Перейти к содержанию
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Шифровальщик Ryuk

scourgezx
 Поделиться

Рекомендуемые сообщения

scourgezx Новичок

scourgezx

Опубликовано
Опубликовано

Добрый день. 23 февраля (возможно раньше) поймали вирус шифровальщик, представившийся как "ryuk". Пострадали не сильно, но некоторые файлы хотелось бы восстановить, если есть такая возможность. 

Выяснить, как шифровальщик залез в систему пока не удалось.

Логи FRST.rar Зашифрованный документ.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Расшифровка есть, но сначала чистим:

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-937314240-803033846-112898839-1001\...\MountPoints2: {8cb3ee3d-7306-11ed-80af-806e6f6e6963} - "H:\setup.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-937314240-803033846-112898839-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
C:\Users\Фролов\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
C:\Users\Фролов\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
CHR HKU\S-1-5-21-1303910821-573501646-2269288929-22745\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Users\Шарифуллин\RyukReadMe.html
2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Users\Фролов\RyukReadMe.html
2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Users\Public\RyukReadMe.html
2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Users\Lik\RyukReadMe.html
2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Users\Lik\Downloads\RyukReadMe.html
2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Users\Lik\Documents\RyukReadMe.html
2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Users\Lik\Desktop\RyukReadMe.html
2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Users\Lik.OBLSTOM\RyukReadMe.html
2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Users\Default\RyukReadMe.html
2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\ProgramData\RyukReadMe.html
2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Program Files\RyukReadMe.html
2023-02-24 09:27 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Шарифуллин\RyukReadMe.txt
2023-02-24 09:27 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Шарифуллин\Desktop\RyukReadMe.txt
2023-02-23 13:13 - 2023-02-23 13:05 - 000002232 _____ C:\Users\Фролов\hrmlog1
2023-02-23 13:13 - 2023-02-23 13:05 - 000002232 _____ C:\Users\Public\hrmlog1
2023-02-23 13:13 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Фролов\RyukReadMe.txt
2023-02-23 13:13 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Public\RyukReadMe.txt
2023-02-23 13:12 - 2023-02-23 13:05 - 000002232 _____ C:\Users\Lik\Downloads\hrmlog1
2023-02-23 13:12 - 2023-02-23 13:05 - 000002232 _____ C:\Users\Lik\Documents\hrmlog1
2023-02-23 13:12 - 2023-02-23 13:05 - 000002232 _____ C:\Users\Lik\Desktop\hrmlog1
2023-02-23 13:12 - 2023-02-23 13:05 - 000002232 _____ C:\Users\Lik.OBLSTOM\hrmlog1
2023-02-23 13:12 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Lik\Downloads\RyukReadMe.txt
2023-02-23 13:12 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Lik\Documents\RyukReadMe.txt
2023-02-23 13:12 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Lik\Desktop\RyukReadMe.txt
2023-02-23 13:12 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Lik.OBLSTOM\RyukReadMe.txt
2023-02-23 13:11 - 2023-02-23 13:05 - 000001103 _____ C:\Users\RyukReadMe.txt
2023-02-23 13:11 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Lik\RyukReadMe.txt
2023-02-23 13:11 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Default\RyukReadMe.txt
2023-02-23 13:06 - 2023-02-23 13:05 - 000001103 _____ C:\Program Files\RyukReadMe.txt
2023-02-23 13:05 - 2023-02-23 13:05 - 000001103 _____ C:\ProgramData\RyukReadMe.txt
2023-02-23 13:05 - 2023-02-23 13:05 - 000000292 ___SH C:\Users\Фролов\Desktop\hrmlog2
2023-02-23 13:05 - 2023-02-23 13:05 - 000000292 _____ C:\ProgramData\hrmlog2
2023-02-23 13:05 - 2023-02-23 13:05 - 000000168 _____ C:\ProgramData\nons
2023-02-23 13:05 - 2023-02-23 13:05 - 000000008 _____ C:\ProgramData\RYUKID
FirewallRules: [{02656030-32D4-4350-AF2F-6E5D4D18331A}] => (Allow) LPort=54925
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Пароли на учётные записи смените, могли быть скомпрометированы. Подключение через RDP прячьте за VPN.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Хорошо.

 

Вам поможет этот декриптор.

