Перейти к содержанию

Шифровальщик Ryuk

igsdv
 Share Подписчики 1

Рекомендуемые сообщения

igsdv

igsdv 0

Опубликовано
  • Автор
Опубликовано

Удалось расшифровать большую часть файлов, но всё ещё остаётся проблема с большими файлами (от 5гб).
Есть выход из данной ситуации?

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 188

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

К сожалению, о проблеме с большими файлами нам известно. И это из-за ошибок в шифровании, а не в дешифраторе.

Судя по логам, вымогатель пока активен, почистим:

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2915688262-410143955-484038222-1002\...\MountPoints2: {05af7c57-0875-11ed-9e0f-7e8ae1d052d5} - "H:\autorun.exe" 
HKU\S-1-5-21-2915688262-410143955-484038222-1002\...\MountPoints2: {d0a5e27e-19f0-11ec-9dfb-7e8ae1d052d5} - "F:\autorun.exe" 
HKU\S-1-5-21-2915688262-410143955-484038222-1003\...\MountPoints2: {d0a5e27e-19f0-11ec-9dfb-7e8ae1d052d5} - "F:\autorun.exe" 
HKU\S-1-5-21-2915688262-410143955-484038222-1014\...\MountPoints2: {05af7c57-0875-11ed-9e0f-7e8ae1d052d5} - "H:\autorun.exe" 
HKU\S-1-5-21-2915688262-410143955-484038222-1014\...\MountPoints2: {d0a5e27e-19f0-11ec-9dfb-7e8ae1d052d5} - "F:\autorun.exe" 
HKU\S-1-5-21-2915688262-410143955-484038222-500\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.html [2023-03-23] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.txt [2023-03-23] () [Файл не подписан]
C:\Users\Администратор\Desktop\Ryuk64 [Argument = (2).exe
Task: {4F0C3278-2F64-49C5-B56F-3F37D3C4D2FC} - System32\Tasks\RYUK => C:\Users\Администратор\Desktop\Ryuk64 [Argument = (2).exe]
Task: {E21A4A93-6C54-4517-BE90-CC106186D4DA} - System32\Tasks\ryk => C:\Users\Администратор\Desktop\Ryuk64 [Argument = (2).exe]
2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Windows\RyukReadMe.txt
2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\Администратор\RyukReadMe.txt
2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\zharkov.v\RyukReadMe.txt
2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user2\RyukReadMe.txt
2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user2\Desktop\RyukReadMe.txt
2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user2\AppData\RyukReadMe.txt
2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user1\Desktop\RyukReadMe.txt
2023-03-23 02:37 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user1\AppData\RyukReadMe.txt
2023-03-23 02:36 - 2023-03-23 02:36 - 000000851 _____ C:\Program Files\RyukReadMe.html.[qblisq@mailfence.com].RYK
2023-03-23 02:36 - 2023-03-23 02:36 - 000000851 _____ C:\Program Files (x86)\RyukReadMe.html.[qblisq@mailfence.com].RYK
2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Users\user1\RyukReadMe.txt
2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Users\RyukReadMe.txt
2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Users\Public\RyukReadMe.txt
2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Users\Default\RyukReadMe.txt
2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Program Files\RyukReadMe.txt
2023-03-23 02:36 - 2023-03-23 02:33 - 000001096 _____ C:\Program Files (x86)\RyukReadMe.txt
2023-03-23 02:34 - 2023-03-23 02:34 - 000000851 _____ C:\RyukReadMe.html.[qblisq@mailfence.com].RYK
2023-03-23 02:34 - 2023-03-23 02:33 - 000001096 _____ C:\RyukReadMe.txt
2023-03-23 02:33 - 2023-03-23 02:36 - 000000851 _____ C:\ProgramData\RyukReadMe.html.[qblisq@mailfence.com].RYK
2023-03-23 02:33 - 2023-03-23 02:33 - 000003350 _____ C:\Windows\system32\Tasks\RYUK
2023-03-23 02:33 - 2023-03-23 02:33 - 000003240 _____ C:\Windows\system32\Tasks\ryk
2023-03-23 02:33 - 2023-03-23 02:33 - 000001096 _____ C:\Users\Администратор\Desktop\RyukReadMe.txt
2023-03-23 02:33 - 2023-03-23 02:33 - 000001096 _____ C:\ProgramData\RyukReadMe.txt
2023-03-23 02:33 - 2023-03-23 02:33 - 000000292 _____ C:\Users\Администратор\Desktop\hrmlog2
2023-03-23 02:33 - 2023-03-23 02:33 - 000000292 _____ C:\ProgramData\hrmlog2
2023-03-23 02:33 - 2023-03-23 02:33 - 000000008 _____ C:\Users\Администратор\Desktop\RYUKID
2023-03-23 02:33 - 2023-03-23 02:33 - 000000008 _____ C:\ProgramData\RYUKID
2023-03-23 02:33 - 2023-03-23 02:33 - 000000008 _____ C:\ProgramData\nons
FirewallRules: [{C5ADE055-749C-49D7-8CE0-F3238862D354}] => (Allow) LPort=3389
Zip: c:\FRST\Quarantine\
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

И один из файлов hrmlog1 прикрепите к следующему сообщению, пожалуйста.

 

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Добавил карантин
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 188

Опубликовано
Опубликовано

Ага, вижу. К сожалению, нужный файл туда не попал.

 

2 часа назад, igsdv сказал:

Удалось расшифровать большую часть файлов

Вы использовали дешифровщик от Аваст?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • ОлегМ
      Шифровальщик RYUK
      От ОлегМ
      Добрый день! Поймал шифровальщика ryuk.
      Есть возможность расшифровать файлы?
      Addition.txt FRST.txt ryuk.zip
    • Barsa.81
      Шифровальщик RYUK
      От Barsa.81
      Здравствуйте.
      Зашифровались файлы на сервере.
      Систему переустановили, поэтому логи снимать неоткуда.
      Можно ли помочь с расшифровкой файлов?
      Буду благодарен за любую помощь и информацию.
      Зашифрованные файлы.zip
    • Пётр Б
      Шифровальщик RYUK
      От Пётр Б
      Добрый вечер.
      Зашифровались файлы на сервере. Дешифраторы, описанные на форуме не помогли
      Систему не переустанавливали и не чистили
      В архиве virus файл из автозагрузки
      Зашифрованные файлы и файлы с требованиями.zip virus.zip hrmlog.zip frst.zip
    • Aristan
      Зашифрованы файлы Ryuk
      От Aristan
      Всем доброго времени суток. Этот же вирус словил и я. Вирус прошел мимо антивируса и удалил его, удалил теневые копии и точки восстановления виндовс. Откатить не удалось. зашифровал базы SQL, переименования файла не помогло (хотя лет пять назад это срабатывало). Я уже отправил через кабинет в техподдержку файлы, пока ответа нет.
       
      Сообщение от модератора kmscom Сообщения перенесены из темы Зашифрованы файлы Ryuk  
    • Filereopening
      Ryuk
      От Filereopening
      Привет, наш сервер был атакован этим вымогателем, пожалуйста, помогите
      hrmlog1.zip 284.pdf.[Datablack0068@gmail.com].[C6B0931E].zip
×
×
  • Создать...