Перейти к содержанию

Шифровальщик Ruyk


Татьяна Калякина

Рекомендуемые сообщения

Здравствуйте!

 

Судя по тому, что вы уже перепробовали всевозможные дешифраторы, вы уже поняли, что расшифровки этой версии вымогателя нет.

Сообщите, пожалуйста, пароль на архив из первого сообщения.

 

Систему будете переустанавливать или дать скрипт? Вымогатель пока активен и есть дыры.

Ссылка на комментарий
Поделиться на другие сайты

 

Сообщила в ЛС

 

Дайте скрипт

 

Касперским пролечили, файл вируса заархивирован до лечения. Если надо можем попробовать поискать файлы не зашифрованные и зашифрованные изначально эдентичные…

 

Взлом был по рдп из Польши на пользовательский комп потом внутри сети по рдп на сервер. Лезли вручную

😉 попробовали те что нашли, Надежда была 😉

 

Ссылка на комментарий
Поделиться на другие сайты

10 минут назад, Татьяна Калякина сказал:

Если надо можем попробовать поискать файлы не зашифрованные и зашифрованные изначально эдентичные

Нет, в данном случае такая пара файлов ничем не поможет, увы.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-4177692695-2294423618-3072936964-500\...\MountPoints2: {0bf42700-ac08-11e5-80b6-9c8e9958bd92} - "I:\SETUP.EXE" 
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.html [2023-09-20] () [Файл не подписан]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.txt [2023-09-20] () [Файл не подписан]
    Task: {8B72A74D-1A8C-4146-99A3-D607C3B949C7} - System32\Tasks\Microsoft\Windows\Software Inventory Logging\Collection => C:\Windows\system32\cmd.exe [357376 2014-11-21] (Microsoft Windows -> Microsoft Corporation) -> /d /c %systemroot%\system32\silcollector.cmd publish <==== ВНИМАНИЕ
    Task: {ACF72820-0EE2-4F37-941F-F1E4AEE8EB78} - System32\Tasks\Microsoft\Windows\Software Inventory Logging\Configuration => C:\Windows\system32\cmd.exe [357376 2014-11-21] (Microsoft Windows -> Microsoft Corporation) -> /d /c %systemroot%\system32\silcollector.cmd configure <==== ВНИМАНИЕ
    2023-09-20 22:46 - 2023-09-20 22:44 - 000008448 _____ C:\Windows\hrmlog1
    2023-09-20 22:46 - 2023-09-20 22:44 - 000008448 _____ C:\Users\Администратор\hrmlog1
    2023-09-20 22:46 - 2023-09-20 22:44 - 000008448 _____ C:\Users\Public\hrmlog1
    2023-09-20 22:46 - 2023-09-20 22:44 - 000008448 _____ C:\Users\hrmlog1
    2023-09-20 22:46 - 2023-09-20 22:44 - 000008448 _____ C:\Users\Default\hrmlog1
    2023-09-20 22:46 - 2023-09-20 22:44 - 000001106 _____ C:\Windows\RyukReadMe.txt
    2023-09-20 22:46 - 2023-09-20 22:44 - 000001106 _____ C:\Users\Администратор\RyukReadMe.txt
    2023-09-20 22:46 - 2023-09-20 22:44 - 000001106 _____ C:\Users\RyukReadMe.txt
    2023-09-20 22:46 - 2023-09-20 22:44 - 000001106 _____ C:\Users\Public\RyukReadMe.txt
    2023-09-20 22:46 - 2023-09-20 22:44 - 000001106 _____ C:\Users\Default\RyukReadMe.txt
    2023-09-20 22:46 - 2023-09-20 22:44 - 000000155 _____ C:\Windows\RyukReadMe.html
    2023-09-20 22:46 - 2023-09-20 22:44 - 000000155 _____ C:\Users\Администратор\RyukReadMe.html
    2023-09-20 22:46 - 2023-09-20 22:44 - 000000155 _____ C:\Users\RyukReadMe.html
    2023-09-20 22:46 - 2023-09-20 22:44 - 000000155 _____ C:\Users\Public\RyukReadMe.html
    2023-09-20 22:46 - 2023-09-20 22:44 - 000000155 _____ C:\Users\Default\RyukReadMe.html
    2023-09-20 22:45 - 2023-09-20 22:44 - 000008448 _____ C:\Program Files\hrmlog1