Запускайте правой кнопкой от имени администратора. Результат сообщите, пожалуйста.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Хорошо, в завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • WiziR
      Ryuk вернулся
      Автор WiziR
      Приветствую!
      Пришли с праздников и вот обнаружили сообщение при входе  систему о шифрации.

       
      Your network has been penetrated.
      All files on each host in the network have been encrypted with a strong algorithm. 
      Backups were either encrypted
      Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.
      We exclusively have decryption software for your situation. 
      More than a year ago, world experts recognized the impossibility of deciphering by any means except the original decoder. 
      No decryption software is available in the public.
      Antiviruse companies, researchers, IT specialists, and no other persons cant help you decrypt the data. 
      DO NOT RESET OR SHUTDOWN - files may be damaged.
      DO NOT DELETE readme files. 
      To confirm our honest intentions.Send 2 different random files and you will get it decrypted. 
      It can be from different computers on your network to be sure that one key decrypts everything.
      2 files we unlock for free
      To get info (decrypt your files) contact us at 
      dectokyo@onionmail.org
      or
      dectokyo@cock.li , TELEGRAM : @tokyosupp
      You will receive btc address for payment in the reply letter 
      Ryuk
      No system is safe
       
      В корне диска папка с именем !!1 в нем следующее сообщение $Risen_Note.txt
       
      RisenNote :

      Read this text file carefully.
      We have penetrated your whole network due some critical security issues.
      We have encrypted all of your files on each host in the network within strong algorithm.
      We have also Took your critical data such as docs, images, engineering data, accounting data, customers and ...
          And trust me, we exactly know what should we collect in case of NO corporation until the end of the deadline we WILL leak or sell your data,
          the only way to stop this process is successful corporation.
      We have monitored your Backup plans for a whileand they are completely out of access(encrypted)
      The only situation for recovering your files is our decryptor,
          there are many middle man services out there whom will contact us for your caseand add an amount of money on the FIXED price that we gave to them,
          so be aware of them.
      Remember, you can send Upto 3 test files for decrypting, before making payment,
          we highly recommend to get test files to prevent possible scams.
      In order to contact us you can either use following email :
      Email address : gotchadec@onionmail.org
      Or If you weren't able to contact us whitin 24 hours please Email : Yamaguchigumi@cock.li, TELEGRAM:@GotchaDec
      Leave subject as your machine id : C5TEDZHBWD
      If you didn't get any respond within 72 hours use our blog to contact us, 
      therefore we can create another way for you to contact your cryptor as soon as possible.
      TOR BLOG : https://cqqzfmdd2fwshfyic6srf3fxjjigiipqdygosk6sdifstrbtxnm5bead.onion
       
      Ниже все вложения с логами сканирования FRST.rar
      Зашифрованные файлы в архиве FRST1.rar
      Просим помощи в расшифровке содержимого наших данных.
      !!1.rar hrmlog1.rar FRST.rar FRST1.rar
    • KOMK
      Шифровальщик zimmer1488
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
    • Игорь_Белов
      Шифровальщик AES
      Автор Игорь_Белов
      Доброго времени суток. 
      Прошу помощи, словил вирус шифровальщик, недавно созданный сервер для теста 1с, поймал вирус, файлы баз данных зашифровались. 
      Прошу помочь в определение вируса, по возможности расшифровать. И как его побороть.
       
      scan.zip
    • __Михаил__
      Шифровальщик IxehUe8Rg
      Автор __Михаил__
      Добрый! 
      Пожалуйста, помогите расшифровать файлы на компьютере.
      Шифровальщик IxehUe8Rg.
      Файлы образцы и требование выкупа во вложении.
      Анализ_2.xlsx.rar
       
      Я так понимаю это CriptomanGizmo и с ним проблема.
      У меня есть несколько копий файлов не зашифрованных , с другого устройства.
      Может это поможет?
    • Stanislav42
      шифровальщик .Elons
      Автор Stanislav42
      Добрый день! Пострадало несколько windows-устройств от действий шифровальщика и вымогает за расшифровку деньги.
      Прошу оказать помощь в расшифровке файлов.
      Отправляю архив с образцами файлов и с текстом требований, а также логи FRST.
      Шифрование произошло в ночное время. Журнал событий Windows очищен. Устройства перезагружались.
      Системы изолированы на данный момент. Исполняемый файл найден и подготовлен к отправке. 
      образцы файлов.zip Addition.txt FRST.txt
×
×
  • Создать...