Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Шифровальщик Ruyk

Татьяна Калякина

Автор Татьяна Калякина
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Судя по тому, что вы уже перепробовали всевозможные дешифраторы, вы уже поняли, что расшифровки этой версии вымогателя нет.

Сообщите, пожалуйста, пароль на архив из первого сообщения.

 

Систему будете переустанавливать или дать скрипт? Вымогатель пока активен и есть дыры.

Татьяна Калякина

Татьяна Калякина

Опубликовано
  • Автор
Опубликовано

 

Сообщила в ЛС

 

Дайте скрипт

 

Касперским пролечили, файл вируса заархивирован до лечения. Если надо можем попробовать поискать файлы не зашифрованные и зашифрованные изначально эдентичные…

 

Взлом был по рдп из Польши на пользовательский комп потом внутри сети по рдп на сервер. Лезли вручную

😉 попробовали те что нашли, Надежда была 😉

 

Sandor

Sandor

Опубликовано
Опубликовано
10 минут назад, Татьяна Калякина сказал:

Если надо можем попробовать поискать файлы не зашифрованные и зашифрованные изначально эдентичные

Нет, в данном случае такая пара файлов ничем не поможет, увы.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-4177692695-2294423618-3072936964-500\...\MountPoints2: {0bf42700-ac08-11e5-80b6-9c8e9958bd92} - "I:\SETUP.EXE" 
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.html [2023-09-20] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.txt [2023-09-20] () [Файл не подписан]
Task: {8B72A74D-1A8C-4146-99A3-D607C3B949C7} - System32\Tasks\Microsoft\Windows\Software Inventory Logging\Collection => C:\Windows\system32\cmd.exe [357376 2014-11-21] (Microsoft Windows -> Microsoft Corporation) -> /d /c %systemroot%\system32\silcollector.cmd publish <==== ВНИМАНИЕ
Task: {ACF72820-0EE2-4F37-941F-F1E4AEE8EB78} - System32\Tasks\Microsoft\Windows\Software Inventory Logging\Configuration => C:\Windows\system32\cmd.exe [357376 2014-11-21] (Microsoft Windows -> Microsoft Corporation) -> /d /c %systemroot%\system32\silcollector.cmd configure <==== ВНИМАНИЕ
2023-09-20 22:46 - 2023-09-20 22:44 - 000008448 _____ C:\Windows\hrmlog1
2023-09-20 22:46 - 2023-09-20 22:44 - 000008448 _____ C:\Users\Администратор\hrmlog1
2023-09-20 22:46 - 2023-09-20 22:44 - 000008448 _____ C:\Users\Public\hrmlog1
2023-09-20 22:46 - 2023-09-20 22:44 - 000008448 _____ C:\Users\hrmlog1
2023-09-20 22:46 - 2023-09-20 22:44 - 000008448 _____ C:\Users\Default\hrmlog1
2023-09-20 22:46 - 2023-09-20 22:44 - 000001106 _____ C:\Windows\RyukReadMe.txt
2023-09-20 22:46 - 2023-09-20 22:44 - 000001106 _____ C:\Users\Администратор\RyukReadMe.txt
2023-09-20 22:46 - 2023-09-20 22:44 - 000001106 _____ C:\Users\RyukReadMe.txt
2023-09-20 22:46 - 2023-09-20 22:44 - 000001106 _____ C:\Users\Public\RyukReadMe.txt
2023-09-20 22:46 - 2023-09-20 22:44 - 000001106 _____ C:\Users\Default\RyukReadMe.txt
2023-09-20 22:46 - 2023-09-20 22:44 - 000000155 _____ C:\Windows\RyukReadMe.html
2023-09-20 22:46 - 2023-09-20 22:44 - 000000155 _____ C:\Users\Администратор\RyukReadMe.html
2023-09-20 22:46 - 2023-09-20 22:44 - 000000155 _____ C:\Users\RyukReadMe.html
2023-09-20 22:46 - 2023-09-20 22:44 - 000000155 _____ C:\Users\Public\RyukReadMe.html
2023-09-20 22:46 - 2023-09-20 22:44 - 000000155 _____ C:\Users\Default\RyukReadMe.html
2023-09-20 22:45 - 2023-09-20 22:44 - 000008448 _____ C:\Program Files\hrmlog1
2023-09-20 22:45 - 2023-09-20 22:44 - 000008448 _____ C:\Program Files (x86)\hrmlog1
2023-09-20 22:45 - 2023-09-20 22:44 - 000008448 _____ C:\hrmlog1
2023-09-20 22:45 - 2023-09-20 22:44 - 000001106 _____ C:\RyukReadMe.txt
2023-09-20 22:45 - 2023-09-20 22:44 - 000001106 _____ C:\Program Files\RyukReadMe.txt
2023-09-20 22:45 - 2023-09-20 22:44 - 000001106 _____ C:\Program Files (x86)\RyukReadMe.txt
2023-09-20 22:45 - 2023-09-20 22:44 - 000000155 _____ C:\RyukReadMe.html
2023-09-20 22:45 - 2023-09-20 22:44 - 000000155 _____ C:\Program Files\RyukReadMe.html
2023-09-20 22:45 - 2023-09-20 22:44 - 000000155 _____ C:\Program Files (x86)\RyukReadMe.html
2023-09-20 22:44 - 2023-09-20 22:44 - 000008448 _____ C:\Users\Администратор\Desktop\hrmlog1
2023-09-20 22:44 - 2023-09-20 22:44 - 000008448 _____ C:\ProgramData\hrmlog1
2023-09-20 22:44 - 2023-09-20 22:44 - 000001106 _____ C:\Users\Администратор\Desktop\RyukReadMe.txt
2023-09-20 22:44 - 2023-09-20 22:44 - 000001106 _____ C:\ProgramData\RyukReadMe.txt
2023-09-20 22:44 - 2023-09-20 22:44 - 000000292 _____ C:\Users\Администратор\Desktop\hrmlog2
2023-09-20 22:44 - 2023-09-20 22:44 - 000000292 _____ C:\ProgramData\hrmlog2
2023-09-20 22:44 - 2023-09-20 22:44 - 000000155 _____ C:\ProgramData\RyukReadMe.html
2023-09-20 22:44 - 2023-09-20 22:44 - 000000048 _____ C:\ProgramData\nons
2023-09-20 22:44 - 2023-09-20 22:44 - 000000008 _____ C:\Users\Администратор\Desktop\RYUKID
2023-09-20 22:44 - 2023-09-20 22:44 - 000000008 _____ C:\ProgramData\RYUKID
2023-09-20 22:44 - 2023-06-03 00:29 - 000910848 ___SH C:\ProgramData\ryuk.exe
FirewallRules: [{34A2E4EF-BD0E-4BF2-ABD3-DE4BBA6E7D50}] => (Allow) LPort=1234
FirewallRules: [{568A1775-0597-489F-91F0-32A80A9A9C19}] => (Allow) LPort=1234
FirewallRules: [{476A2D50-4AEF-4659-A7CE-6EB56F442D7C}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{A9AF1F37-7F96-4B2A-B77C-3A5B1571C4AE}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{7343D06D-6B67-449C-8AB8-CC9DB7831558}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
FirewallRules: [{3C5D8F66-89E8-4D89-BE07-2A3B75B5000F}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
FirewallRules: [{F179E1D6-BF39-4523-9BDB-46E90D614F71}] => (Allow) LPort=475
FirewallRules: [{83AEEF29-EDAC-4EB4-A984-D9033747F342}] => (Allow) LPort=475
FirewallRules: [Microsoft-Windows-NFS-ServerCore-NfsSvc-NFS-UDP-In] => (Allow) LPort=2049
FirewallRules: [Microsoft-Windows-NFS-ServerCore-NfsSvc-NFS-TCP-In] => (Allow) LPort=2049
FirewallRules: [Microsoft-Windows-NFS-OpenPortMapper-Portmap-UDP-In] => (Allow) LPort=111
FirewallRules: [Microsoft-Windows-NFS-OpenPortMapper-Portmap-TCP-In] => (Allow) LPort=111
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Татьяна Калякина

