ryuk [РАСШИФРОВАНО] Просьба помочь с расшифровкой RYUK

[neon2010]

Доброго дня, сегодня зашифровалась система, переустановки не было, файлы прилагаю, очень прошу помочь.

 

data.rar

[Sandor]

Здравствуйте!

 

Дополнительно прикрепите файл

Цитата

C:\hrmlog1

пожалуйста.

[neon2010]

прикрепил

hrmlog1.rar

[Sandor]

Хорошо, сначала чистим систему.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM-x32\...\Run: [SearcherBar] => "C:\WINDOWS\system32\mshta.exe" "C:\SearcherBar\run.hta" [13312 2019-12-07] (Microsoft Windows -> Microsoft Corporation)
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ryuk.exe [2023-02-23] () [Файл не подписан]
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.html [2023-03-21] () [Файл не подписан]
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.txt [2023-03-21] () [Файл не подписан]
  Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ryuk.exe [2023-02-23] () [Файл не подписан]
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {5E8CF6A2-27CD-45B3-A387-A25481536E71} - System32\Tasks\RYUK => C:\Users\user\Desktop\Ryuk64.exe [906752 2023-02-23] () [Файл не подписан]
  Task: {E60CAE13-47B5-421F-A215-69CD1326A056} - System32\Tasks\ryk => C:\Users\user\Desktop\Ryuk64.exe [906752 2023-02-23] () [Файл не подписан]
  2023-03-21 15:58 - 2023-03-21 15:39 - 000001099 _____ C:\WINDOWS\RyukReadMe.txt
  2023-03-21 15:53 - 2023-03-21 15:39 - 000001099 _____ C:\Users\user\Downloads\RyukReadMe.txt
  2023-03-21 15:53 - 2023-03-21 15:39 - 000001099 _____ C:\Users\user\Documents\RyukReadMe.txt
  2023-03-21 15:44 - 2023-03-21 15:39 - 000001099 _____ C:\Users\user\RyukReadMe.txt
  2023-03-21 15:44 - 2023-03-21 15:39 - 000001099 _____ C:\Users\user\AppData\RyukReadMe.txt
  2023-03-21 15:44 - 2023-03-21 15:39 - 000001099 _____ C:\Users\RyukReadMe.txt
  2023-03-21 15:44 - 2023-03-21 15:39 - 000001099 _____ C:\Users\Public\RyukReadMe.txt
  2023-03-21 15:44 - 2023-03-21 15:39 - 000001099 _____ C:\Users\Default\RyukReadMe.txt
  2023-03-21 15:42 - 2023-03-21 15:42 - 000000854 _____ C:\Program Files (x86)\RyukReadMe.html.[MaicoLion@firemail.de].RYK
  2023-03-21 15:42 - 2023-03-21 15:39 - 000001099 _____ C:\Program Files (x86)\RyukReadMe.txt
  2023-03-21 15:41 - 2023-03-21 15:41 - 000000854 _____ C:\Program Files\RyukReadMe.html.[MaicoLion@firemail.de].RYK
  2023-03-21 15:41 - 2023-03-21 15:39 - 000001099 _____ C:\Program Files\RyukReadMe.txt
  2023-03-21 15:40 - 2023-03-21 15:40 - 000000854 _____ C:\RyukReadMe.html.[MaicoLion@firemail.de].RYK
  2023-03-21 15:40 - 2023-03-21 15:39 - 000001099 _____ C:\RyukReadMe.txt
  2023-03-21 15:39 - 2023-03-21 15:44 - 000000854 _____ C:\ProgramData\RyukReadMe.html.[MaicoLion@firemail.de].RYK
  2023-03-21 15:39 - 2023-03-21 15:39 - 000003276 _____ C:\WINDOWS\system32\Tasks\RYUK
  2023-03-21 15:39 - 2023-03-21 15:39 - 000003160 _____ C:\WINDOWS\system32\Tasks\ryk
  2023-03-21 15:39 - 2023-03-21 15:39 - 000001099 _____ C:\Users\user\Desktop\RyukReadMe.txt
  2023-03-21 15:39 - 2023-03-21 15:39 - 000001099 _____ C:\ProgramData\RyukReadMe.txt
  2023-03-21 15:39 - 2023-03-21 15:39 - 000000292 _____ C:\Users\user\Desktop\hrmlog2
  2023-03-21 15:39 - 2023-03-21 15:39 - 000000292 _____ C:\ProgramData\hrmlog2
  2023-03-21 15:39 - 2023-03-21 15:39 - 000000008 _____ C:\Users\user\Desktop\RYUKID
  2023-03-21 15:39 - 2023-03-21 15:39 - 000000008 _____ C:\ProgramData\RYUKID
  2023-03-21 15:39 - 2023-02-23 17:06 - 000906752 ___SH C:\ProgramData\ryuk.exe
  2023-03-21 15:39 - 2023-02-23 17:06 - 000906752 _____ C:\Users\user\Desktop\Ryuk64.exe
  2023-03-21 15:38 - 2023-03-21 15:51 - 000404502 _____ C:\Users\user\Desktop\Ryuk64.zip.[MaicoLion@firemail.de].RYKCRYPT
  AV: Kaspersky Free (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
  AV: Kaspersky Free (Enabled - Up to date) {0AB30972-4BAC-7BEE-CBCA-B8F9E68797D8}
  AS: Kaspersky Free (Enabled - Up to date) {B1D2E896-6D96-7460-F17A-838B9D00DD65}
  FirewallRules: [{A8CA8672-71AC-4ADB-BB07-A65951A7D832}] => (Allow) LPort=1688
  FirewallRules: [{7F8765EB-072B-4A2C-BFC2-5AAC8E2B7FA2}] => (Allow) LPort=8510
  FirewallRules: [{3906BD21-193E-4D8F-929E-38BE49DCCF45}] => (Allow) LPort=475
  FirewallRules: [{85B78226-D9F0-4769-B3FC-0BF854DD6AAD}] => (Allow) LPort=475
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

