Перейти к содержанию
Летний корпоратив «Лаборатории Касперского» 2025. Как попасть?

Шифровальщик Ruyk

Татьяна Калякина

Автор Татьяна Калякина
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Татьяна Калякина Новичок

Татьяна Калякина

Опубликовано
Опубликовано

Поймали шифровальщика на сервере 1С - SQL. Зашифрованы все базы 1С и все оперативные BackUp. 

Addition.txt FRST.txt Ryuk64.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Судя по тому, что вы уже перепробовали всевозможные дешифраторы, вы уже поняли, что расшифровки этой версии вымогателя нет.

Сообщите, пожалуйста, пароль на архив из первого сообщения.

 

Систему будете переустанавливать или дать скрипт? Вымогатель пока активен и есть дыры.

Ссылка на комментарий
Поделиться на другие сайты
Татьяна Калякина Новичок

Татьяна Калякина

Опубликовано
  • Автор
Опубликовано

 

Сообщила в ЛС

 

Дайте скрипт

 

Касперским пролечили, файл вируса заархивирован до лечения. Если надо можем попробовать поискать файлы не зашифрованные и зашифрованные изначально эдентичные…

 

Взлом был по рдп из Польши на пользовательский комп потом внутри сети по рдп на сервер. Лезли вручную

😉 попробовали те что нашли, Надежда была 😉

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
10 минут назад, Татьяна Калякина сказал:

Если надо можем попробовать поискать файлы не зашифрованные и зашифрованные изначально эдентичные

