Перейти к содержанию

Помощь с расшифровкой RYK/Ryuk

JIAMA
 Поделиться

Рекомендуемые сообщения

JIAMA

JIAMA

Опубликовано
Опубликовано

Добрый день, система и диск с данными были зашифрованы, на данный момент системный диск переустановлен, на форуме уже были успешные расшифровки по данному вирусу, надеюсь и нам получится помочь, прикреплен файл с образцами (пароль virus)

шифр файлы.rar

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

5 минут назад, JIAMA сказал:

системный диск переустановлен

Это вы поторопились. Резервную копию не сделали перед переустановкой?

Нужен файл hrmlog1, который после шифрования находился в разных папках, в т.ч. в корне диска С.

Sandor

Sandor

Опубликовано
Опубликовано

Вам поможет этот дешифровщик.

Запускать правой кнопкой от имени администратора. Наличие файла hrmlog1 в папке с зашифрованными обязательно.

 

Возьмите на заметку - Рекомендации после удаления вредоносного ПО

  • 2 года спустя...
safety

safety

Опубликовано
Опубликовано

Есть еще зашифрованные файлы? Можете прислать несколько файлов в одном архиве, без пароля?

m.stoliarov

m.stoliarov

Опубликовано
Опубликовано
3 минуты назад, safety сказал:

Есть еще зашифрованные файлы? Можете прислать несколько файлов в одном архиве, без пароля?

Карта_схема.zip
Вот еще, если надо больше то пришлю больше, только скажите сколько

safety

safety

Опубликовано
Опубликовано (изменено)

Шифрование когда было?

Зашифрованные файлы, скорее всего изменены. Или изменены их наименования.

Изменено пользователем safety
m.stoliarov

m.stoliarov

Опубликовано
Опубликовано (изменено)
6 минут назад, safety сказал:

Шифрование когда было? Зашифрованные файлы, скорее всего изменены.


Это файлы переданные нам 3 лицом для обработки, подозреваю что они у них в таком виде хранятся уже очень давно судя по дате создания файла RyukReadMe.txt и html 01-02 января 2023. Сами они до прошлой недели и не подозревали что они у них в таком виде. Примеры файлов мне коллега передал через telegram по этому все метаданные слетели. А что вы имеете ввиду под "изменены"?

 

Изменено пользователем m.stoliarov
safety

safety

Опубликовано
Опубликовано (изменено)
17 минут назад, m.stoliarov сказал:

А что вы имеете ввиду под "изменены"?

Потому что шифрование по данной почте имеет такой формат:

Имя файла.[dec.station@onionmail.org].RYK или

Имя файла.[dec.station@onionmail.org].RYKCRYPT

В конце зашифрованного файла должна быть информация о ключе+маркер HERMES.

В ваших файлах нет этих данных.

image.png

 

Пришлите побольше зашифрованных файлов для проверки.

Изменено пользователем safety
m.stoliarov

m.stoliarov

Опубликовано
Опубликовано (изменено)

Все верно они выглядят иначе если смотреть их на диске, названия меняет telegram при пересылке

Карта.zip

 

Похожее есть в фале hrmlog

hrmlog1.7z

Изменено пользователем safety
не надо лишнего цитирования
safety

safety

Опубликовано
Опубликовано (изменено)

Файлы, скорее всего, недошифрованы. Насколько помню, проблема была именно с архивами zip.

Если есть такая возможность, пришлите зашифрованные офисные документы, или рисунки (jpg, png) для проверки расшифровки.

Изменено пользователем safety
m.stoliarov

m.stoliarov

Опубликовано
Опубликовано
28 минут назад, safety сказал:

Пришлите побольше зашифрованных файлов для проверки.



Вот больше файлов

RYKCRYPT.7z

9 минут назад, safety сказал:

Файлы скорее всего недошифрованы. К тому, насколько помню, проблема была именно с архивами zip.

Если есть такая возможность, пришлите зашифрованные офисные документы, или рисунки (jpg, png) для проверки расшифровки.

К сожалению есть только zip

safety

safety

Опубликовано
Опубликовано (изменено)

Написано ведь выше - не надо цитировать наши сообщения, просто пишите в окне редактора ваше сообщение.

Возможно другим способом данные zip файлы можно восстановить, расшифровать их не получится.

 

Оценка специалистов по восстановлению/расшифровке файлов после шифрования RYK/RYKCRYPT:

Цитата

 

Определенные группы файлов просто полностью испорчены вредоносной программой

    * Any File [<300KB] = Good
    * .zip [300KB - 2GB] = Unrecoverable
    * .zip [2GB+] = Recoverable
    * "Important" [300KB - 2GB] = Good
    * "Important" [2GB+] = Unrecoverable
    * Other File [300KB - 2GB] = Good
    * Other File [2GB+] = Recoverable

    Здесь «важными» расширениями могут быть .MDF, .SQL, .VHD и т. д.

