Перейти к содержанию

[РАСШИФРОВАНО] Просьба помочь с расшифровкой RYUK

neon2010
 Поделиться

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Хорошо, сначала чистим систему.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM-x32\...\Run: [SearcherBar] => "C:\WINDOWS\system32\mshta.exe" "C:\SearcherBar\run.hta" [13312 2019-12-07] (Microsoft Windows -> Microsoft Corporation)
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ryuk.exe [2023-02-23] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.html [2023-03-21] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.txt [2023-03-21] () [Файл не подписан]
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ryuk.exe [2023-02-23] () [Файл не подписан]
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {5E8CF6A2-27CD-45B3-A387-A25481536E71} - System32\Tasks\RYUK => C:\Users\user\Desktop\Ryuk64.exe [906752 2023-02-23] () [Файл не подписан]
Task: {E60CAE13-47B5-421F-A215-69CD1326A056} - System32\Tasks\ryk => C:\Users\user\Desktop\Ryuk64.exe [906752 2023-02-23] () [Файл не подписан]
2023-03-21 15:58 - 2023-03-21 15:39 - 000001099 _____ C:\WINDOWS\RyukReadMe.txt
2023-03-21 15:53 - 2023-03-21 15:39 - 000001099 _____ C:\Users\user\Downloads\RyukReadMe.txt
2023-03-21 15:53 - 2023-03-21 15:39 - 000001099 _____ C:\Users\user\Documents\RyukReadMe.txt
2023-03-21 15:44 - 2023-03-21 15:39 - 000001099 _____ C:\Users\user\RyukReadMe.txt
2023-03-21 15:44 - 2023-03-21 15:39 - 000001099 _____ C:\Users\user\AppData\RyukReadMe.txt
2023-03-21 15:44 - 2023-03-21 15:39 - 000001099 _____ C:\Users\RyukReadMe.txt
2023-03-21 15:44 - 2023-03-21 15:39 - 000001099 _____ C:\Users\Public\RyukReadMe.txt
2023-03-21 15:44 - 2023-03-21 15:39 - 000001099 _____ C:\Users\Default\RyukReadMe.txt
2023-03-21 15:42 - 2023-03-21 15:42 - 000000854 _____ C:\Program Files (x86)\RyukReadMe.html.[MaicoLion@firemail.de].RYK
2023-03-21 15:42 - 2023-03-21 15:39 - 000001099 _____ C:\Program Files (x86)\RyukReadMe.txt
2023-03-21 15:41 - 2023-03-21 15:41 - 000000854 _____ C:\Program Files\RyukReadMe.html.[MaicoLion@firemail.de].RYK
2023-03-21 15:41 - 2023-03-21 15:39 - 000001099 _____ C:\Program Files\RyukReadMe.txt
2023-03-21 15:40 - 2023-03-21 15:40 - 000000854 _____ C:\RyukReadMe.html.[MaicoLion@firemail.de].RYK
2023-03-21 15:40 - 2023-03-21 15:39 - 000001099 _____ C:\RyukReadMe.txt
2023-03-21 15:39 - 2023-03-21 15:44 - 000000854 _____ C:\ProgramData\RyukReadMe.html.[MaicoLion@firemail.de].RYK
2023-03-21 15:39 - 2023-03-21 15:39 - 000003276 _____ C:\WINDOWS\system32\Tasks\RYUK
2023-03-21 15:39 - 2023-03-21 15:39 - 000003160 _____ C:\WINDOWS\system32\Tasks\ryk
2023-03-21 15:39 - 2023-03-21 15:39 - 000001099 _____ C:\Users\user\Desktop\RyukReadMe.txt
2023-03-21 15:39 - 2023-03-21 15:39 - 000001099 _____ C:\ProgramData\RyukReadMe.txt
2023-03-21 15:39 - 2023-03-21 15:39 - 000000292 _____ C:\Users\user\Desktop\hrmlog2
2023-03-21 15:39 - 2023-03-21 15:39 - 000000292 _____ C:\ProgramData\hrmlog2
2023-03-21 15:39 - 2023-03-21 15:39 - 000000008 _____ C:\Users\user\Desktop\RYUKID
2023-03-21 15:39 - 2023-03-21 15:39 - 000000008 _____ C:\ProgramData\RYUKID
2023-03-21 15:39 - 2023-02-23 17:06 - 000906752 ___SH C:\ProgramData\ryuk.exe
2023-03-21 15:39 - 2023-02-23 17:06 - 000906752 _____ C:\Users\user\Desktop\Ryuk64.exe
2023-03-21 15:38 - 2023-03-21 15:51 - 000404502 _____ C:\Users\user\Desktop\Ryuk64.zip.[MaicoLion@firemail.de].RYKCRYPT
AV: Kaspersky Free (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
AV: Kaspersky Free (Enabled - Up to date) {0AB30972-4BAC-7BEE-CBCA-B8F9E68797D8}
AS: Kaspersky Free (Enabled - Up to date) {B1D2E896-6D96-7460-F17A-838B9D00DD65}
FirewallRules: [{A8CA8672-71AC-4ADB-BB07-A65951A7D832}] => (Allow) LPort=1688
FirewallRules: [{7F8765EB-072B-4A2C-BFC2-5AAC8E2B7FA2}] => (Allow) LPort=8510
FirewallRules: [{3906BD21-193E-4D8F-929E-38BE49DCCF45}] => (Allow) LPort=475
FirewallRules: [{85B78226-D9F0-4769-B3FC-0BF854DD6AAD}] => (Allow) LPort=475
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

