Перейти к содержанию

Рекомендуемые сообщения

Удалось расшифровать большую часть файлов, но всё ещё остаётся проблема с большими файлами (от 5гб).
Есть выход из данной ситуации?

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

К сожалению, о проблеме с большими файлами нам известно. И это из-за ошибок в шифровании, а не в дешифраторе.

Судя по логам, вымогатель пока активен, почистим:

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2915688262-410143955-484038222-1002\...\MountPoints2: {05af7c57-0875-11ed-9e0f-7e8ae1d052d5} - "H:\autorun.exe" 
    HKU\S-1-5-21-2915688262-410143955-484038222-1002\...\MountPoints2: {d0a5e27e-19f0-11ec-9dfb-7e8ae1d052d5} - "F:\autorun.exe" 
    HKU\S-1-5-21-2915688262-410143955-484038222-1003\...\MountPoints2: {d0a5e27e-19f0-11ec-9dfb-7e8ae1d052d5} - "F:\autorun.exe" 
    HKU\S-1-5-21-2915688262-410143955-484038222-1014\...\MountPoints2: {05af7c57-0875-11ed-9e0f-7e8ae1d052d5} - "H:\autorun.exe" 
    HKU\S-1-5-21-2915688262-410143955-484038222-1014\...\MountPoints2: {d0a5e27e-19f0-11ec-9dfb-7e8ae1d052d5} - "F:\autorun.exe" 
    HKU\S-1-5-21-2915688262-410143955-484038222-500\...\Policies\system: [DisableTaskMgr] 1
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.html [2023-03-23] () [Файл не подписан]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.txt [2023-03-23] () [Файл не подписан]
    C:\Users\Администратор\Desktop\Ryuk64 [Argument = (2).exe
    Task: {4F0C3278-2F64-49C5-B56F-3F37D3C4D2FC} - System32\Tasks\RYUK => C:\Users\Администратор\Desktop\Ryuk64 [Argument = (2).exe]
    Task: {E21A4A93-6C54-4517-BE90-CC106186D4DA} - System32\Tasks\ryk => C:\Users\Администратор\Desktop\Ryuk64 [Argument = (2).exe]
    2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Windows\RyukReadMe.txt
    2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\Администратор\RyukReadMe.txt
    2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\zharkov.v\RyukReadMe.txt
    2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user2\RyukReadMe.txt
    2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user2\Desktop\RyukReadMe.txt
    2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user2\AppData\RyukReadMe.txt
    2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user1\Desktop\RyukReadMe.txt
    2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user1\AppData\RyukReadMe.txt
    2023-03-23 02:36 - 2023-03-23 02:36 - 000000851 _____ C:\Program Files\RyukReadMe.html.[qblisq@mailfence.com].RYK
    2023-03-23 02:36 - 2023-03-23 02:36 - 000000851 _____ C:\Program Files (x86)\RyukReadMe.html.[qblisq@mailfence.com].RYK
    2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user1\RyukReadMe.txt
    2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Users\RyukReadMe.txt
    2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Users\Public\RyukReadMe.txt
    2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Users\Default\RyukReadMe.txt
    2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Program Files\RyukReadMe.txt
    2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Program Files (x86)\RyukReadMe.txt
    2023-03-23 02:34 - 2023-03-23 02:34 - 000000851 _____ C:\RyukReadMe.html.[qblisq@mailfence.com].RYK
    2023-03-23 02:34 - 2023-03-23 02:33 - 000001096 _____ C:\RyukReadMe.txt
    2023-03-23 02:33 - 2023-03-23 02:36 - 000000851 _____ C:\ProgramData\RyukReadMe.html.[qblisq@mailfence.com].RYK
    2023-03-23 02:33 - 2023-03-23 02:33 - 000003350 _____ C:\Windows\system32\Tasks\RYUK
    2023-03-23 02:33 - 2023-03-23 02:33 - 000003240 _____ C:\Windows\system32\Tasks\ryk
    2023-03-23 02:33 - 2023-03-23 02:33 - 000001096 _____ C:\Users\Администратор\Desktop\RyukReadMe.txt
    2023-03-23 02:33 - 2023-03-23 02:33 - 000001096 _____ C:\ProgramData\RyukReadMe.txt
    2023-03-23 02:33 - 2023-03-23 02:33 - 000000292 _____ C:\Users\Администратор\Desktop\hrmlog2
    2023-03-23 02:33 - 2023-03-23 02:33 - 000000292 _____ C:\ProgramData\hrmlog2
    2023-03-23 02:33 - 2023-03-23 02:33 - 000000008 _____ C:\Users\Администратор\Desktop\RYUKID
    2023-03-23 02:33 - 2023-03-23 02:33 - 000000008 _____ C:\ProgramData\RYUKID
    2023-03-23 02:33 - 2023-03-23 02:33 - 000000008 _____ C:\ProgramData\nons
    FirewallRules: [{C5ADE055-749C-49D7-8CE0-F3238862D354}] => (Allow) LPort=3389
    Zip: c:\FRST\Quarantine\
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

И один из файлов hrmlog1 прикрепите к следующему сообщению, пожалуйста.

 

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Добавил карантин
Ссылка на комментарий
Поделиться на другие сайты

Ага, вижу. К сожалению, нужный файл туда не попал.

 

2 часа назад, igsdv сказал:

Удалось расшифровать большую часть файлов

Вы использовали дешифровщик от Аваст?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • 08Sergey
      Автор 08Sergey
      Всем привет! Помогите пожалуйста, зашифровало файловый сервер, много текстовых документов, стандартные средства не помогли, есть оригинал файла и зашифрованный (в архиве), система переустановлена, письмо с требованиями не найдено...
      eking.zip
    • Павел Бурдейный
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • vmax
      Автор vmax
      Шифровальщик зашифровал все файлы, даже архивы, помогите, не знаю что делать. В архиве две заражённые картинки.
      1.jpg.id[3493C0DF-3274].[xlll@imap.cc].zip
    • Беляш
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
    • ratava
      Автор ratava
      Поймал шифровальщика, судя по подобным темам файлы расшифровать не получится, хотелось бы удалить его из системы и обойтись без переустановки, если такое возможно
      FRST.txt Addition.txt Shortcut.txt Desktop.zip
×
×
  • Создать...