Перейти к содержанию

шифровальщик-вымогатель ryuk

РоманАнатольевич

От РоманАнатольевич
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

РоманАнатольевич Новичок

РоманАнатольевич

Опубликовано
Опубликовано

После одних выходных, при включении бухгалтерского компьютера, девочки наши не смогли войти в систему, был установлен кем-то пароль, пароль с помощью утилиты удалось сбросить и войти в систему, при запуске открылся txt файл записка от злоумышленников и оказалось, что все фалы зашифрованы. Компьютер был отключен от сети. Встроенный Defender был отключен и а при его включении  и быстром сканировании был обнаружен вирус ryuk64 и помещен в карантин. Прикрепляю логи программы Farbar Recovery Scan Tool, архивированный ryuk64.exe, сообщение о выкупе и два зашифрованных файла.

Addition.txt FRST.txt Ryuk64(пароль virus).rar Зашифрованные файлы.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Сначала чистим систему:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig]  <==== ВНИМАНИЕ
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ryuk.exe [2023-02-03] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.html [2023-02-24] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.txt [2023-02-24] () [Файл не подписан]
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ryuk.exe [2023-02-03] () [Файл не подписан]
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {C603B076-2174-4EEA-8E5D-E4C183F157E8} - System32\Tasks\ryk => C:\ProgramData\Microsoft\Windows\Start [Argument = Menu\Programs\StartUp\ryuk.exe]
Task: {F2901086-AFB7-4CF0-A06D-7821EAAEEF52} - System32\Tasks\RYUK => C:\ProgramData\Microsoft\Windows\Start [Argument = Menu\Programs\StartUp\ryuk.exe]
2023-02-27 11:30 - 2023-02-27 11:30 - 000000152 _____ C:\WINDOWS\RyukReadMe.html
2023-02-27 11:30 - 2023-02-27 11:30 - 000000152 _____ C:\Users\user\RyukReadMe.html
2023-02-27 11:30 - 2023-02-27 11:30 - 000000152 _____ C:\Users\user\Downloads\RyukReadMe.html
2023-02-27 11:30 - 2023-02-27 11:30 - 000000152 _____ C:\Users\user\Documents\RyukReadMe.html
2023-02-27 11:30 - 2023-02-27 11:30 - 000000152 _____ C:\Users\user\Desktop\RyukReadMe.html
2023-02-27 11:30 - 2023-02-27 11:30 - 000000152 _____ C:\Users\user\AppData\RyukReadMe.html
2023-02-27 11:30 - 2023-02-27 11:30 - 000000152 _____ C:\Users\RyukReadMe.html
2023-02-27 11:30 - 2023-02-27 11:30 - 000000152 _____ C:\Users\Public\RyukReadMe.html
2023-02-27 11:30 - 2023-02-27 11:30 - 000000152 _____ C:\Users\Default\RyukReadMe.html
2023-02-27 11:30 - 2023-02-27 11:30 - 000000152 _____ C:\RyukReadMe.html
2023-02-27 11:30 - 2023-02-27 11:30 - 000000152 _____ C:\ProgramData\RyukReadMe.html
2023-02-27 11:30 - 2023-02-27 11:30 - 000000152 _____ C:\Program Files\RyukReadMe.html
2023-02-27 11:30 - 2023-02-27 11:30 - 000000152 _____ C:\Program Files (x86)\RyukReadMe.html
2023-02-24 00:09 - 2023-02-24 00:01 - 000001103 _____ C:\WINDOWS\RyukReadMe.txt
2023-02-24 00:09 - 2023-02-24 00:01 - 000001103 _____ C:\Users\user\Downloads\RyukReadMe.txt
2023-02-24 00:09 - 2023-02-24 00:01 - 000001103 _____ C:\Users\user\Documents\RyukReadMe.txt
2023-02-24 00:05 - 2023-02-24 00:01 - 000001103 _____ C:\Users\user\RyukReadMe.txt
2023-02-24 00:05 - 2023-02-24 00:01 - 000001103 _____ C:\Users\user\AppData\RyukReadMe.txt
2023-02-24 00:05 - 2023-02-24 00:01 - 000001103 _____ C:\Users\RyukReadMe.txt
2023-02-24 00:05 - 2023-02-24 00:01 - 000001103 _____ C:\Users\Public\RyukReadMe.txt
2023-02-24 00:05 - 2023-02-24 00:01 - 000001103 _____ C:\Users\Default\RyukReadMe.txt
2023-02-24 00:02 - 2023-02-24 00:01 - 000001103 _____ C:\RyukReadMe.txt
2023-02-24 00:02 - 2023-02-24 00:01 - 000001103 _____ C:\Program Files\RyukReadMe.txt
2023-02-24 00:02 - 2023-02-24 00:01 - 000001103 _____ C:\Program Files (x86)\RyukReadMe.txt
2023-02-24 00:01 - 2023-03-09 15:06 - 000001103 _____ C:\Users\user\Desktop\RyukReadMe.txt
2023-02-24 00:01 - 2023-02-27 11:30 - 000003366 _____ C:\WINDOWS\system32\Tasks\RYUK
2023-02-24 00:01 - 2023-02-27 11:30 - 000003272 _____ C:\WINDOWS\system32\Tasks\ryk
2023-02-24 00:01 - 2023-02-24 00:01 - 000001103 _____ C:\ProgramData\RyukReadMe.txt
2023-02-24 00:01 - 2023-02-24 00:01 - 000000292 ___SH C:\ProgramData\hrmlog2
2023-02-24 00:01 - 2023-02-24 00:01 - 000000292 _____ C:\Users\user\Desktop\hrmlog2
2023-02-24 00:01 - 2023-02-24 00:01 - 000000008 _____ C:\Users\user\Desktop\RYUKID
2023-02-24 00:01 - 2023-02-24 00:01 - 000000008 _____ C:\ProgramData\RYUKID
2023-02-24 00:01 - 2023-02-24 00:01 - 000000008 _____ C:\ProgramData\nons
2023-02-24 00:01 - 2023-02-03 08:39 - 000906752 ___SH C:\ProgramData\ryuk.exe
2023-02-24 00:01 - 2023-02-03 08:39 - 000906752 _____ C:\Users\user\Desktop\Ryuk64.exe
AV: Avast Antivirus (Enabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF}
AV: 360 Total Security (Enabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}
FirewallRules: [{75DDFA3F-B000-4986-8A57-03072CCF9063}] => (Allow) LPort=9244
FirewallRules: [{1E275BFA-8294-4244-9F84-7A49731BB950}] => (Allow) LPort=3702
FirewallRules: [{FB4D452A-966B-4829-BAE9-6D386569659E}] => (Allow) LPort=9422
FirewallRules: [{880AAFDF-8F26-4B69-87C4-4D97E00288B7}] => (Allow) LPort=9245
FirewallRules: [{F5E9EA4A-7277-4FD7-8B8D-5FD12833884E}] => (Allow) LPort=9246
FirewallRules: [{2AAE741D-9066-47BD-9D2D-71BAB4E206F3}] => (Allow) LPort=9247
FirewallRules: [{CA2913F7-D7BB-4DE8-B65F-9E4C1DE3194D}] => (Allow) LPort=9444
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Ещё один небольшой скрипт выполните в безопасном режиме, пожалуйста:

