ruyk Шифровальщик Ruyk

28 сентября, 2023

Поймали шифровальщика на сервере 1С - SQL. Зашифрованы все базы 1С и все оперативные BackUp.

Addition.txtПолучение информации... FRST.txtПолучение информации... Ryuk64.rarПолучение информации...

28 сентября, 2023

Ещё прилагаю файлыRuyk.FOR.KSP.rar

Ruyk.FOR.KSP-2.rarПолучение информации...

28 сентября, 2023

Здравствуйте!

Судя по тому, что вы уже перепробовали всевозможные дешифраторы, вы уже поняли, что расшифровки этой версии вымогателя нет.

Сообщите, пожалуйста, пароль на архив из первого сообщения.

Систему будете переустанавливать или дать скрипт? Вымогатель пока активен и есть дыры.

28 сентября, 2023

Сообщила в ЛС

Дайте скрипт

Касперским пролечили, файл вируса заархивирован до лечения. Если надо можем попробовать поискать файлы не зашифрованные и зашифрованные изначально эдентичные…

Взлом был по рдп из Польши на пользовательский комп потом внутри сети по рдп на сервер. Лезли вручную

😉 попробовали те что нашли, Надежда была 😉

28 сентября, 2023

В 28.09.2023 в 13:15, Татьяна Калякина сказал:

Если надо можем попробовать поискать файлы не зашифрованные и зашифрованные изначально эдентичные

