Перейти к содержанию

[РАСШИФРОВАНО] Просьба помочь с расшифровкой RYUK

neon2010
 Поделиться

Рекомендуемые сообщения

neon2010

neon2010

Опубликовано
Опубликовано

Доброго дня, сегодня зашифровалась система, переустановки не было, файлы прилагаю, очень прошу помочь.

 

data.rar

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Дополнительно прикрепите файл

Цитата

C:\hrmlog1

пожалуйста.

Sandor

Sandor

Опубликовано
Опубликовано

Хорошо, сначала чистим систему.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM-x32\...\Run: [SearcherBar] => "C:\WINDOWS\system32\mshta.exe" "C:\SearcherBar\run.hta" [13312 2019-12-07] (Microsoft Windows -> Microsoft Corporation)
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ryuk.exe [2023-02-23] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.html [2023-03-21] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.txt [2023-03-21] () [Файл не подписан]
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ryuk.exe [2023-02-23] () [Файл не подписан]
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {5E8CF6A2-27CD-45B3-A387-A25481536E71} - System32\Tasks\RYUK => C:\Users\user\Desktop\Ryuk64.exe [906752 2023-02-23] () [Файл не подписан]
Task: {E60CAE13-47B5-421F-A215-69CD1326A056} - System32\Tasks\ryk => C:\Users\user\Desktop\Ryuk64.exe [906752 2023-02-23] () [Файл не подписан]
2023-03-21 15:58 - 2023-03-21 15:39 - 000001099 _____ C:\WINDOWS\RyukReadMe.txt
2023-03-21 15:53 - 2023-03-21 15:39 - 000001099 _____ C:\Users\user\Downloads\RyukReadMe.txt
2023-03-21 15:53 - 2023-03-21 15:39 - 000001099 _____ C:\Users\user\Documents\RyukReadMe.txt
2023-03-21 15:44 - 2023-03-21 15:39 - 000001099 _____ C:\Users\user\RyukReadMe.txt
2023-03-21 15:44 - 2023-03-21 15:39 - 000001099 _____ C:\Users\user\AppData\RyukReadMe.txt
2023-03-21 15:44 - 2023-03-21 15:39 - 000001099 _____ C:\Users\RyukReadMe.txt
2023-03-21 15:44 - 2023-03-21 15:39 - 000001099 _____ C:\Users\Public\RyukReadMe.txt
2023-03-21 15:44 - 2023-03-21 15:39 - 000001099 _____ C:\Users\Default\RyukReadMe.txt
2023-03-21 15:42 - 2023-03-21 15:42 - 000000854 _____ C:\Program Files (x86)\RyukReadMe.html.[MaicoLion@firemail.de].RYK
2023-03-21 15:42 - 2023-03-21 15:39 - 000001099 _____ C:\Program Files (x86)\RyukReadMe.txt
2023-03-21 15:41 - 2023-03-21 15:41 - 000000854 _____ C:\Program Files\RyukReadMe.html.[MaicoLion@firemail.de].RYK
2023-03-21 15:41 - 2023-03-21 15:39 - 000001099 _____ C:\Program Files\RyukReadMe.txt
2023-03-21 15:40 - 2023-03-21 15:40 - 000000854 _____ C:\RyukReadMe.html.[MaicoLion@firemail.de].RYK
2023-03-21 15:40 - 2023-03-21 15:39 - 000001099 _____ C:\RyukReadMe.txt
2023-03-21 15:39 - 2023-03-21 15:44 - 000000854 _____ C:\ProgramData\RyukReadMe.html.[MaicoLion@firemail.de].RYK
2023-03-21 15:39 - 2023-03-21 15:39 - 000003276 _____ C:\WINDOWS\system32\Tasks\RYUK
2023-03-21 15:39 - 2023-03-21 15:39 - 000003160 _____ C:\WINDOWS\system32\Tasks\ryk
2023-03-21 15:39 - 2023-03-21 15:39 - 000001099 _____ C:\Users\user\Desktop\RyukReadMe.txt
2023-03-21 15:39 - 2023-03-21 15:39 - 000001099 _____ C:\ProgramData\RyukReadMe.txt
2023-03-21 15:39 - 2023-03-21 15:39 - 000000292 _____ C:\Users\user\Desktop\hrmlog2
2023-03-21 15:39 - 2023-03-21 15:39 - 000000292 _____ C:\ProgramData\hrmlog2
2023-03-21 15:39 - 2023-03-21 15:39 - 000000008 _____ C:\Users\user\Desktop\RYUKID
2023-03-21 15:39 - 2023-03-21 15:39 - 000000008 _____ C:\ProgramData\RYUKID
2023-03-21 15:39 - 2023-02-23 17:06 - 000906752 ___SH C:\ProgramData\ryuk.exe
2023-03-21 15:39 - 2023-02-23 17:06 - 000906752 _____ C:\Users\user\Desktop\Ryuk64.exe
2023-03-21 15:38 - 2023-03-21 15:51 - 000404502 _____ C:\Users\user\Desktop\Ryuk64.zip.[MaicoLion@firemail.de].RYKCRYPT
AV: Kaspersky Free (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
AV: Kaspersky Free (Enabled - Up to date) {0AB30972-4BAC-7BEE-CBCA-B8F9E68797D8}
AS: Kaspersky Free (Enabled - Up to date) {B1D2E896-6D96-7460-F17A-838B9D00DD65}
FirewallRules: [{A8CA8672-71AC-4ADB-BB07-A65951A7D832}] => (Allow) LPort=1688
FirewallRules: [{7F8765EB-072B-4A2C-BFC2-5AAC8E2B7FA2}] => (Allow) LPort=8510
FirewallRules: [{3906BD21-193E-4D8F-929E-38BE49DCCF45}] => (Allow) LPort=475
FirewallRules: [{85B78226-D9F0-4769-B3FC-0BF854DD6AAD}] => (Allow) LPort=475
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