    2023-09-20 22:45 - 2023-09-20 22:44 - 000008448 _____ C:\Program Files (x86)\hrmlog1
    2023-09-20 22:45 - 2023-09-20 22:44 - 000008448 _____ C:\hrmlog1
    2023-09-20 22:45 - 2023-09-20 22:44 - 000001106 _____ C:\RyukReadMe.txt
    2023-09-20 22:45 - 2023-09-20 22:44 - 000001106 _____ C:\Program Files\RyukReadMe.txt
    2023-09-20 22:45 - 2023-09-20 22:44 - 000001106 _____ C:\Program Files (x86)\RyukReadMe.txt
    2023-09-20 22:45 - 2023-09-20 22:44 - 000000155 _____ C:\RyukReadMe.html
    2023-09-20 22:45 - 2023-09-20 22:44 - 000000155 _____ C:\Program Files\RyukReadMe.html
    2023-09-20 22:45 - 2023-09-20 22:44 - 000000155 _____ C:\Program Files (x86)\RyukReadMe.html
    2023-09-20 22:44 - 2023-09-20 22:44 - 000008448 _____ C:\Users\Администратор\Desktop\hrmlog1
    2023-09-20 22:44 - 2023-09-20 22:44 - 000008448 _____ C:\ProgramData\hrmlog1
    2023-09-20 22:44 - 2023-09-20 22:44 - 000001106 _____ C:\Users\Администратор\Desktop\RyukReadMe.txt
    2023-09-20 22:44 - 2023-09-20 22:44 - 000001106 _____ C:\ProgramData\RyukReadMe.txt
    2023-09-20 22:44 - 2023-09-20 22:44 - 000000292 _____ C:\Users\Администратор\Desktop\hrmlog2
    2023-09-20 22:44 - 2023-09-20 22:44 - 000000292 _____ C:\ProgramData\hrmlog2
    2023-09-20 22:44 - 2023-09-20 22:44 - 000000155 _____ C:\ProgramData\RyukReadMe.html
    2023-09-20 22:44 - 2023-09-20 22:44 - 000000048 _____ C:\ProgramData\nons
    2023-09-20 22:44 - 2023-09-20 22:44 - 000000008 _____ C:\Users\Администратор\Desktop\RYUKID
    2023-09-20 22:44 - 2023-09-20 22:44 - 000000008 _____ C:\ProgramData\RYUKID
    2023-09-20 22:44 - 2023-06-03 00:29 - 000910848 ___SH C:\ProgramData\ryuk.exe
    FirewallRules: [{34A2E4EF-BD0E-4BF2-ABD3-DE4BBA6E7D50}] => (Allow) LPort=1234
    FirewallRules: [{568A1775-0597-489F-91F0-32A80A9A9C19}] => (Allow) LPort=1234
    FirewallRules: [{476A2D50-4AEF-4659-A7CE-6EB56F442D7C}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
    FirewallRules: [{A9AF1F37-7F96-4B2A-B77C-3A5B1571C4AE}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
    FirewallRules: [{7343D06D-6B67-449C-8AB8-CC9DB7831558}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
    FirewallRules: [{3C5D8F66-89E8-4D89-BE07-2A3B75B5000F}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
    FirewallRules: [{F179E1D6-BF39-4523-9BDB-46E90D614F71}] => (Allow) LPort=475
    FirewallRules: [{83AEEF29-EDAC-4EB4-A984-D9033747F342}] => (Allow) LPort=475
    FirewallRules: [Microsoft-Windows-NFS-ServerCore-NfsSvc-NFS-UDP-In] => (Allow) LPort=2049
    FirewallRules: [Microsoft-Windows-NFS-ServerCore-NfsSvc-NFS-TCP-In] => (Allow) LPort=2049
    FirewallRules: [Microsoft-Windows-NFS-OpenPortMapper-Portmap-UDP-In] => (Allow) LPort=111
    FirewallRules: [Microsoft-Windows-NFS-OpenPortMapper-Portmap-TCP-In] => (Allow) LPort=111
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • Aleksandr63
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
    • Irina4832
      От Irina4832
      Помогите! Все файлы зашифровали, онлай определители типа шифровщика его не находят
      qbpBqR1L6.README.txt
    • kokc1979
      От kokc1979
      Подхватил заразу. Вчера всё работало. Сегодня вечером обнаружилась проблема с шифровалкой. Ни какое ПО в этот промежуток ремени не устанавливалось. Ни чего не скачивалось.
      Log.rar 3File.rar
    • Saul
      От Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
×
×
  • Создать...