Перейти к содержанию

проклятый RYUK

sanka
 Share Подписчики 1

Рекомендуемые сообщения

sanka

sanka 0

Опубликовано
Опубликовано

Добрый день!

 

Зашифровались файлы, добавились расширения .[vulcanteam@onionmail.org].RYK и .[vulcanteam@onionmail.org].RYKCRYPT.

Сам файл ryuk.exe у меня тоже есть.

Помогите, пожалуйста

Addition.txt FRST.txt зашифрованные.rar

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, именно для этой версии вымогателя расшифровки нет.

Помощь в очистке системы от его следов нужна?

Ссылка на сообщение
Поделиться на другие сайты
sanka

sanka 0

Опубликовано
  • Автор
Опубликовано

Да, хорошо бы. 

По логам вошли по рдп сразу под определенным пользователем (давно не используемым) и запустили ryuk. 

За несколько дней до этого тоже был вход-выход под этим пользователем.

 

 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано (изменено)
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.html [2023-03-02] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.txt [2023-03-02] () [Файл не подписан]
2023-03-04 15:09 - 2023-03-04 15:00 - 000000152 _____ C:\Users\TEMP.NT Service\RyukReadMe.html
2023-03-04 15:09 - 2023-03-02 01:52 - 000002233 _____ C:\Users\TEMP.NT Service\hrmlog1
2023-03-04 15:09 - 2023-03-02 01:52 - 000001103 _____ C:\Users\TEMP.NT Service\RyukReadMe.txt
2023-03-04 15:03 - 2023-03-04 15:00 - 000000152 _____ C:\Windows\RyukReadMe.html
2023-03-04 15:01 - 2023-03-04 15:01 - 000000858 _____ C:\Users\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-04 15:01 - 2023-03-04 15:01 - 000000858 _____ C:\Users\administrator\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-04 15:01 - 2023-03-04 15:00 - 000000152 _____ C:\Users\RyukReadMe.html
2023-03-04 15:01 - 2023-03-04 15:00 - 000000152 _____ C:\Users\Public\RyukReadMe.html
2023-03-04 15:01 - 2023-03-04 15:00 - 000000152 _____ C:\Users\Default\RyukReadMe.html
2023-03-04 15:01 - 2023-03-04 15:00 - 000000152 _____ C:\Users\administrator\RyukReadMe.html
2023-03-04 15:01 - 2023-03-04 15:00 - 000000152 _____ C:\Program Files (x86)\RyukReadMe.html
2023-03-04 15:01 - 2023-03-02 01:52 - 000002233 _____ C:\Users\administrator\Desktop\hrmlog1
2023-03-04 15:01 - 2023-03-02 01:52 - 000001103 _____ C:\Users\administrator\Desktop\RyukReadMe.txt
2023-03-04 15:00 - 2023-03-04 15:00 - 000000152 _____ C:\RyukReadMe.html
2023-03-04 15:00 - 2023-03-04 15:00 - 000000152 _____ C:\ProgramData\RyukReadMe.html
2023-03-04 15:00 - 2023-03-04 15:00 - 000000152 _____ C:\Program Files\RyukReadMe.html
2023-03-02 02:39 - 2023-03-02 01:52 - 000001103 _____ C:\Windows\RyukReadMe.txt
2023-03-02 01:55 - 2023-03-02 01:52 - 000001103 _____ C:\Users\Public\RyukReadMe.txt
2023-03-02 01:54 - 2023-03-02 01:52 - 000001103 _____ C:\Users\RyukReadMe.txt
2023-03-02 01:54 - 2023-03-02 01:52 - 000001103 _____ C:\Users\Default\RyukReadMe.txt
2023-03-02 01:54 - 2023-03-02 01:52 - 000001103 _____ C:\Users\administrator\RyukReadMe.txt
2023-03-02 01:53 - 2023-03-02 01:53 - 000000858 _____ C:\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-02 01:53 - 2023-03-02 01:53 - 000000858 _____ C:\Program Files\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-02 01:53 - 2023-03-02 01:53 - 000000858 _____ C:\Program Files (x86)\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-02 01:53 - 2023-03-02 01:52 - 000001103 _____ C:\RyukReadMe.txt
2023-03-02 01:53 - 2023-03-02 01:52 - 000001103 _____ C:\Program Files\RyukReadMe.txt
2023-03-02 01:53 - 2023-03-02 01:52 - 000001103 _____ C:\Program Files (x86)\RyukReadMe.txt
2023-03-02 01:52 - 2023-03-02 01:52 - 000001103 _____ C:\ProgramData\RyukReadMe.txt
2023-03-02 01:52 - 2023-03-02 01:52 - 000000292 _____ C:\ProgramData\hrmlog2
2023-03-02 01:52 - 2023-03-02 01:52 - 000000152 _____ C:\ProgramData\RyukReadMe.html.[vulcanteam@onionmail.org].RYK
2023-03-02 01:52 - 2023-03-02 01:52 - 000000032 _____ C:\ProgramData\nons
2023-03-02 01:52 - 2023-03-02 01:52 - 000000008 _____ C:\ProgramData\RYUKID
2023-03-02 01:52 - 2023-03-02 01:11 - 000906752 ___SH C:\ProgramData\ryuk.exe
FirewallRules: [{68B486FA-A827-4DB4-AE67-1C9D02FC2683}] => (Allow) LPort=3655
FirewallRules: [{C9E6804D-C6DA-4CD7-9791-23D359A25BDE}] => (Allow) LPort=3655
FirewallRules: [{08EFA91D-928E-4258-A6F5-4B6E1B8863B3}] => (Allow) LPort=40006
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • vldmrmail
      Шифровальщик испортил файлы
      От vldmrmail
      Здравствуйте.
       
      В систему проник шифровальщик и испортил файлы документов. Систему сразу отключил - она неработоспособна стала. Жесткий диск с данными подключил к другому компьютеру и с него вытащил зашифрованные файлы и файл с требованием выкупа от мошенников. Прошу помочь с дешифровкой файлов.
      flash.zip
    • V.Liderov
      Шифровальщик FuxSocy
      От V.Liderov
      Здравствуйте! 04.04.2024 Обнаружили что зашифрованы файлы на компьютере. Просьба помочь расшифровать файлы. Логов нет, т.к. операционная система переустановлена
      файл шифровальщика.rar
    • tized-NSK
      Зашифровано .rty, помогите расшифровать
      От tized-NSK
      Здравствуйте, у меня точно такаяже проблема с шифрованием файлов формат rty не подскажете как их расшифровать?  ShadeDecryptor не помог ,Kaspersky XoristDecryptor тоже не помог
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Александр Нефёдов
      Зашифрованы компьютеры в локальной сети. вымогатель DCHELP.ORG
      От Александр Нефёдов
      Добрый день.
      Столкнулся с проблемой блокировки загрузки ОС Windows Server 2016, и других.
      За ночь заблочило десять машин, которые не выключались.
      Пример блокировки на скрине.
      Диски не читаются, типа raw формат, поэтому как таковых зашифрованных файлов нет, вероятно зашифрован весь диск.
      вариант из статьи(https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html) с AOMEI не помог.
       
      За любые идеи которые помогу восстановить информацию буду благодарен .

    • AlexDreyk
      Шифровальщик 4ru9b88d70
      От AlexDreyk
      Добрый день! Просьба помочь с расшифровкой
      Addition.txt FRST.txt Зашифрованные файлы.zip
×
×
  • Создать...