Перейти к содержанию

Зашифрованы файлы Ryuk

rsharipov
 Поделиться

Рекомендуемые сообщения

rsharipov

rsharipov

Опубликовано
Опубликовано

Здравствуйте!

В субботу (10.06.2023) ночью произошло несчастье, компьютер поразил вирус Ryuk.
Сегодня в ночи мне удалось при помощи Kaspersky Rescue Disk 18 создать загрузочную флешку, и в режиме включения совместимости таки загрузиться и пролечить ПК.
Благо была вторая УЗ администратора и я смог через нее восстановить пароль к основной УЗ, т.к. вирус пароль тоже зачистил.
После это я путем обновления с загрузочной флешки мне удалось восстановить нормальную работоспособность ОС.
Далее я попробовал к зашифрованным файлам применить Утилиту Kaspersky RakhniDecryptor, однако ни один файл не был расшифрован.
В архиве (под паролем), предлагаю отправить в ЛС, приложены примеры зашифрованных файлов и файлы с информацией.

Прошу оказать вас помощь в решении вопроса.
Заранее благодарю!

Files.rar

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Какой пароль на архив?

Можете не беспокоиться, в этом разделе кроме модераторов и консультантов никто не может скачивать вложения. Даже вы своё не сможете.

rsharipov

rsharipov

Опубликовано
  • Автор
Опубликовано
22 минуты назад, Sandor сказал:

Здравствуйте!

 

Какой пароль на архив?

Можете не беспокоиться, в этом разделе кроме модераторов и консультантов никто не может скачивать вложения. Даже вы своё не сможете.

Все же я беспокоюсь по данной ситуации и очень взволнован.

Отправил в ЛС пароль.

Sandor

Sandor

Опубликовано
Опубликовано

Пока обрадовать нечем. Это модифицированная версия вымогателя.

Если злоумышленники ответят, сообщите, пожалуйста.

 

Также не помешает собрать логи Farbar Recovery Scan Tool по правилам раздела. Могут кое-что прояснить.

rsharipov

rsharipov

Опубликовано
  • Автор
Опубликовано
2 часа назад, Sandor сказал:

Пока обрадовать нечем. Это модифицированная версия вымогателя.

Если злоумышленники ответят, сообщите, пожалуйста.

 

Также не помешает собрать логи Farbar Recovery Scan Tool по правилам раздела. Могут кое-что прояснить.

 

Да, по ответу я обязательно сообщу, но задал ряд вопросов в ЛС.

 

Логи соберу, по не восстановил сегодня ОС вообще ничего нормально не запускалось.

 

2 часа назад, rsharipov сказал:

 

Да, по ответу я обязательно сообщу, но задал ряд вопросов в ЛС.

 

Логи соберу, по не восстановил сегодня ОС вообще ничего нормально не запускалось.

 

Прикрепляю логи в архиве, пароль аналогичен, что отправлял в ЛС.

Files_FRST64.rar

Какие мои дальнейшие шаги, как мне выходить из сложившейся ситуации?

Sandor

Sandor

Опубликовано
Опубликовано

Этот файл прикрепите, пожалуйста в архиве:

Цитата

C:\Users\Admin\Desktop\report_2023.06.13_00.46.27.klr.enc1

Пароль не нужен, т.к. отчёт обычным способом не прочитать.

Sandor

Sandor

Опубликовано
Опубликовано
41 минуту назад, rsharipov сказал:

сегодня ОС вообще ничего нормально не запускалось

Потому что кроме шифрования было ещё и файловое заражение.

