Перейти к содержанию

Шифровальщик Ryuk

scourgezx
 Share Подписчики 2

Рекомендуемые сообщения

scourgezx

scourgezx 0

Опубликовано
Опубликовано

Добрый день. 23 февраля (возможно раньше) поймали вирус шифровальщик, представившийся как "ryuk". Пострадали не сильно, но некоторые файлы хотелось бы восстановить, если есть такая возможность. 

Выяснить, как шифровальщик залез в систему пока не удалось.

Логи FRST.rar Зашифрованный документ.rar

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 130

Опубликовано
Опубликовано

Здравствуйте!

 

Расшифровка есть, но сначала чистим:

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-937314240-803033846-112898839-1001\...\MountPoints2: {8cb3ee3d-7306-11ed-80af-806e6f6e6963} - "H:\setup.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-937314240-803033846-112898839-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
C:\Users\Фролов\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
C:\Users\Фролов\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
CHR HKU\S-1-5-21-1303910821-573501646-2269288929-22745\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Users\Шарифуллин\RyukReadMe.html
2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Users\Фролов\RyukReadMe.html
2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Users\Public\RyukReadMe.html
2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Users\Lik\RyukReadMe.html
2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Users\Lik\Downloads\RyukReadMe.html
2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Users\Lik\Documents\RyukReadMe.html
2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Users\Lik\Desktop\RyukReadMe.html
2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Users\Lik.OBLSTOM\RyukReadMe.html
2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Users\Default\RyukReadMe.html
2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\ProgramData\RyukReadMe.html
2023-02-24 09:27 - 2023-02-24 09:27 - 000000152 _____ C:\Program Files\RyukReadMe.html
2023-02-24 09:27 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Шарифуллин\RyukReadMe.txt
2023-02-24 09:27 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Шарифуллин\Desktop\RyukReadMe.txt
2023-02-23 13:13 - 2023-02-23 13:05 - 000002232 _____ C:\Users\Фролов\hrmlog1
2023-02-23 13:13 - 2023-02-23 13:05 - 000002232 _____ C:\Users\Public\hrmlog1
2023-02-23 13:13 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Фролов\RyukReadMe.txt
2023-02-23 13:13 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Public\RyukReadMe.txt
2023-02-23 13:12 - 2023-02-23 13:05 - 000002232 _____ C:\Users\Lik\Downloads\hrmlog1
2023-02-23 13:12 - 2023-02-23 13:05 - 000002232 _____ C:\Users\Lik\Documents\hrmlog1
2023-02-23 13:12 - 2023-02-23 13:05 - 000002232 _____ C:\Users\Lik\Desktop\hrmlog1
2023-02-23 13:12 - 2023-02-23 13:05 - 000002232 _____ C:\Users\Lik.OBLSTOM\hrmlog1
2023-02-23 13:12 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Lik\Downloads\RyukReadMe.txt
2023-02-23 13:12 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Lik\Documents\RyukReadMe.txt
2023-02-23 13:12 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Lik\Desktop\RyukReadMe.txt
2023-02-23 13:12 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Lik.OBLSTOM\RyukReadMe.txt
2023-02-23 13:11 - 2023-02-23 13:05 - 000001103 _____ C:\Users\RyukReadMe.txt
2023-02-23 13:11 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Lik\RyukReadMe.txt
2023-02-23 13:11 - 2023-02-23 13:05 - 000001103 _____ C:\Users\Default\RyukReadMe.txt
2023-02-23 13:06 - 2023-02-23 13:05 - 000001103 _____ C:\Program Files\RyukReadMe.txt
2023-02-23 13:05 - 2023-02-23 13:05 - 000001103 _____ C:\ProgramData\RyukReadMe.txt
2023-02-23 13:05 - 2023-02-23 13:05 - 000000292 ___SH C:\Users\Фролов\Desktop\hrmlog2
2023-02-23 13:05 - 2023-02-23 13:05 - 000000292 _____ C:\ProgramData\hrmlog2
2023-02-23 13:05 - 2023-02-23 13:05 - 000000168 _____ C:\ProgramData\nons
2023-02-23 13:05 - 2023-02-23 13:05 - 000000008 _____ C:\ProgramData\RYUKID
FirewallRules: [{02656030-32D4-4350-AF2F-6E5D4D18331A}] => (Allow) LPort=54925
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Пароли на учётные записи смените, могли быть скомпрометированы. Подключение через RDP прячьте за VPN.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 130

Опубликовано
Опубликовано

Хорошо.

