Перейти к содержанию

проклятый RYUK

sanka
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, именно для этой версии вымогателя расшифровки нет.

Помощь в очистке системы от его следов нужна?

sanka

sanka

Опубликовано
  • Автор
Опубликовано

Да, хорошо бы. 

По логам вошли по рдп сразу под определенным пользователем (давно не используемым) и запустили ryuk. 

За несколько дней до этого тоже был вход-выход под этим пользователем.

 

 

Sandor

Sandor

Опубликовано
Опубликовано (изменено)
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.html [2023-03-02] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.txt [2023-03-02] () [Файл не подписан]
2023-03-04 15:09 - 2023-03-04 15:00 - 000000152 _____ C:\Users\TEMP.NT Service\RyukReadMe.html
2023-03-04 15:09 - 2023-03-02 01:52 - 000002233 _____ C:\Users\TEMP.NT Service\hrmlog1
2023-03-04 15:09 - 2023-03-02 01:52 - 000001103 _____ C:\Users\TEMP.NT Service\RyukReadMe.txt
2023-03-04 15:03 - 2023-03-04 15:00 - 000000152 _____ C:\Windows\RyukReadMe.html
2023-03-04 15:01 - 2023-03-04 15:01 - 000000858 _____ C:\Users\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-04 15:01 - 2023-03-04 15:01 - 000000858 _____ C:\Users\administrator\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-04 15:01 - 2023-03-04 15:00 - 000000152 _____ C:\Users\RyukReadMe.html
2023-03-04 15:01 - 2023-03-04 15:00 - 000000152 _____ C:\Users\Public\RyukReadMe.html
2023-03-04 15:01 - 2023-03-04 15:00 - 000000152 _____ C:\Users\Default\RyukReadMe.html
2023-03-04 15:01 - 2023-03-04 15:00 - 000000152 _____ C:\Users\administrator\RyukReadMe.html
2023-03-04 15:01 - 2023-03-04 15:00 - 000000152 _____ C:\Program Files (x86)\RyukReadMe.html
2023-03-04 15:01 - 2023-03-02 01:52 - 000002233 _____ C:\Users\administrator\Desktop\hrmlog1
2023-03-04 15:01 - 2023-03-02 01:52 - 000001103 _____ C:\Users\administrator\Desktop\RyukReadMe.txt
2023-03-04 15:00 - 2023-03-04 15:00 - 000000152 _____ C:\RyukReadMe.html
2023-03-04 15:00 - 2023-03-04 15:00 - 000000152 _____ C:\ProgramData\RyukReadMe.html
2023-03-04 15:00 - 2023-03-04 15:00 - 000000152 _____ C:\Program Files\RyukReadMe.html
2023-03-02 02:39 - 2023-03-02 01:52 - 000001103 _____ C:\Windows\RyukReadMe.txt
2023-03-02 01:55 - 2023-03-02 01:52 - 000001103 _____ C:\Users\Public\RyukReadMe.txt
2023-03-02 01:54 - 2023-03-02 01:52 - 000001103 _____ C:\Users\RyukReadMe.txt
2023-03-02 01:54 - 2023-03-02 01:52 - 000001103 _____ C:\Users\Default\RyukReadMe.txt
2023-03-02 01:54 - 2023-03-02 01:52 - 000001103 _____ C:\Users\administrator\RyukReadMe.txt
2023-03-02 01:53 - 2023-03-02 01:53 - 000000858 _____ C:\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-02 01:53 - 2023-03-02 01:53 - 000000858 _____ C:\Program Files\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-02 01:53 - 2023-03-02 01:53 - 000000858 _____ C:\Program Files (x86)\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-02 01:53 - 2023-03-02 01:52 - 000001103 _____ C:\RyukReadMe.txt
2023-03-02 01:53 - 2023-03-02 01:52 - 000001103 _____ C:\Program Files\RyukReadMe.txt
2023-03-02 01:53 - 2023-03-02 01:52 - 000001103 _____ C:\Program Files (x86)\RyukReadMe.txt
2023-03-02 01:52 - 2023-03-02 01:52 - 000001103 _____ C:\ProgramData\RyukReadMe.txt
2023-03-02 01:52 - 2023-03-02 01:52 - 000000292 _____ C:\ProgramData\hrmlog2
2023-03-02 01:52 - 2023-03-02 01:52 - 000000152 _____ C:\ProgramData\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-02 01:52 - 2023-03-02 01:52 - 000000032 _____ C:\ProgramData\nons
2023-03-02 01:52 - 2023-03-02 01:52 - 000000008 _____ C:\ProgramData\RYUKID
2023-03-02 01:52 - 2023-03-02 01:11 - 000906752 ___SH C:\ProgramData\ryuk.exe
FirewallRules: [{68B486FA-A827-4DB4-AE67-1C9D02FC2683}] => (Allow) LPort=3655
FirewallRules: [{C9E6804D-C6DA-4CD7-9791-23D359A25BDE}] => (Allow) LPort=3655
FirewallRules: [{08EFA91D-928E-4258-A6F5-4B6E1B8863B3}] => (Allow) LPort=40006
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • nsemak
      Необходима помощь в расшифровке файлов
      Автор nsemak
      Добрый день. Прошу помощи в расшифровке данных. Все по классике. Бухгалтер работала в терминальном сервере с правами админа, открыла почту и приехали. В архиве логи с программы "Farbar Recovery Scan Tool", зашифрованые файлы и файл о выкупе. 
       
      Файлы для анализа.zip
    • JIAMA
      Помощь с расшифровкой RYK/Ryuk
      Автор JIAMA
      Добрый день, система и диск с данными были зашифрованы, на данный момент системный диск переустановлен, на форуме уже были успешные расшифровки по данному вирусу, надеюсь и нам получится помочь, прикреплен файл с образцами (пароль virus)
      шифр файлы.rar
    • mr_ujin
      шифровальщик
      Автор mr_ujin
      ..здравствуйте..помещены в архив с паролем файлы архивов..и файлы с рабочего стола...просят написать на почты для получения  пароля от архива..Addition.txtFRST.txt
      ...архивные файлы слишком большие от 10ГБ..
      ..в архиве только файл с требованиями..pass winrar — копия.rar
      Addition.txt FRST.txt
    • Lord2454
      Шифровальщик enkacrypt
      Автор Lord2454
      Добрый день.
      Прошу помочь.
       
      Файлы FRST:
      Addition.txtFRST.txt  
       
      Архив с зашифрованными файлами (пароль virus). Сообщение от вымогателей там же.
      Decrypt_enkacrypt.rar
    • ИТ45
      Trojan.Encoder.35209
      Автор ИТ45
      Добрый день! Просим помощи у кого есть дешифратор
×
×
  • Создать...