 

  • Выделите следующий код: 
  • Start::
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\TemporaryPaths|\\?\C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\ryuk.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\TemporaryPaths|\\?\C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ryuk.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\TemporaryPaths|\\?\C:\Users\user\Desktop\Ryuk64.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\TemporaryPaths|\\?\C:\Users\user\Desktop\Ryuk64\Ryuk64.exe
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Rome0
      Шифровальщик-вымогатель .kwx8
      От Rome0
      15.02 ночью. Судя по всему RDP. На комп был проброшен нестандартный порт. Комп для удаленного подключения был включен круглосуточно. Все бы ничего, но остались незавершенные сессии с сетевым хранилищем NAS и там тоже все зашифровало... Все файлы с расширением .kwx8
      Без Вашей помощи не обойтись явно.
      Desktop.zip
    • Always_Young
      Шифровальщик вымогатель. Расширение .y8ItHTbGJ
      От Always_Young
      Здравствуйте! На ПК пришло письмо с файлом с раширением .cab. Файл находится в облаке. Скрин проверки с VirusTotal прилагается. После этого все документы JPEG, JPG,PDF,XLSX,DOCX оказались зашифрованы. Доступ на ПК осуществлялся удаленно, через AnyDesk. В сети три ПК и один ноутбук по Wi-Fi. Заражен оказался один. Есть ли возможность расшифровать? 

