Перейти к содержанию
Пройди опрос про новый продукт, получи приз

Шифровальщик Ryuk

igsdv
 Share Подписчики 1

Рекомендуемые сообщения

igsdv

igsdv 0

Опубликовано
  • Автор
Опубликовано

Удалось расшифровать большую часть файлов, но всё ещё остаётся проблема с большими файлами (от 5гб).
Есть выход из данной ситуации?

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 167

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

К сожалению, о проблеме с большими файлами нам известно. И это из-за ошибок в шифровании, а не в дешифраторе.

Судя по логам, вымогатель пока активен, почистим:

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2915688262-410143955-484038222-1002\...\MountPoints2: {05af7c57-0875-11ed-9e0f-7e8ae1d052d5} - "H:\autorun.exe" 
HKU\S-1-5-21-2915688262-410143955-484038222-1002\...\MountPoints2: {d0a5e27e-19f0-11ec-9dfb-7e8ae1d052d5} - "F:\autorun.exe" 
HKU\S-1-5-21-2915688262-410143955-484038222-1003\...\MountPoints2: {d0a5e27e-19f0-11ec-9dfb-7e8ae1d052d5} - "F:\autorun.exe" 
HKU\S-1-5-21-2915688262-410143955-484038222-1014\...\MountPoints2: {05af7c57-0875-11ed-9e0f-7e8ae1d052d5} - "H:\autorun.exe" 
HKU\S-1-5-21-2915688262-410143955-484038222-1014\...\MountPoints2: {d0a5e27e-19f0-11ec-9dfb-7e8ae1d052d5} - "F:\autorun.exe" 
HKU\S-1-5-21-2915688262-410143955-484038222-500\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.html [2023-03-23] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.txt [2023-03-23] () [Файл не подписан]
C:\Users\Администратор\Desktop\Ryuk64 [Argument = (2).exe
Task: {4F0C3278-2F64-49C5-B56F-3F37D3C4D2FC} - System32\Tasks\RYUK => C:\Users\Администратор\Desktop\Ryuk64 [Argument = (2).exe]
Task: {E21A4A93-6C54-4517-BE90-CC106186D4DA} - System32\Tasks\ryk => C:\Users\Администратор\Desktop\Ryuk64 [Argument = (2).exe]
2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Windows\RyukReadMe.txt
2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\Администратор\RyukReadMe.txt
2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\zharkov.v\RyukReadMe.txt
2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user2\RyukReadMe.txt
2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user2\Desktop\RyukReadMe.txt
2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user2\AppData\RyukReadMe.txt
2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user1\Desktop\RyukReadMe.txt
2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user1\AppData\RyukReadMe.txt
2023-03-23 02:36 - 2023-03-23 02:36 - 000000851 _____ C:\Program Files\RyukReadMe.html.[qblisq@mailfence.com].RYK
2023-03-23 02:36 - 2023-03-23 02:36 - 000000851 _____ C:\Program Files (x86)\RyukReadMe.html.[qblisq@mailfence.com].RYK
2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user1\RyukReadMe.txt
2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Users\RyukReadMe.txt
2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Users\Public\RyukReadMe.txt
2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Users\Default\RyukReadMe.txt
2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Program Files\RyukReadMe.txt
2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Program Files (x86)\RyukReadMe.txt
2023-03-23 02:34 - 2023-03-23 02:34 - 000000851 _____ C:\RyukReadMe.html.[qblisq@mailfence.com].RYK
2023-03-23 02:34 - 2023-03-23 02:33 - 000001096 _____ C:\RyukReadMe.txt
2023-03-23 02:33 - 2023-03-23 02:36 - 000000851 _____ C:\ProgramData\RyukReadMe.html.[qblisq@mailfence.com].RYK
2023-03-23 02:33 - 2023-03-23 02:33 - 000003350 _____ C:\Windows\system32\Tasks\RYUK
2023-03-23 02:33 - 2023-03-23 02:33 - 000003240 _____ C:\Windows\system32\Tasks\ryk
2023-03-23 02:33 - 2023-03-23 02:33 - 000001096 _____ C:\Users\Администратор\Desktop\RyukReadMe.txt
2023-03-23 02:33 - 2023-03-23 02:33 - 000001096 _____ C:\ProgramData\RyukReadMe.txt
2023-03-23 02:33 - 2023-03-23 02:33 - 000000292 _____ C:\Users\Администратор\Desktop\hrmlog2
2023-03-23 02:33 - 2023-03-23 02:33 - 000000292 _____ C:\ProgramData\hrmlog2
2023-03-23 02:33 - 2023-03-23 02:33 - 000000008 _____ C:\Users\Администратор\Desktop\RYUKID
2023-03-23 02:33 - 2023-03-23 02:33 - 000000008 _____ C:\ProgramData\RYUKID
2023-03-23 02:33 - 2023-03-23 02:33 - 000000008 _____ C:\ProgramData\nons
FirewallRules: [{C5ADE055-749C-49D7-8CE0-F3238862D354}] => (Allow) LPort=3389
Zip: c:\FRST\Quarantine\
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

И один из файлов hrmlog1 прикрепите к следующему сообщению, пожалуйста.

 

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Добавил карантин
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 167

Опубликовано
Опубликовано

Ага, вижу. К сожалению, нужный файл туда не попал.

 

2 часа назад, igsdv сказал:

Удалось расшифровать большую часть файлов

Вы использовали дешифровщик от Аваст?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Temirlan
      Просьба помочь с расшифровкой RYUK
      От Temirlan
      Добрый день!
      Зашифровались файлы, добавились расширения  [vulcanteam@onionmail.org].RYK.backup
      Помогите, пожалуйста
      RyukReadMe.txt
      hrmlog1.rar
    • JIAMA
      Помощь с расшифровкой RYK/Ryuk
      От JIAMA
      Добрый день, система и диск с данными были зашифрованы, на данный момент системный диск переустановлен, на форуме уже были успешные расшифровки по данному вирусу, надеюсь и нам получится помочь, прикреплен файл с образцами (пароль virus)
      шифр файлы.rar
    • Raabdulk
      Шифровальщик Ryuk не дремлет, сервер зашифрован
      От Raabdulk
      Всем привет! Ищу помощи в борьбе с шифровальщиком, требуют несколько тыс $
      Зашифрованный файл2.7z Зашифрованный файл.7z Addition.txt FRST.txt
    • neon2010
      [РАСШИФРОВАНО] Просьба помочь с расшифровкой RYUK
      От neon2010
      Доброго дня, сегодня зашифровалась система, переустановки не было, файлы прилагаю, очень прошу помочь.
       
      data.rar
    • scourgezx
      Шифровальщик Ryuk
      От scourgezx
      Добрый день. 23 февраля (возможно раньше) поймали вирус шифровальщик, представившийся как "ryuk". Пострадали не сильно, но некоторые файлы хотелось бы восстановить, если есть такая возможность. 
      Выяснить, как шифровальщик залез в систему пока не удалось.
      Логи FRST.rar Зашифрованный документ.rar
×
×
  • Создать...