Нет, в данном случае такая пара файлов ничем не поможет, увы.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-4177692695-2294423618-3072936964-500\...\MountPoints2: {0bf42700-ac08-11e5-80b6-9c8e9958bd92} - "I:\SETUP.EXE" 
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.html [2023-09-20] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.txt [2023-09-20] () [Файл не подписан]
Task: {8B72A74D-1A8C-4146-99A3-D607C3B949C7} - System32\Tasks\Microsoft\Windows\Software Inventory Logging\Collection => C:\Windows\system32\cmd.exe [357376 2014-11-21] (Microsoft Windows -> Microsoft Corporation) -> /d /c %systemroot%\system32\silcollector.cmd publish <==== ВНИМАНИЕ
Task: {ACF72820-0EE2-4F37-941F-F1E4AEE8EB78} - System32\Tasks\Microsoft\Windows\Software Inventory Logging\Configuration => C:\Windows\system32\cmd.exe [357376 2014-11-21] (Microsoft Windows -> Microsoft Corporation) -> /d /c %systemroot%\system32\silcollector.cmd configure <==== ВНИМАНИЕ
2023-09-20 22:46 - 2023-09-20 22:44 - 000008448 _____ C:\Windows\hrmlog1
2023-09-20 22:46 - 2023-09-20 22:44 - 000008448 _____ C:\Users\Администратор\hrmlog1
2023-09-20 22:46 - 2023-09-20 22:44 - 000008448 _____ C:\Users\Public\hrmlog1
2023-09-20 22:46 - 2023-09-20 22:44 - 000008448 _____ C:\Users\hrmlog1
2023-09-20 22:46 - 2023-09-20 22:44 - 000008448 _____ C:\Users\Default\hrmlog1
2023-09-20 22:46 - 2023-09-20 22:44 - 000001106 _____ C:\Windows\RyukReadMe.txt
2023-09-20 22:46 - 2023-09-20 22:44 - 000001106 _____ C:\Users\Администратор\RyukReadMe.txt
2023-09-20 22:46 - 2023-09-20 22:44 - 000001106 _____ C:\Users\RyukReadMe.txt
2023-09-20 22:46 - 2023-09-20 22:44 - 000001106 _____ C:\Users\Public\RyukReadMe.txt
2023-09-20 22:46 - 2023-09-20 22:44 - 000001106 _____ C:\Users\Default\RyukReadMe.txt
2023-09-20 22:46 - 2023-09-20 22:44 - 000000155 _____ C:\Windows\RyukReadMe.html
2023-09-20 22:46 - 2023-09-20 22:44 - 000000155 _____ C:\Users\Администратор\RyukReadMe.html
2023-09-20 22:46 - 2023-09-20 22:44 - 000000155 _____ C:\Users\RyukReadMe.html
2023-09-20 22:46 - 2023-09-20 22:44 - 000000155 _____ C:\Users\Public\RyukReadMe.html
2023-09-20 22:46 - 2023-09-20 22:44 - 000000155 _____ C:\Users\Default\RyukReadMe.html
2023-09-20 22:45 - 2023-09-20 22:44 - 000008448 _____ C:\Program Files\hrmlog1
2023-09-20 22:45 - 2023-09-20 22:44 - 000008448 _____ C:\Program Files (x86)\hrmlog1
2023-09-20 22:45 - 2023-09-20 22:44 - 000008448 _____ C:\hrmlog1
2023-09-20 22:45 - 2023-09-20 22:44 - 000001106 _____ C:\RyukReadMe.txt
2023-09-20 22:45 - 2023-09-20 22:44 - 000001106 _____ C:\Program Files\RyukReadMe.txt
2023-09-20 22:45 - 2023-09-20 22:44 - 000001106 _____ C:\Program Files (x86)\RyukReadMe.txt
2023-09-20 22:45 - 2023-09-20 22:44 - 000000155 _____ C:\RyukReadMe.html
2023-09-20 22:45 - 2023-09-20 22:44 - 000000155 _____ C:\Program Files\RyukReadMe.html
2023-09-20 22:45 - 2023-09-20 22:44 - 000000155 _____ C:\Program Files (x86)\RyukReadMe.html
2023-09-20 22:44 - 2023-09-20 22:44 - 000008448 _____ C:\Users\Администратор\Desktop\hrmlog1
2023-09-20 22:44 - 2023-09-20 22:44 - 000008448 _____ C:\ProgramData\hrmlog1
2023-09-20 22:44 - 2023-09-20 22:44 - 000001106 _____ C:\Users\Администратор\Desktop\RyukReadMe.txt
2023-09-20 22:44 - 2023-09-20 22:44 - 000001106 _____ C:\ProgramData\RyukReadMe.txt
2023-09-20 22:44 - 2023-09-20 22:44 - 000000292 _____ C:\Users\Администратор\Desktop\hrmlog2
2023-09-20 22:44 - 2023-09-20 22:44 - 000000292 _____ C:\ProgramData\hrmlog2
2023-09-20 22:44 - 2023-09-20 22:44 - 000000155 _____ C:\ProgramData\RyukReadMe.html
2023-09-20 22:44 - 2023-09-20 22:44 - 000000048 _____ C:\ProgramData\nons
2023-09-20 22:44 - 2023-09-20 22:44 - 000000008 _____ C:\Users\Администратор\Desktop\RYUKID
2023-09-20 22:44 - 2023-09-20 22:44 - 000000008 _____ C:\ProgramData\RYUKID
2023-09-20 22:44 - 2023-06-03 00:29 - 000910848 ___SH C:\ProgramData\ryuk.exe
FirewallRules: [{34A2E4EF-BD0E-4BF2-ABD3-DE4BBA6E7D50}] => (Allow) LPort=1234
FirewallRules: [{568A1775-0597-489F-91F0-32A80A9A9C19}] => (Allow) LPort=1234
FirewallRules: [{476A2D50-4AEF-4659-A7CE-6EB56F442D7C}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{A9AF1F37-7F96-4B2A-B77C-3A5B1571C4AE}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{7343D06D-6B67-449C-8AB8-CC9DB7831558}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
FirewallRules: [{3C5D8F66-89E8-4D89-BE07-2A3B75B5000F}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
FirewallRules: [{F179E1D6-BF39-4523-9BDB-46E90D614F71}] => (Allow) LPort=475
FirewallRules: [{83AEEF29-EDAC-4EB4-A984-D9033747F342}] => (Allow) LPort=475
FirewallRules: [Microsoft-Windows-NFS-ServerCore-NfsSvc-NFS-UDP-In] => (Allow) LPort=2049
FirewallRules: [Microsoft-Windows-NFS-ServerCore-NfsSvc-NFS-TCP-In] => (Allow) LPort=2049
FirewallRules: [Microsoft-Windows-NFS-OpenPortMapper-Portmap-UDP-In] => (Allow) LPort=111
FirewallRules: [Microsoft-Windows-NFS-OpenPortMapper-Portmap-TCP-In] => (Allow) LPort=111
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vasia15
      вирус похож на шифровальщик
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • norma.ekb
      Шифровальщик-вымогатель .FONL
      Автор norma.ekb
      Добрый день.
      Открыли архив, полученный по почте и после этого все файлы на ПК  изменились на тип FONL. Прошу помочь с расшифровкой.
      Файл шифровальщик сохранен (из полученного архива). 
      Файлы для примера и сообщение вымогателей .rar FRST.rar
    • Andrew Vi Ch
      Шифровальщик Trojan.Encoder.31074
      Автор Andrew Vi Ch
      Добрый день.
      Поймали указанный шифровальщик, в системных логах были ошибки службы ngrok, перехватили AD, остановили KES, зашифрованы все виртуальные машины (Hyper-V), базы данных... в общем - 99% инфраструктуры. Вычищены теневые копии.
      Приложены архивы: 
      encrypted.zip - 2 зашифрованных файла + текстовик с единственной строкой "message us for decrypt" (расширение зашифрованных файлов .X1g2d2vbb)
      frst.zip - логи FRST
      lock.zip - запароленный в соответствии с инструкцией архив с исполняемым файлом шифровальщика.
      Прошу оказать содействие в расшифровке.
      Спасибо.
    • KOMK
      Шифровальщик zimmer1488
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
    • dampe
      поймал шифровальщик ooo4ps
      Автор dampe
      Добрый день! прошу помощи, может кто то уже смог решить эту проблему. На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск. Прикладываю лог Elcomsoft Encrypted Disk Hunter и пример зашифрованного файла
      EEDH - 02.03.2025 13-20-38.log ВМТ.pdf.rar
×
×
  • Создать...