 

MediaGet

SearcherBar

 

 

[neon2010]

сейчас сделаю, а самое главное то, файлы сможем расшифровать?

[Sandor]

Да.

[neon2010]

Лог во вложении

Fixlog.rar

[Sandor]

Воспользуйтесь этим дешифратором. Запускать правой кнопкой от имени администратора.

 

В завершение обязательно:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[neon2010]

процесс дешифровки пошел, по итогу скину лог SecurityCheck.txt

[neon2010]

Чекер отработал после дешифровки

SecurityCheck.rar

Изменено 22 марта, 2023 пользователем neon2010

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.7.8.2 Внимание! Скачать обновления
TeamViewer 11 v.11.0.259193 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.19.222.1110.0006 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
Total Commander 64-bit (Remove or Repair) v.9.22a Внимание! Скачать обновления
WinRAR 5.80 (64-разрядная) v.5.80.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Skype, версия 8.72 v.8.72 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat (64-bit) v.22.003.20322 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Yandex v.23.1.5.708 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Chrone Browser v.86.0.4240.198 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
 

Перечисленное желательно по возможности исправить.

 

Читайте Рекомендации после удаления вредоносного ПО

[neon2010]

спасибо огромное за содействие! Чем поправить системные косяки, вроде не работающего диспетчера задач(не открывается совсем никак)? Комп щас только на удаленке, надо его поддержать чтоб забрать данные и прекрыть дыры для взломщиков?

[Sandor]

7 минут назад, neon2010 сказал:

вроде не работающего диспетчера задач

А почему же раньше не сообщили?

Можем попробовать, только если это удалённый комп, нужны будут перезагрузки системы. Справитесь?

[neon2010]

справлюсь думаю, извините что не указал сразу, главное было данные спасти, что уже имеет место быть

[Sandor]

Соберите новые логи FRST.txt и Addition.txt