Татьяна Калякина

Опубликовано
  • Автор
Опубликовано

Копировать копируем, а куда вставлять?

Sandor

Sandor

Опубликовано
Опубликовано

Никуда вставлять не нужно, скрипт будет выполнен из буфера обмена.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vkams
      Шифровальщик .no_more_ransom [Shade Ransomware]
      Автор vkams
      Пользовательница открыла .zip-файл якобы из налоговой. По её словам, антивирус nod32 предупредил и, вроде, не дал выполнить. Через 30 мин, заметив проблемы с базой The bat! (часть писем не показывалась), обратилась ко мне. Я обнаружил признаки шифрования, по одной из тем в этом разделе убил 'C:\ProgramData\Windows\csrss.exe' с помощью AVZ, но огромное количество файлов и папок уже зашифрованы. Последующая проверка с помощью Kaspresky Security Scan, DrWeb CureIt!, Malwarebytes показали, что других заражений нет. Отчёты FRST прилагаю. 
       
      Есть ли расшифровщик?

      Папка quarantine была пустой, так что, может, ничего при запуске AVZ и не убилось, разве что перезагрузка прервала работу шифровальщика. Действовал в цейтноте, не слишком разумно... .
      Addition.zip
      FRST.zip
    • ArtMaster7
      Шифровщик email-moshiax@aol.com
      Автор ArtMaster7
      Доброго времени суток.
      Помогите....
      Получил 02.12.2015 письмо из налоговой, открыл и появились проблемы....
       
      CollectionLog-2016.01.17-01.05.zip
    • dezent17
      [РАСШИФРОВАНО] Шифровальщик honestandhope@qq.com
      Автор dezent17
      Добрый день!
      Поймал шифровальщик 3 года назад, оставил в надежде на появление решений по его расшифровке. Прочитал, что есть случаи разблокировки с данным email
      Система была переустановлена и остались лишь зашифрованные файлы с how_to_decrypt.hta
      Прошу помочь расшифровать
      Прикрепляю файлы для проверки, пароль 1111
       
      Спасибо!
      files.zip
    • cenpro
      Decoder_master@aol.com
      Автор cenpro
      Здравствуйте!
       
      Столкнулся с проблемой шифрования компьютера.
      Сделал сканирование. Прикрепляю файл 
      CollectionLog-2017.09.20-10.23.zip 
      И еще, появился файл 
      bootsqm.rar 
      Тоже прикрепил.
       
      Прошу помощи в дешифрации данных, пусть даже будет на платной основе.
       
      Спасибо за ранее! 
                                
      CollectionLog-2017.09.20-10.23.zip
      bootsqm.rar
    • Буп
      Шифровальщик @BeGood327
      Автор Буп
      Зашифровали данные у всех компьютеров, что были в сети. 
      Выдаёт везде сообщение:
      FOR UNLOCK - CONTACT TELEGRAMM @BeGood327
×
×
  • Создать...