\hrmlog1
2023-03-04 15:09 - 2023-03-02 01:52 - 000001103 _____ C:\Users\TEMP.NT Service\RyukReadMe.txt
2023-03-04 15:03 - 2023-03-04 15:00 - 000000152 _____ C:\Windows\RyukReadMe.html
2023-03-04 15:01 - 2023-03-04 15:01 - 000000858 _____ C:\Users\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-04 15:01 - 2023-03-04 15:01 - 000000858 _____ C:\Users\administrator\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-04 15:01 - 2023-03-04 15:00 - 000000152 _____ C:\Users\RyukReadMe.html
2023-03-04 15:01 - 2023-03-04 15:00 - 000000152 _____ C:\Users\Public\RyukReadMe.html
2023-03-04 15:01 - 2023-03-04 15:00 - 000000152 _____ C:\Users\Default\RyukReadMe.html
2023-03-04 15:01 - 2023-03-04 15:00 - 000000152 _____ C:\Users\administrator\RyukReadMe.html
2023-03-04 15:01 - 2023-03-04 15:00 - 000000152 _____ C:\Program Files (x86)\RyukReadMe.html
2023-03-04 15:01 - 2023-03-02 01:52 - 000002233 _____ C:\Users\administrator\Desktop\hrmlog1
2023-03-04 15:01 - 2023-03-02 01:52 - 000001103 _____ C:\Users\administrator\Desktop\RyukReadMe.txt
2023-03-04 15:00 - 2023-03-04 15:00 - 000000152 _____ C:\RyukReadMe.html
2023-03-04 15:00 - 2023-03-04 15:00 - 000000152 _____ C:\ProgramData\RyukReadMe.html
2023-03-04 15:00 - 2023-03-04 15:00 - 000000152 _____ C:\Program Files\RyukReadMe.html
2023-03-02 02:39 - 2023-03-02 01:52 - 000001103 _____ C:\Windows\RyukReadMe.txt
2023-03-02 01:55 - 2023-03-02 01:52 - 000001103 _____ C:\Users\Public\RyukReadMe.txt
2023-03-02 01:54 - 2023-03-02 01:52 - 000001103 _____ C:\Users\RyukReadMe.txt
2023-03-02 01:54 - 2023-03-02 01:52 - 000001103 _____ C:\Users\Default\RyukReadMe.txt
2023-03-02 01:54 - 2023-03-02 01:52 - 000001103 _____ C:\Users\administrator\RyukReadMe.txt
2023-03-02 01:53 - 2023-03-02 01:53 - 000000858 _____ C:\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-02 01:53 - 2023-03-02 01:53 - 000000858 _____ C:\Program Files\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-02 01:53 - 2023-03-02 01:53 - 000000858 _____ C:\Program Files (x86)\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-02 01:53 - 2023-03-02 01:52 - 000001103 _____ C:\RyukReadMe.txt
2023-03-02 01:53 - 2023-03-02 01:52 - 000001103 _____ C:\Program Files\RyukReadMe.txt
2023-03-02 01:53 - 2023-03-02 01:52 - 000001103 _____ C:\Program Files (x86)\RyukReadMe.txt
2023-03-02 01:52 - 2023-03-02 01:52 - 000001103 _____ C:\ProgramData\RyukReadMe.txt
2023-03-02 01:52 - 2023-03-02 01:52 - 000000292 _____ C:\ProgramData\hrmlog2
2023-03-02 01:52 - 2023-03-02 01:52 - 000000152 _____ C:\ProgramData\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-02 01:52 - 2023-03-02 01:52 - 000000032 _____ C:\ProgramData\nons
2023-03-02 01:52 - 2023-03-02 01:52 - 000000008 _____ C:\ProgramData\RYUKID
2023-03-02 01:52 - 2023-03-02 01:11 - 000906752 ___SH C:\ProgramData\ryuk.exe
FirewallRules: [{68B486FA-A827-4DB4-AE67-1C9D02FC2683}] => (Allow) LPort=3655
FirewallRules: [{C9E6804D-C6DA-4CD7-9791-23D359A25BDE}] => (Allow) LPort=3655
FirewallRules: [{08EFA91D-928E-4258-A6F5-4B6E1B8863B3}] => (Allow) LPort=40006
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • СергейПенза
      Вирус шифровальщик *zmsgrcl
      Автор СергейПенза
      Здравствуйте! Вирус зашифровал офисные файлы, .pdf, .jpeg, архивы. У всех файлов добавлено расширение .zmsgrcl
      Прикрепляю 2 версии одного файла, зашифрованную и обычную, рабочую, так же CureIt нашел тело вируса(2 файла с одинаковым размером, но разными именами), временная активность совпадает с временем поражения. Так же прикрепляю логи. Пароль на архив infected
      Заранее спасибо!
       

      Строгое предупреждение от модератора Roman_Five Зловреда выкладывать не надо! CollectionLog-2015.01.29-11.52.zip
    • vi-ego
      Вирус-шифровальщик
      Автор vi-ego
      Всем добрый день. У меня такая вот проблемка. На днях user  открыл почтовое сообщение в котором было тело вируса и естественно его запустил по незнанию, в результате в течении минуты были зашифрованы все файлы на его рабочей машине. Помогите исправить, как можно дешифровать данные? Все нужные файлы во вложении. Ни в коем случае не запускаем файл с расширением . exe иначе Ваши файлы все зашифруются..
       
       

      Сообщение от модератора Карантин в теме Doc1.doc
    • vkams
      Шифровальщик .no_more_ransom [Shade Ransomware]
      Автор vkams
      Пользовательница открыла .zip-файл якобы из налоговой. По её словам, антивирус nod32 предупредил и, вроде, не дал выполнить. Через 30 мин, заметив проблемы с базой The bat! (часть писем не показывалась), обратилась ко мне. Я обнаружил признаки шифрования, по одной из тем в этом разделе убил 'C:\ProgramData\Windows\csrss.exe' с помощью AVZ, но огромное количество файлов и папок уже зашифрованы. Последующая проверка с помощью Kaspresky Security Scan, DrWeb CureIt!, Malwarebytes показали, что других заражений нет. Отчёты FRST прилагаю. 
       
      Есть ли расшифровщик?

      Папка quarantine была пустой, так что, может, ничего при запуске AVZ и не убилось, разве что перезагрузка прервала работу шифровальщика. Действовал в цейтноте, не слишком разумно... .
      Addition.zip
      FRST.zip
    • ArtMaster7
      Шифровщик email-moshiax@aol.com
      Автор ArtMaster7
      Доброго времени суток.
      Помогите....
      Получил 02.12.2015 письмо из налоговой, открыл и появились проблемы....
       
      CollectionLog-2016.01.17-01.05.zip
    • dezent17
      [РАСШИФРОВАНО] Шифровальщик honestandhope@qq.com
      Автор dezent17
      Добрый день!
      Поймал шифровальщик 3 года назад, оставил в надежде на появление решений по его расшифровке. Прочитал, что есть случаи разблокировки с данным email
      Система была переустановлена и остались лишь зашифрованные файлы с how_to_decrypt.hta
      Прошу помочь расшифровать
      Прикрепляю файлы для проверки, пароль 1111
       
      Спасибо!
      files.zip
×
×
  • Создать...