ryuk Шифровальщик Ryuk

[igsdv]

Здравствуйте! Необходима помощь в удалении вируса ryuk и дешифровке файлов. Необходимые файлы прилагаю.

 

Addition.txt files.zip FRST.txt

[igsdv]

Удалось расшифровать большую часть файлов, но всё ещё остаётся проблема с большими файлами (от 5гб).
Есть выход из данной ситуации?

[Sandor]

Здравствуйте!

 

К сожалению, о проблеме с большими файлами нам известно. И это из-за ошибок в шифровании, а не в дешифраторе.

Судя по логам, вымогатель пока активен, почистим:

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2915688262-410143955-484038222-1002\...\MountPoints2: {05af7c57-0875-11ed-9e0f-7e8ae1d052d5} - "H:\autorun.exe" 
  HKU\S-1-5-21-2915688262-410143955-484038222-1002\...\MountPoints2: {d0a5e27e-19f0-11ec-9dfb-7e8ae1d052d5} - "F:\autorun.exe" 
  HKU\S-1-5-21-2915688262-410143955-484038222-1003\...\MountPoints2: {d0a5e27e-19f0-11ec-9dfb-7e8ae1d052d5} - "F:\autorun.exe" 
  HKU\S-1-5-21-2915688262-410143955-484038222-1014\...\MountPoints2: {05af7c57-0875-11ed-9e0f-7e8ae1d052d5} - "H:\autorun.exe" 
  HKU\S-1-5-21-2915688262-410143955-484038222-1014\...\MountPoints2: {d0a5e27e-19f0-11ec-9dfb-7e8ae1d052d5} - "F:\autorun.exe" 
  HKU\S-1-5-21-2915688262-410143955-484038222-500\...\Policies\system: [DisableTaskMgr] 1
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.html [2023-03-23] () [Файл не подписан]
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.txt [2023-03-23] () [Файл не подписан]
  C:\Users\Администратор\Desktop\Ryuk64 [Argument = (2).exe
  Task: {4F0C3278-2F64-49C5-B56F-3F37D3C4D2FC} - System32\Tasks\RYUK => C:\Users\Администратор\Desktop\Ryuk64 [Argument = (2).exe]
  Task: {E21A4A93-6C54-4517-BE90-CC106186D4DA} - System32\Tasks\ryk => C:\Users\Администратор\Desktop\Ryuk64 [Argument = (2).exe]
  2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Windows\RyukReadMe.txt
  2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\Администратор\RyukReadMe.txt
  2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\zharkov.v\RyukReadMe.txt
  2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user2\RyukReadMe.txt
  2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user2\Desktop\RyukReadMe.txt
  2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user2\AppData\RyukReadMe.txt
  2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user1\Desktop\RyukReadMe.txt
  2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user1\AppData\RyukReadMe.txt
  2023-03-23 02:36 - 2023-03-23 02:36 - 000000851 _____ C:\Program Files\RyukReadMe.html.[qblisq@mailfence.com].RYK
  2023-03-23 02:36 - 2023-03-23 02:36 - 000000851 _____ C:\Program Files (x86)\RyukReadMe.html.[qblisq@mailfence.com].RYK
  2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user1\RyukReadMe.txt
  2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Users\RyukReadMe.txt
  2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Users\Public\RyukReadMe.txt
  2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Users\Default\RyukReadMe.txt
  2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Program Files\RyukReadMe.txt
  2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Program Files (x86)\RyukReadMe.txt
  2023-03-23 02:34 - 2023-03-23 02:34 - 000000851 _____ C:\RyukReadMe.html.[qblisq@mailfence.com].RYK
  2023-03-23 02:34 - 2023-03-23 02:33 - 000001096 _____ C:\RyukReadMe.txt
  2023-03-23 02:33 - 2023-03-23 02:36 - 000000851 _____ C:\ProgramData\RyukReadMe.html.[qblisq@mailfence.com].RYK
  2023-03-23 02:33 - 2023-03-23 02:33 - 000003350 _____ C:\Windows\system32\Tasks\RYUK
  2023-03-23 02:33 - 2023-03-23 02:33 - 000003240 _____ C:\Windows\system32\Tasks\ryk
  2023-03-23 02:33 - 2023-03-23 02:33 - 000001096 _____ C:\Users\Администратор\Desktop\RyukReadMe.txt
  2023-03-23 02:33 - 2023-03-23 02:33 - 000001096 _____ C:\ProgramData\RyukReadMe.txt
  2023-03-23 02:33 - 2023-03-23 02:33 - 000000292 _____ C:\Users\Администратор\Desktop\hrmlog2
  2023-03-23 02:33 - 2023-03-23 02:33 - 000000292 _____ C:\ProgramData\hrmlog2
  2023-03-23 02:33 - 2023-03-23 02:33 - 000000008 _____ C:\Users\Администратор\Desktop\RYUKID
  2023-03-23 02:33 - 2023-03-23 02:33 - 000000008 _____ C:\ProgramData\RYUKID
  2023-03-23 02:33 - 2023-03-23 02:33 - 000000008 _____ C:\ProgramData\nons
  FirewallRules: [{C5ADE055-749C-49D7-8CE0-F3238862D354}] => (Allow) LPort=3389
  Zip: c:\FRST\Quarantine\
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

И один из файлов hrmlog1 прикрепите к следующему сообщению, пожалуйста.

 

Подробнее читайте в этом руководстве.

Изменено 23 марта, 2023 пользователем Sandor
Добавил карантин

[igsdv]

Fixlog.txt hrmlog1.zip

[Sandor]

Спасибо!

Карантин отправить получилось?

[igsdv]

Да, отправил.

[Sandor]

Ага, вижу. К сожалению, нужный файл туда не попал.

 

2 часа назад, igsdv сказал:

Удалось расшифровать большую часть файлов

Вы использовали дешифровщик от Аваст?

[igsdv]

Да, avast_decryptor_fonix.

[Sandor]

Хорошо. На этом всё.

 

Возьмите на заметку - Рекомендации после удаления вредоносного ПО