Антивирус с этим успешно справился.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Sergey21
      Шифровальщик TheBlackArrow@Tuta.io XINOF
      Автор Sergey21
      Добрый день! Сегодня утром поймали этого шифровальщика, заметили процесс XINOF.EXE и по прошествии примерно 30 минут зверь успел 30000 тысяч файлов зашифровать. Процесс закрыл, файл вируса перенес (был в папке ProgramData).
      сообщение шифровальщика 
      Are you looking for your important files?
       Send a message to TheBlackArrow@Tuta.io 
       
      Addition.txt FRST.txt xinof_virus.zip xinof_образцы.zip
       
      Этой утилитой https://support.kaspersky.ru/10556 удалось расшифровать файлы! Хотелось бы убрать следы от шифровальщика.
    • dmitryf
      Trojan.Encoder.32210 #Fonix
      Автор dmitryf
      Добрый вечер и с наступающим.
      Посмотрите пожалуйста, можно ли разшифровать?
      BOOTSECT.BAK.Email=[CrXL@cock.li]ID=[E4EC7608].zip
    • WiziR
      Ryuk вернулся
      Автор WiziR
      Приветствую!
      Пришли с праздников и вот обнаружили сообщение при входе  систему о шифрации.

       
      Your network has been penetrated.
      All files on each host in the network have been encrypted with a strong algorithm. 
      Backups were either encrypted
      Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.
      We exclusively have decryption software for your situation. 
      More than a year ago, world experts recognized the impossibility of deciphering by any means except the original decoder. 
      No decryption software is available in the public.
      Antiviruse companies, researchers, IT specialists, and no other persons cant help you decrypt the data. 
      DO NOT RESET OR SHUTDOWN - files may be damaged.
      DO NOT DELETE readme files. 
      To confirm our honest intentions.Send 2 different random files and you will get it decrypted. 
      It can be from different computers on your network to be sure that one key decrypts everything.
      2 files we unlock for free
      To get info (decrypt your files) contact us at 
      dectokyo@onionmail.org
      or
      dectokyo@cock.li , TELEGRAM : @tokyosupp
      You will receive btc address for payment in the reply letter 
      Ryuk
      No system is safe
       
      В корне диска папка с именем !!1 в нем следующее сообщение $Risen_Note.txt
       
      RisenNote :

      Read this text file carefully.
      We have penetrated your whole network due some critical security issues.
      We have encrypted all of your files on each host in the network within strong algorithm.
      We have also Took your critical data such as docs, images, engineering data, accounting data, customers and ...
          And trust me, we exactly know what should we collect in case of NO corporation until the end of the deadline we WILL leak or sell your data,
          the only way to stop this process is successful corporation.
      We have monitored your Backup plans for a whileand they are completely out of access(encrypted)
      The only situation for recovering your files is our decryptor,
          there are many middle man services out there whom will contact us for your caseand add an amount of money on the FIXED price that we gave to them,
          so be aware of them.
      Remember, you can send Upto 3 test files for decrypting, before making payment,
          we highly recommend to get test files to prevent possible scams.
      In order to contact us you can either use following email :
      Email address : gotchadec@onionmail.org
      Or If you weren't able to contact us whitin 24 hours please Email : Yamaguchigumi@cock.li, TELEGRAM:@GotchaDec
      Leave subject as your machine id : C5TEDZHBWD
      If you didn't get any respond within 72 hours use our blog to contact us, 
      therefore we can create another way for you to contact your cryptor as soon as possible.
      TOR BLOG : https://cqqzfmdd2fwshfyic6srf3fxjjigiipqdygosk6sdifstrbtxnm5bead.onion
       
      Ниже все вложения с логами сканирования FRST.rar
      Зашифрованные файлы в архиве FRST1.rar
      Просим помощи в расшифровке содержимого наших данных.
      !!1.rar hrmlog1.rar FRST.rar FRST1.rar
    • Шаманов_Артём
      Зашифровались файлы. Помогите, пожалуйста.
      Автор Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • Eduard Kutuev
      Файлы зашифровало с расширением .RYK
      Автор Eduard Kutuev
      Здравствуйте, вирус зашифровал данные на сервере, ещё нет дешифратора от этого типа? Могу предоставить файл-примеры.
×
×
  • Создать...