 

Вам поможет этот декриптор.

Запускайте правой кнопкой от имени администратора. Результат сообщите, пожалуйста.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 130

Опубликовано
Опубликовано

Хорошо, в завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • roshans10
      RYUK Virus
      От roshans10
      I searched the email and got here
      can anyone help me decrypt my files
       
      Addition.txt FRST.txt RyukReadMe.txt hrmlog.zip
    • Leogor
      Шифровальщик [Vulcanteam@CYBERFEAR.COM].RYK зашифрованно 18/02/23
      От Leogor
      Доброго дня, папка с зашифрованными файлами с доступом в сети предприятия, Авторизация через актив директори. пользуемся редко, поэтому заметили зашифрованный поздно. Вирусов в сети нет.
      crypto.7z Addition.txt FRST.txt
    • РоманАнатольевич
      шифровальщик-вымогатель ryuk
      От РоманАнатольевич
      После одних выходных, при включении бухгалтерского компьютера, девочки наши не смогли войти в систему, был установлен кем-то пароль, пароль с помощью утилиты удалось сбросить и войти в систему, при запуске открылся txt файл записка от злоумышленников и оказалось, что все фалы зашифрованы. Компьютер был отключен от сети. Встроенный Defender был отключен и а при его включении  и быстром сканировании был обнаружен вирус ryuk64 и помещен в карантин. Прикрепляю логи программы Farbar Recovery Scan Tool, архивированный ryuk64.exe, сообщение о выкупе и два зашифрованных файла.
      Addition.txt FRST.txt Ryuk64(пароль virus).rar Зашифрованные файлы.zip
    • SouL_77335
      Шифровальщик
      От SouL_77335
      Здравствуйте! 
      Каким-то образом, скорее всего через почту, подхватили шифровальщик... Что делать не можем понять. На сервере зашифровался целый диск. На нем хранилось, к счастью, только мультимедиа.
       
      Заметили случайно. Зашли картинку скачать, а там все файлы с припиской ...[Vulcanteam@CYBERFEAR.COM].RYK после расширения файла.
      В каждой папке создались файлы: "RyukReadMe.txt", "hrmlog1"
      Файлы предоставить не могу, так как сервер на данный момент отключили
       
      Текст редми файла:
      Your network has been penetrated.
      All files on each host in the network have been encrypted with a strong algorithm.
      Backups were either encrypted
      Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.
      We exclusively have decryption software for your situation.
      More than a year ago, world experts recognized the impossibility of deciphering by any means except the original decoder.
      No decryption software is available in the public.
      Antiviruse companies, researchers, IT specialists, and no other persons cant help you decrypt the data.
      DO NOT RESET OR SHUTDOWN - files may be damaged.
      DO NOT DELETE readme files.
      To confirm our honest intentions.Send 2 different random files and you will get it decrypted.
      It can be from different computers on your network to be sure that one key decrypts everything.
      2 files we unlock for free
      To get info (decrypt your files) contact us at
      RyanRinse@mailfence.com
      or
      RyanRinse@firemail.de
      You will receive btc address for payment in the reply letter
      Ryuk
      No system is safe
      Зашифрованные файлы - образец.rar
    • sanek.ov
      [РАСШИФРОВАНО] Добрый день. Зашифровались файлы, добавилось расширение [vulcanteam@cyberfear.com].RYK Помогите, пожалуйста.
      От sanek.ov
      Addition.txt FRST.txt Требования и файлы.rar
×
×
  • Создать...