Перейти к содержанию

шифровальщик-вымогатель ryuk


Рекомендуемые сообщения

После одних выходных, при включении бухгалтерского компьютера, девочки наши не смогли войти в систему, был установлен кем-то пароль, пароль с помощью утилиты удалось сбросить и войти в систему, при запуске открылся txt файл записка от злоумышленников и оказалось, что все фалы зашифрованы. Компьютер был отключен от сети. Встроенный Defender был отключен и а при его включении  и быстром сканировании был обнаружен вирус ryuk64 и помещен в карантин. Прикрепляю логи программы Farbar Recovery Scan Tool, архивированный ryuk64.exe, сообщение о выкупе и два зашифрованных файла.

Addition.txt FRST.txt Ryuk64(пароль virus).rar Зашифрованные файлы.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Сначала чистим систему:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig]  <==== ВНИМАНИЕ
    CreateRestorePoint:
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ryuk.exe [2023-02-03] () [Файл не подписан]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.html [2023-02-24] () [Файл не подписан]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.txt [2023-02-24] () [Файл не подписан]
    Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ryuk.exe [2023-02-03] () [Файл не подписан]
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    Task: {C603B076-2174-4EEA-8E5D-E4C183F157E8} - System32\Tasks\ryk => C:\ProgramData\Microsoft\Windows\Start [Argument = Menu\Programs\StartUp\ryuk.exe]
    Task: {F2901086-AFB7-4CF0-A06D-7821EAAEEF52} - System32\Tasks\RYUK => C:\ProgramData\Microsoft\Windows\Start [Argument = Menu\Programs\StartUp\ryuk.exe]
    2023-02-27 11:30 - 2023-02-27 11:30 - 000000152 _____ C:\WINDOWS\RyukReadMe.html
    2023-02-27 11:30 - 2023-02-27 11:30 - 000000152 _____ C:\Users\user\RyukReadMe.html
    2023-02-27 11:30 - 2023-02-27 11:30 - 000000152 _____ C:\Users\user\Downloads\RyukReadMe.html
    2023-02-27 11:30 - 2023-02-27 11:30 - 000000152 _____ C:\Users\user\Documents\RyukReadMe.html
    2023-02-27 11:30 - 2023-02-27 11:30 - 000000152 _____ C:\Users\user\Desktop\RyukReadMe.html
    2023-02-27 11:30 - 2023-02-27 11:30 - 000000152 _____ C:\Users\user\AppData\RyukReadMe.html
    2023-02-27 11:30 - 2023-02-27 11:30 - 000000152 _____ C:\Users\RyukReadMe.html
    2023-02-27 11:30 - 2023-02-27 11:30 - 000000152 _____ C:\Users\Public\RyukReadMe.html
    2023-02-27 11:30 - 2023-02-27 11:30 - 000000152 _____ C:\Users\Default\RyukReadMe.html
    2023-02-27 11:30 - 2023-02-27 11:30 - 000000152 _____ C:\RyukReadMe.html
    2023-02-27 11:30 - 2023-02-27 11:30 - 000000152 _____ C:\ProgramData\RyukReadMe.html
    2023-02-27 11:30 - 2023-02-27 11:30 - 000000152 _____ C:\Program Files\RyukReadMe.html
    2023-02-27 11:30 - 2023-02-27 11:30 - 000000152 _____ C:\Program Files (x86)\RyukReadMe.html
    2023-02-24 00:09 - 2023-02-24 00:01 - 000001103 _____ C:\WINDOWS\RyukReadMe.txt
    2023-02-24 00:09 - 2023-02-24 00:01 - 000001103 _____ C:\Users\user\Downloads\RyukReadMe.txt
    2023-02-24 00:09 - 2023-02-24 00:01 - 000001103 _____ C:\Users\user\Documents\RyukReadMe.txt
    2023-02-24 00:05 - 2023-02-24 00:01 - 000001103 _____ C:\Users\user\RyukReadMe.txt
    2023-02-24 00:05 - 2023-02-24 00:01 - 000001103 _____ C:\Users\user\AppData\RyukReadMe.txt
    2023-02-24 00:05 - 2023-02-24 00:01 - 000001103 _____ C:\Users\RyukReadMe.txt
    2023-02-24 00:05 - 2023-02-24 00:01 - 000001103 _____ C:\Users\Public\RyukReadMe.txt
