Перейти к содержанию

Шифровальщик Ryuk


Рекомендуемые сообщения

Добрый день. 23 февраля (возможно раньше) поймали вирус шифровальщик, представившийся как "ryuk". Пострадали не сильно, но некоторые файлы хотелось бы восстановить, если есть такая возможность. 

Выяснить, как шифровальщик залез в систему пока не удалось.

Логи FRST.rar Зашифрованный документ.rar

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Расшифровка есть, но сначала чистим:

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-937314240-803033846-112898839-1001\...\MountPoints2: {8cb3ee3d-7306-11ed-80af-806e6f6e6963} - "H:\setup.exe" 
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-937314240-803033846-112898839-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    C:\Users\Фролов\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
    C:\Users\Фролов\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
    CHR HKU\S-1-5-21-1303910821-573501646-2269288929-22745\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Users\Шарифуллин\RyukReadMe.html
    2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Users\Фролов\RyukReadMe.html
    2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Users\Public\RyukReadMe.html
    2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Users\Lik\RyukReadMe.html
    2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Users\Lik\Downloads\RyukReadMe.html
    2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Users\Lik\Documents\RyukReadMe.html
    2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Users\Lik\Desktop\RyukReadMe.html
    2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Users\Lik.OBLSTOM\RyukReadMe.html
    2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Users\Default\RyukReadMe.html
    2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\ProgramData\RyukReadMe.html
    2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Program Files\RyukReadMe.html
    2023-02-24 09:27 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Шарифуллин\RyukReadMe.txt
    2023-02-24 09:27 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Шарифуллин\Desktop\RyukReadMe.txt
    2023-02-23 13:13 - 2023-02-23 13:05 - 000002232 _____ C:\Users\Фролов\hrmlog1
    2023-02-23 13:13 - 2023-02-23 13:05 - 000002232 _____ C:\Users\Public\hrmlog1
    2023-02-23 13:13 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Фролов\RyukReadMe.txt
    2023-02-23 13:13 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Public\RyukReadMe.txt
    2023-02-23 13:12 - 2023-02-23 13:05 - 000002232 _____ C:\Users\Lik\Downloads\hrmlog1
    2023-02-23 13:12 - 2023-02-23 13:05 - 000002232 _____ C:\Users\Lik\Documents\hrmlog1
    2023-02-23 13:12 - 2023-02-23 13:05 - 000002232 _____ C:\Users\Lik\Desktop\hrmlog1
    2023-02-23 13:12 - 2023-02-23 13:05 - 000002232 _____ C:\Users\Lik.OBLSTOM\hrmlog1
    2023-02-23 13:12 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Lik\Downloads\RyukReadMe.txt
    2023-02-23 13:12 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Lik\Documents\RyukReadMe.txt
    2023-02-23 13:12 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Lik\Desktop\RyukReadMe.txt
    2023-02-23 13:12 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Lik.OBLSTOM\RyukReadMe.txt
    2023-02-23 13:11 - 2023-02-23 13:05 - 000001103 _____ C:\Users\RyukReadMe.txt
    2023-02-23 13:11 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Lik\RyukReadMe.txt
    2023-02-23 13:11 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Default\RyukReadMe.txt
    2023-02-23 13:06 - 2023-02-23 13:05 - 000001103 _____ C:\Program Files\RyukReadMe.txt
    2023-02-23 13:05 - 2023-02-23 13:05 - 000001103 _____ C:\ProgramData\RyukReadMe.txt
    2023-02-23 13:05 - 2023-02-23 13:05 - 000000292 ___SH C:\Users\Фролов\Desktop\hrmlog2
    2023-02-23 13:05 - 2023-02-23 13:05 - 000000292 _____ C:\ProgramData\hrmlog2
    2023-02-23 13:05 - 2023-02-23 13:05 - 000000168 _____ C:\ProgramData\nons
    2023-02-23 13:05 - 2023-02-23 13:05 - 000000008 _____ C:\ProgramData\RYUKID
    FirewallRules: [{02656030-32D4-4350-AF2F-6E5D4D18331A}] => (Allow) LPort=54925
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Пароли на учётные записи смените, могли быть скомпрометированы. Подключение через RDP прячьте за VPN.

Ссылка на комментарий
Поделиться на другие сайты

Хорошо, в завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • ad_art
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
    • yarosvent
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
×
×
  • Создать...