 

 

Изменено пользователем safety
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Sergey21
      Шифровальщик TheBlackArrow@Tuta.io XINOF
      Автор Sergey21
      Добрый день! Сегодня утром поймали этого шифровальщика, заметили процесс XINOF.EXE и по прошествии примерно 30 минут зверь успел 30000 тысяч файлов зашифровать. Процесс закрыл, файл вируса перенес (был в папке ProgramData).
      сообщение шифровальщика 
      Are you looking for your important files?
       Send a message to TheBlackArrow@Tuta.io 
       
      Addition.txt FRST.txt xinof_virus.zip xinof_образцы.zip
       
      Этой утилитой https://support.kaspersky.ru/10556 удалось расшифровать файлы! Хотелось бы убрать следы от шифровальщика.
    • dmitryf
      Trojan.Encoder.32210 #Fonix
      Автор dmitryf
      Добрый вечер и с наступающим.
      Посмотрите пожалуйста, можно ли разшифровать?
      BOOTSECT.BAK.Email=[CrXL@cock.li]ID=[E4EC7608].zip
    • WiziR
      Ryuk вернулся
      Автор WiziR
      Приветствую!
      Пришли с праздников и вот обнаружили сообщение при входе  систему о шифрации.

       
      Your network has been penetrated.
      All files on each host in the network have been encrypted with a strong algorithm. 
      Backups were either encrypted
      Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.
      We exclusively have decryption software for your situation. 
      More than a year ago, world experts recognized the impossibility of deciphering by any means except the original decoder. 
      No decryption software is available in the public.
      Antiviruse companies, researchers, IT specialists, and no other persons cant help you decrypt the data. 
      DO NOT RESET OR SHUTDOWN - files may be damaged.
      DO NOT DELETE readme files. 
      To confirm our honest intentions.Send 2 different random files and you will get it decrypted. 
      It can be from different computers on your network to be sure that one key decrypts everything.
      2 files we unlock for free
      To get info (decrypt your files) contact us at 
      dectokyo@onionmail.org
      or
      dectokyo@cock.li , TELEGRAM : @tokyosupp
      You will receive btc address for payment in the reply letter 
      Ryuk
      No system is safe
       
      В корне диска папка с именем !!1 в нем следующее сообщение $Risen_Note.txt
       
      RisenNote :

      Read this text file carefully.
      We have penetrated your whole network due some critical security issues.
      We have encrypted all of your files on each host in the network within strong algorithm.
      We have also Took your critical data such as docs, images, engineering data, accounting data, customers and ...
          And trust me, we exactly know what should we collect in case of NO corporation until the end of the deadline we WILL leak or sell your data,
          the only way to stop this process is successful corporation.
      We have monitored your Backup plans for a whileand they are completely out of access(encrypted)
      The only situation for recovering your files is our decryptor,
          there are many middle man services out there whom will contact us for your caseand add an amount of money on the FIXED price that we gave to them,
          so be aware of them.
      Remember, you can send Upto 3 test files for decrypting, before making payment,
          we highly recommend to get test files to prevent possible scams.
      In order to contact us you can either use following email :
      Email address : gotchadec@onionmail.org
      Or If you weren't able to contact us whitin 24 hours please Email : Yamaguchigumi@cock.li, TELEGRAM:@GotchaDec
      Leave subject as your machine id : C5TEDZHBWD
      If you didn't get any respond within 72 hours use our blog to contact us, 
      therefore we can create another way for you to contact your cryptor as soon as possible.
      TOR BLOG : https://cqqzfmdd2fwshfyic6srf3fxjjigiipqdygosk6sdifstrbtxnm5bead.onion
       
      Ниже все вложения с логами сканирования FRST.rar
      Зашифрованные файлы в архиве FRST1.rar
      Просим помощи в расшифровке содержимого наших данных.
      !!1.rar hrmlog1.rar FRST.rar FRST1.rar
    • Шаманов_Артём
      Зашифровались файлы. Помогите, пожалуйста.
      Автор Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • f1ma
      Зашифрованные файлы с расширением .RYK / RYKCRYPT
      Автор f1ma
      Добрый день!
      Поймали вирус-шифровальщик на сервер. Практически все файлы имеют расширение .RYK или RYKCRYPT.
      Существует ли дешифратор на наш вариант вируса? Или возможно посоветуйте какие-либо действия для расшифровки файлов.
      Прикрепляю логи анализа, зашифрованные документы и требования. Файл шифровальщика пока не нашел. 
      FRST.txt Файлы_требования.zip
×
×
  • Создать...