      Addition.txt FRST.txt y8ItHTbGJ.README.txt Файлы шифр.zip
    • WiziR
      Ryuk вернулся
      От WiziR
      Приветствую!
      Пришли с праздников и вот обнаружили сообщение при входе  систему о шифрации.

       
      Your network has been penetrated.
      All files on each host in the network have been encrypted with a strong algorithm. 
      Backups were either encrypted
      Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.
      We exclusively have decryption software for your situation. 
      More than a year ago, world experts recognized the impossibility of deciphering by any means except the original decoder. 
      No decryption software is available in the public.
      Antiviruse companies, researchers, IT specialists, and no other persons cant help you decrypt the data. 
      DO NOT RESET OR SHUTDOWN - files may be damaged.
      DO NOT DELETE readme files. 
      To confirm our honest intentions.Send 2 different random files and you will get it decrypted. 
      It can be from different computers on your network to be sure that one key decrypts everything.
      2 files we unlock for free
      To get info (decrypt your files) contact us at 
      dectokyo@onionmail.org
      or
      dectokyo@cock.li , TELEGRAM : @tokyosupp
      You will receive btc address for payment in the reply letter 
      Ryuk
      No system is safe
       
      В корне диска папка с именем !!1 в нем следующее сообщение $Risen_Note.txt
       
      RisenNote :

      Read this text file carefully.
      We have penetrated your whole network due some critical security issues.
      We have encrypted all of your files on each host in the network within strong algorithm.
      We have also Took your critical data such as docs, images, engineering data, accounting data, customers and ...
          And trust me, we exactly know what should we collect in case of NO corporation until the end of the deadline we WILL leak or sell your data,
          the only way to stop this process is successful corporation.
      We have monitored your Backup plans for a whileand they are completely out of access(encrypted)
      The only situation for recovering your files is our decryptor,
          there are many middle man services out there whom will contact us for your caseand add an amount of money on the FIXED price that we gave to them,
          so be aware of them.
      Remember, you can send Upto 3 test files for decrypting, before making payment,
          we highly recommend to get test files to prevent possible scams.
      In order to contact us you can either use following email :
      Email address : gotchadec@onionmail.org
      Or If you weren't able to contact us whitin 24 hours please Email : Yamaguchigumi@cock.li, TELEGRAM:@GotchaDec
      Leave subject as your machine id : C5TEDZHBWD
      If you didn't get any respond within 72 hours use our blog to contact us, 
      therefore we can create another way for you to contact your cryptor as soon as possible.
      TOR BLOG : https://cqqzfmdd2fwshfyic6srf3fxjjigiipqdygosk6sdifstrbtxnm5bead.onion
       
      Ниже все вложения с логами сканирования FRST.rar
      Зашифрованные файлы в архиве FRST1.rar
      Просим помощи в расшифровке содержимого наших данных.
      !!1.rar hrmlog1.rar FRST.rar FRST1.rar
    • BORIS59
      [РАСШИФРОВАНО] Поймал шифровальщика вымогателя.
      От BORIS59
      Доброго времечка поймал шифровальщик, система не переустанавливалась.
      Зашифровали файлы (WANNACASH NCOV v170720), требуют выкуп!
      Попался на поиске ключей ESET, в 2020г. Обращался в ESET про пудрили
      мозг и смылись. Приложил скрин kvrt сделан сразу после шифровки.
      Подскажите, пожалуйста, возможно восстановить?

      Farbar Recovery Scan Tool.zip Файлы с требованиями злоумышленников.zip Зашифрованные файлы.zip
    • Алексей Андронов
      Поймали по почте шифровальщик-вымогатель
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
×
×
  • Создать...