    2023-02-24 00:05 - 2023-02-24 00:01 - 000001103 _____ C:\Users\Default\RyukReadMe.txt
    2023-02-24 00:02 - 2023-02-24 00:01 - 000001103 _____ C:\RyukReadMe.txt
    2023-02-24 00:02 - 2023-02-24 00:01 - 000001103 _____ C:\Program Files\RyukReadMe.txt
    2023-02-24 00:02 - 2023-02-24 00:01 - 000001103 _____ C:\Program Files (x86)\RyukReadMe.txt
    2023-02-24 00:01 - 2023-03-09 15:06 - 000001103 _____ C:\Users\user\Desktop\RyukReadMe.txt
    2023-02-24 00:01 - 2023-02-27 11:30 - 000003366 _____ C:\WINDOWS\system32\Tasks\RYUK
    2023-02-24 00:01 - 2023-02-27 11:30 - 000003272 _____ C:\WINDOWS\system32\Tasks\ryk
    2023-02-24 00:01 - 2023-02-24 00:01 - 000001103 _____ C:\ProgramData\RyukReadMe.txt
    2023-02-24 00:01 - 2023-02-24 00:01 - 000000292 ___SH C:\ProgramData\hrmlog2
    2023-02-24 00:01 - 2023-02-24 00:01 - 000000292 _____ C:\Users\user\Desktop\hrmlog2
    2023-02-24 00:01 - 2023-02-24 00:01 - 000000008 _____ C:\Users\user\Desktop\RYUKID
    2023-02-24 00:01 - 2023-02-24 00:01 - 000000008 _____ C:\ProgramData\RYUKID
    2023-02-24 00:01 - 2023-02-24 00:01 - 000000008 _____ C:\ProgramData\nons
    2023-02-24 00:01 - 2023-02-03 08:39 - 000906752 ___SH C:\ProgramData\ryuk.exe
    2023-02-24 00:01 - 2023-02-03 08:39 - 000906752 _____ C:\Users\user\Desktop\Ryuk64.exe
    AV: Avast Antivirus (Enabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF}
    AV: 360 Total Security (Enabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}
    FirewallRules: [{75DDFA3F-B000-4986-8A57-03072CCF9063}] => (Allow) LPort=9244
    FirewallRules: [{1E275BFA-8294-4244-9F84-7A49731BB950}] => (Allow) LPort=3702
    FirewallRules: [{FB4D452A-966B-4829-BAE9-6D386569659E}] => (Allow) LPort=9422
    FirewallRules: [{880AAFDF-8F26-4B69-87C4-4D97E00288B7}] => (Allow) LPort=9245
    FirewallRules: [{F5E9EA4A-7277-4FD7-8B8D-5FD12833884E}] => (Allow) LPort=9246
    FirewallRules: [{2AAE741D-9066-47BD-9D2D-71BAB4E206F3}] => (Allow) LPort=9247
    FirewallRules: [{CA2913F7-D7BB-4DE8-B65F-9E4C1DE3194D}] => (Allow) LPort=9444
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Ещё один небольшой скрипт выполните в безопасном режиме, пожалуйста:

 

  • Выделите следующий код:
  • Start::
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\TemporaryPaths|\\?\C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\ryuk.exe
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\TemporaryPaths|\\?\C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ryuk.exe
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\TemporaryPaths|\\?\C:\Users\user\Desktop\Ryuk64.exe
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\TemporaryPaths|\\?\C:\Users\user\Desktop\Ryuk64\Ryuk64.exe
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Алексей Андронов
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
    • gentry
      От gentry
      Добрый день. Прошу помощи в дешифровке.
      Логи FRST, файл с требованиями и зашифрованные файлы во вложении.
      elpaco.rar
    • Бека-Алматы
      От Бека-Алматы
      Добрый день! после открытия порта на роутере, компьютер  зашифровался вирусом , прошу помощи с решение проблем
      файл приложил 
      ЛОГИ и файлы.zip
    • Melor
      От Melor
      Прошу помощи в дешифровке файлов.
      Desktop.rar Addition.txt FRST.txt
    • SergeyL
      От SergeyL
      Здравствуйте, был взломан компьютер через RDP зашифрованы все файлы. При этом свой *.exe файл так же зашифрован.
      Addition.txt FRST.txt для касперского.zip
      зашифрованные.zip
×
×
  • Создать...