Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Шифровальщик Ryuk

igsdv
 Поделиться

Рекомендуемые сообщения

igsdv Новичок

igsdv

Опубликовано
  • Автор
Опубликовано

Удалось расшифровать большую часть файлов, но всё ещё остаётся проблема с большими файлами (от 5гб).
Есть выход из данной ситуации?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

К сожалению, о проблеме с большими файлами нам известно. И это из-за ошибок в шифровании, а не в дешифраторе.

Судя по логам, вымогатель пока активен, почистим:

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2915688262-410143955-484038222-1002\...\MountPoints2: {05af7c57-0875-11ed-9e0f-7e8ae1d052d5} - "H:\autorun.exe" 
HKU\S-1-5-21-2915688262-410143955-484038222-1002\...\MountPoints2: {d0a5e27e-19f0-11ec-9dfb-7e8ae1d052d5} - "F:\autorun.exe" 
HKU\S-1-5-21-2915688262-410143955-484038222-1003\...\MountPoints2: {d0a5e27e-19f0-11ec-9dfb-7e8ae1d052d5} - "F:\autorun.exe" 
HKU\S-1-5-21-2915688262-410143955-484038222-1014\...\MountPoints2: {05af7c57-0875-11ed-9e0f-7e8ae1d052d5} - "H:\autorun.exe" 
HKU\S-1-5-21-2915688262-410143955-484038222-1014\...\MountPoints2: {d0a5e27e-19f0-11ec-9dfb-7e8ae1d052d5} - "F:\autorun.exe" 
HKU\S-1-5-21-2915688262-410143955-484038222-500\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.html [2023-03-23] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.txt [2023-03-23] () [Файл не подписан]
C:\Users\Администратор\Desktop\Ryuk64 [Argument = (2).exe
Task: {4F0C3278-2F64-49C5-B56F-3F37D3C4D2FC} - System32\Tasks\RYUK => C:\Users\Администратор\Desktop\Ryuk64 [Argument = (2).exe]
Task: {E21A4A93-6C54-4517-BE90-CC106186D4DA} - System32\Tasks\ryk => C:\Users\Администратор\Desktop\Ryuk64 [Argument = (2).exe]
2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Windows\RyukReadMe.txt
2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\Администратор\RyukReadMe.txt
2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\zharkov.v\RyukReadMe.txt
2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user2\RyukReadMe.txt
2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user2\Desktop\RyukReadMe.txt
2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user2\AppData\RyukReadMe.txt
2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user1\Desktop\RyukReadMe.txt
2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user1\AppData\RyukReadMe.txt
2023-03-23 02:36 - 2023-03-23 02:36 - 000000851 _____ C:\Program Files\RyukReadMe.html.[qblisq@mailfence.com].RYK
2023-03-23 02:36 - 2023-03-23 02:36 - 000000851 _____ C:\Program Files (x86)\RyukReadMe.html.[qblisq@mailfence.com].RYK
2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user1\RyukReadMe.txt
2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Users\RyukReadMe.txt
2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Users\Public\RyukReadMe.txt
2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Users\Default\RyukReadMe.txt
2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Program Files\RyukReadMe.txt
2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Program Files (x86)\RyukReadMe.txt
2023-03-23 02:34 - 2023-03-23 02:34 - 000000851 _____ C:\RyukReadMe.html.[qblisq@mailfence.com].RYK
2023-03-23 02:34 - 2023-03-23 02:33 - 000001096 _____ C:\RyukReadMe.txt
2023-03-23 02:33 - 2023-03-23 02:36 - 000000851 _____ C:\ProgramData\RyukReadMe.html.[qblisq@mailfence.com].RYK
2023-03-23 02:33 - 2023-03-23 02:33 - 000003350 _____ C:\Windows\system32\Tasks\RYUK
2023-03-23 02:33 - 2023-03-23 02:33 - 000003240 _____ C:\Windows\system32\Tasks\ryk
2023-03-23 02:33 - 2023-03-23 02:33 - 000001096 _____ C:\Users\Администратор\Desktop\RyukReadMe.txt
2023-03-23 02:33 - 2023-03-23 02:33 - 000001096 _____ C:\ProgramData\RyukReadMe.txt
2023-03-23 02:33 - 2023-03-23 02:33 - 000000292 _____ C:\Users\Администратор\Desktop\hrmlog2
2023-03-23 02:33 - 2023-03-23 02:33 - 000000292 _____ C:\ProgramData\hrmlog2
2023-03-23 02:33 - 2023-03-23 02:33 - 000000008 _____ C:\Users\Администратор\Desktop\RYUKID
2023-03-23 02:33 - 2023-03-23 02:33 - 000000008 _____ C:\ProgramData\RYUKID
2023-03-23 02:33 - 2023-03-23 02:33 - 000000008 _____ C:\ProgramData\nons
FirewallRules: [{C5ADE055-749C-49D7-8CE0-F3238862D354}] => (Allow) LPort=3389
Zip: c:\FRST\Quarantine\
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

И один из файлов hrmlog1 прикрепите к следующему сообщению, пожалуйста.

 

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Добавил карантин
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Ага, вижу. К сожалению, нужный файл туда не попал.

 

2 часа назад, igsdv сказал:

Удалось расшифровать большую часть файлов

Вы использовали дешифровщик от Аваст?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • 08Sergey
      Шифровальщик .eking
      Автор 08Sergey
      Всем привет! Помогите пожалуйста, зашифровало файловый сервер, много текстовых документов, стандартные средства не помогли, есть оригинал файла и зашифрованный (в архиве), система переустановлена, письмо с требованиями не найдено...
      eking.zip
    • Павел Бурдейный
      Помощи с шифровальщиком
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • vmax
      Шифровальщик 13
      Автор vmax
      Шифровальщик зашифровал все файлы, даже архивы, помогите, не знаю что делать. В архиве две заражённые картинки.
      1.jpg.id[3493C0DF-3274].[xlll@imap.cc].zip
    • Беляш
      Шифровальщик KOZANOSTRA
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
    • ratava
      KOZANOSTRA шифровальщик
      Автор ratava
      Поймал шифровальщика, судя по подобным темам файлы расшифровать не получится, хотелось бы удалить его из системы и обойтись без переустановки, если такое возможно
      FRST.txt Addition.txt Shortcut.txt Desktop.zip
×
×
  • Создать...