 

MediaGet

SearcherBar

 

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Воспользуйтесь этим дешифратором. Запускать правой кнопкой от имени администратора.

 

В завершение обязательно:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.7.8.2 Внимание! Скачать обновления
TeamViewer 11 v.11.0.259193 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.19.222.1110.0006 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
Total Commander 64-bit (Remove or Repair) v.9.22a Внимание! Скачать обновления
WinRAR 5.80 (64-разрядная) v.5.80.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Skype, версия 8.72 v.8.72 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat (64-bit) v.22.003.20322 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Yandex v.23.1.5.708 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Chrone Browser v.86.0.4240.198 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
 

Перечисленное желательно по возможности исправить.

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты
  • Sandor изменил название на [РАСШИФРОВАНО] Просьба помочь с расшифровкой RYUK
neon2010 Новичок

neon2010

Опубликовано
  • Автор
Опубликовано

спасибо огромное за содействие! Чем поправить системные косяки, вроде не работающего диспетчера задач(не открывается совсем никак)? Комп щас только на удаленке, надо его поддержать чтоб забрать данные и прекрыть дыры для взломщиков?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
7 минут назад, neon2010 сказал:

вроде не работающего диспетчера задач

А почему же раньше не сообщили?

Можем попробовать, только если это удалённый комп, нужны будут перезагрузки системы. Справитесь?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Orbeatt
      Прошу помочь расшифровать. Есть Исходник и расшифрованный вариант от злоумышленника.
      Автор Orbeatt
      В архиве 2 файла упакованные шифровальщиком и они же расшифрованные злоумышленником. Прошу помочь со средством для расшифровки остальных файлов
      files2.rar
       
    • Джо
      Помощь в расшифровке graff_de_malfet@protonmail.ch
      Автор Джо
      Добрый день, наткнулся на новость Доступна расшифровка файлов после CryLock 2.0.0.0, 1.9.2.1 и 1.8.0.0 | VirusNet
      Может быть действительно появился шанс восстановить свои файлы после того как был атакован через RDP, зашифровались где-то в 2020г

      Система была перестановлена, неоднократно и железо тоже заменено(но доступ к нему еще есть если это важно)

      Если действительно расшифорвка поможет, буду очень благодарен. Думаю не я один такой "счастливчик" и вы спасете ценную информацию многих людей.
      Шифровальщик судя по всему CryLock 1.9 выкупт от почты graff_de_malfet@protonmail.ch (decrypt files? write to this mail: graff_de_malfet@protonmail.ch)
       
      crypted.7z
       
      как вариант у меня есть оригинальный файл и зашифрованный, если это может хоть както  помочь..
    • Равиль.М
      Помощь в расшифровке файлов
      Автор Равиль.М
      Добрый день. Поймали вирус-шифровальщик, поразил весь файловый серв. Все началось после того как подключились через Anydesk. На двух пользовательских компьютерах замещены вирусы после проверки KES. Лог файл приложил
      FRST.rar KVRT2020_Data.rar Обнаружено KES.rar Файлы шифрованные.rar
    • slavel94
      Расшифровка kwx8
      Автор slavel94
      Здравствуйте! Словил шифроватор Mimik, в итоге файлы зашифровались с расширением kwx8. Помогите, пожалуйста
      report_2025.03.23_17.06.42.klr.rar
    • Daniil Kovalev
      Помощь в расшифровке biobiorans
      Автор Daniil Kovalev
      Добрый день словили шифровальщик biobiorans
      Можете помочь расшифровкой файлов?
      Тело шифровальщика найти не удалось
      Вкладываю примеры с зашифрованными файликами - это логи MS SQL сервера  *.ldf

      Текст вымогателя:
      BioBio Ransmoware ATTENTION! At the moment, your system is not protected. We can fix itand restore files. To get started, send a file to decrypt trial. You can trust us after opening the test file. 2.Do not use free programs to unlock. To restore the system write to both : biobiorans@gmail.com        and      biobiorans@keemail.me Telegram id:@biobiorans Your Decryption ID: ******
      FRST.txt
      Crypted2.7z Crypted1.7z
×
×
  • Создать...