 

MediaGet

SearcherBar

 

 

neon2010

neon2010

Опубликовано
  • Автор
Опубликовано

сейчас сделаю, а самое главное то, файлы сможем расшифровать?

Sandor

Sandor

Опубликовано
Опубликовано

Воспользуйтесь этим дешифратором. Запускать правой кнопкой от имени администратора.

 

В завершение обязательно:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
neon2010

neon2010

Опубликовано
  • Автор
Опубликовано

процесс дешифровки пошел, по итогу скину лог SecurityCheck.txt

  • Like (+1) 1
neon2010

neon2010

Опубликовано
  • Автор
Опубликовано (изменено)

Чекер отработал после дешифровки

SecurityCheck.rar

Изменено пользователем neon2010
Sandor

Sandor

Опубликовано
Опубликовано

--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.7.8.2 Внимание! Скачать обновления
TeamViewer 11 v.11.0.259193 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.19.222.1110.0006 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
Total Commander 64-bit (Remove or Repair) v.9.22a Внимание! Скачать обновления
WinRAR 5.80 (64-разрядная) v.5.80.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Skype, версия 8.72 v.8.72 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat (64-bit) v.22.003.20322 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Yandex v.23.1.5.708 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Chrone Browser v.86.0.4240.198 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
 

Перечисленное желательно по возможности исправить.

 

Читайте Рекомендации после удаления вредоносного ПО

  • Sandor изменил название на [РАСШИФРОВАНО] Просьба помочь с расшифровкой RYUK
neon2010

neon2010

Опубликовано
  • Автор
Опубликовано

спасибо огромное за содействие! Чем поправить системные косяки, вроде не работающего диспетчера задач(не открывается совсем никак)? Комп щас только на удаленке, надо его поддержать чтоб забрать данные и прекрыть дыры для взломщиков?

Sandor

Sandor

Опубликовано
Опубликовано
7 минут назад, neon2010 сказал:

вроде не работающего диспетчера задач

А почему же раньше не сообщили?

Можем попробовать, только если это удалённый комп, нужны будут перезагрузки системы. Справитесь?

neon2010

neon2010

Опубликовано
  • Автор
Опубликовано

справлюсь думаю, извините что не указал сразу, главное было данные спасти, что уже имеет место быть

Sandor

Sandor

Опубликовано
Опубликовано

Соберите новые логи FRST.txt и Addition.txt

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • aronone
      [РЕШЕНО] NET.MALWARE.URL не удаляется, просьба помочь удалить
      Автор aronone
      Здравствуйте, заметил нагрузку на процессор, проверил куррейтом нашел NET:MALWARE.URL и Trojan.PWS.Banker. , вылечить не получилось, но после перезагрузки куррейт перестал находить вирусы, хотел бы почистить комп полностью
      CollectionLog-2024.04.23-09.35.zip cureit.rar
    • Orbeatt
      Прошу помочь расшифровать. Есть Исходник и расшифрованный вариант от злоумышленника.
      Автор Orbeatt
      В архиве 2 файла упакованные шифровальщиком и они же расшифрованные злоумышленником. Прошу помочь со средством для расшифровки остальных файлов
      files2.rar
       
    • energetic
      Шифровальщик ZENEX кто сможет помочь расшифровать
      Автор energetic
      Вирус шифровальщик работает с помощью mimikatz делают dump и достают хеш паролей или в открытом виде, коннектятся к серверам выдают привилегии повышенные, файл в startup вкладку в главном меню. ПОсле перезагрузки шифрует. Если у кого то есть возможность помочь расшифровать буду благодарен.
      #ZENEX-Help.txt 1.txt.[prodecrypter@aol.com].ZENEX.zip
    • Bruce007
      Прошу помочь с расшифровкой файлов *.SYSDF
      Автор Bruce007
      Зараженные файлы.rar Здравствуйте! Подцепили вирус шифровальщик, я не очень разобрался как тему оформлять, пожалуйста, подскажите как систему проанализировать с помощью farbar, могу подсьединить жесткие диски к компьютеру с работоспособной системой (два жестких диска заражены)
      Прикладываю архив с тремя файлами - один - записка о том, как связаться и две зашифрованных скриншота
    • WiziR
      Ryuk вернулся
      Автор WiziR
      Приветствую!
      Пришли с праздников и вот обнаружили сообщение при входе  систему о шифрации.

       
      Your network has been penetrated.
      All files on each host in the network have been encrypted with a strong algorithm. 
      Backups were either encrypted
      Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.
      We exclusively have decryption software for your situation. 
      More than a year ago, world experts recognized the impossibility of deciphering by any means except the original decoder. 
      No decryption software is available in the public.
      Antiviruse companies, researchers, IT specialists, and no other persons cant help you decrypt the data. 
      DO NOT RESET OR SHUTDOWN - files may be damaged.
      DO NOT DELETE readme files. 
      To confirm our honest intentions.Send 2 different random files and you will get it decrypted. 
      It can be from different computers on your network to be sure that one key decrypts everything.
      2 files we unlock for free
      To get info (decrypt your files) contact us at 
      dectokyo@onionmail.org
      or
      dectokyo@cock.li , TELEGRAM : @tokyosupp
      You will receive btc address for payment in the reply letter 
      Ryuk
      No system is safe
       
      В корне диска папка с именем !!1 в нем следующее сообщение $Risen_Note.txt
       
      RisenNote :

      Read this text file carefully.
      We have penetrated your whole network due some critical security issues.
      We have encrypted all of your files on each host in the network within strong algorithm.
      We have also Took your critical data such as docs, images, engineering data, accounting data, customers and ...
          And trust me, we exactly know what should we collect in case of NO corporation until the end of the deadline we WILL leak or sell your data,
          the only way to stop this process is successful corporation.
      We have monitored your Backup plans for a whileand they are completely out of access(encrypted)
      The only situation for recovering your files is our decryptor,
          there are many middle man services out there whom will contact us for your caseand add an amount of money on the FIXED price that we gave to them,
          so be aware of them.
      Remember, you can send Upto 3 test files for decrypting, before making payment,
          we highly recommend to get test files to prevent possible scams.
      In order to contact us you can either use following email :
      Email address : gotchadec@onionmail.org
      Or If you weren't able to contact us whitin 24 hours please Email : Yamaguchigumi@cock.li, TELEGRAM:@GotchaDec
      Leave subject as your machine id : C5TEDZHBWD
      If you didn't get any respond within 72 hours use our blog to contact us, 
      therefore we can create another way for you to contact your cryptor as soon as possible.
      TOR BLOG : https://cqqzfmdd2fwshfyic6srf3fxjjigiipqdygosk6sdifstrbtxnm5bead.onion
       
      Ниже все вложения с логами сканирования FRST.rar
      Зашифрованные файлы в архиве FRST1.rar
      Просим помощи в расшифровке содержимого наших данных.
      !!1.rar hrmlog1.rar FRST.rar FRST1.rar
×
×
  • Создать...