Показать

Нет, в данном случае такая пара файлов ничем не поможет, увы.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-4177692695-2294423618-3072936964-500\...\MountPoints2: {0bf42700-ac08-11e5-80b6-9c8e9958bd92} - "I:\SETUP.EXE" 
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.html [2023-09-20] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.txt [2023-09-20] () [Файл не подписан]
Task: {8B72A74D-1A8C-4146-99A3-D607C3B949C7} - System32\Tasks\Microsoft\Windows\Software Inventory Logging\Collection => C:\Windows\system32\cmd.exe [357376 2014-11-21] (Microsoft Windows -> Microsoft Corporation) -> /d /c %systemroot%\system32\silcollector.cmd publish <==== ВНИМАНИЕ
Task: {ACF72820-0EE2-4F37-941F-F1E4AEE8EB78} - System32\Tasks\Microsoft\Windows\Software Inventory Logging\Configuration => C:\Windows\system32\cmd.exe [357376 2014-11-21] (Microsoft Windows -> Microsoft Corporation) -> /d /c %systemroot%\system32\silcollector.cmd configure <==== ВНИМАНИЕ
2023-09-20 22:46 - 2023-09-20 22:44 - 000008448 _____ C:\Windows\hrmlog1
2023-09-20 22:46 - 2023-09-20 22:44 - 000008448 _____ C:\Users\Администратор\hrmlog1
2023-09-20 22:46 - 2023-09-20 22:44 - 000008448 _____ C:\Users\Public\hrmlog1
2023-09-20 22:46 - 2023-09-20 22:44 - 000008448 _____ C:\Users\hrmlog1
2023-09-20 22:46 - 2023-09-20 22:44 - 000008448 _____ C:\Users\Default\hrmlog1
2023-09-20 22:46 - 2023-09-20 22:44 - 000001106 _____ C:\Windows\RyukReadMe.txt
2023-09-20 22:46 - 2023-09-20 22:44 - 000001106 _____ C:\Users\Администратор\RyukReadMe.txt
2023-09-20 22:46 - 2023-09-20 22:44 - 000001106 _____ C:\Users\RyukReadMe.txt
2023-09-20 22:46 - 2023-09-20 22:44 - 000001106 _____ C:\Users\Public\RyukReadMe.txt
2023-09-20 22:46 - 2023-09-20 22:44 - 000001106 _____ C:\Users\Default\RyukReadMe.txt
2023-09-20 22:46 - 2023-09-20 22:44 - 000000155 _____ C:\Windows\RyukReadMe.html
2023-09-20 22:46 - 2023-09-20 22:44 - 000000155 _____ C:\Users\Администратор\RyukReadMe.html
2023-09-20 22:46 - 2023-09-20 22:44 - 000000155 _____ C:\Users\RyukReadMe.html
2023-09-20 22:46 - 2023-09-20 22:44 - 000000155 _____ C:\Users\Public\RyukReadMe.html
2023-09-20 22:46 - 2023-09-20 22:44 - 000000155 _____ C:\Users\Default\RyukReadMe.html
2023-09-20 22:45 - 2023-09-20 22:44 - 000008448 _____ C:\Program Files\hrmlog1
2023-09-20 22:45 - 2023-09-20 22:44 - 000008448 _____ C:\Program Files (x86)\hrmlog1
2023-09-20 22:45 - 2023-09-20 22:44 - 000008448 _____ C:\hrmlog1
2023-09-20 22:45 - 2023-09-20 22:44 - 000001106 _____ C:\RyukReadMe.txt
2023-09-20 22:45 - 2023-09-20 22:44 - 000001106 _____ C:\Program Files\RyukReadMe.txt
2023-09-20 22:45 - 2023-09-20 22:44 - 000001106 _____ C:\Program Files (x86)\RyukReadMe.txt
2023-09-20 22:45 - 2023-09-20 22:44 - 000000155 _____ C:\RyukReadMe.html
2023-09-20 22:45 - 2023-09-20 22:44 - 000000155 _____ C:\Program Files\RyukReadMe.html
2023-09-20 22:45 - 2023-09-20 22:44 - 000000155 _____ C:\Program Files (x86)\RyukReadMe.html
2023-09-20 22:44 - 2023-09-20 22:44 - 000008448 _____ C:\Users\Администратор\Desktop\hrmlog1
2023-09-20 22:44 - 2023-09-20 22:44 - 000008448 _____ C:\ProgramData\hrmlog1
2023-09-20 22:44 - 2023-09-20 22:44 - 000001106 _____ C:\Users\Администратор\Desktop\RyukReadMe.txt
2023-09-20 22:44 - 2023-09-20 22:44 - 000001106 _____ C:\ProgramData\RyukReadMe.txt
2023-09-20 22:44 - 2023-09-20 22:44 - 000000292 _____ C:\Users\Администратор\Desktop\hrmlog2
2023-09-20 22:44 - 2023-09-20 22:44 - 000000292 _____ C:\ProgramData\hrmlog2
2023-09-20 22:44 - 2023-09-20 22:44 - 000000155 _____ C:\ProgramData\RyukReadMe.html
2023-09-20 22:44 - 2023-09-20 22:44 - 000000048 _____ C:\ProgramData\nons
2023-09-20 22:44 - 2023-09-20 22:44 - 000000008 _____ C:\Users\Администратор\Desktop\RYUKID
2023-09-20 22:44 - 2023-09-20 22:44 - 000000008 _____ C:\ProgramData\RYUKID
2023-09-20 22:44 - 2023-06-03 00:29 - 000910848 ___SH C:\ProgramData\ryuk.exe
FirewallRules: [{34A2E4EF-BD0E-4BF2-ABD3-DE4BBA6E7D50}] => (Allow) LPort=1234
FirewallRules: [{568A1775-0597-489F-91F0-32A80A9A9C19}] => (Allow) LPort=1234
FirewallRules: [{476A2D50-4AEF-4659-A7CE-6EB56F442D7C}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{A9AF1F37-7F96-4B2A-B77C-3A5B1571C4AE}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{7343D06D-6B67-449C-8AB8-CC9DB7831558}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
FirewallRules: [{3C5D8F66-89E8-4D89-BE07-2A3B75B5000F}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
FirewallRules: [{F179E1D6-BF39-4523-9BDB-46E90D614F71}] => (Allow) LPort=475
FirewallRules: [{83AEEF29-EDAC-4EB4-A984-D9033747F342}] => (Allow) LPort=475
FirewallRules: [Microsoft-Windows-NFS-ServerCore-NfsSvc-NFS-UDP-In] => (Allow) LPort=2049
FirewallRules: [Microsoft-Windows-NFS-ServerCore-NfsSvc-NFS-TCP-In] => (Allow) LPort=2049
FirewallRules: [Microsoft-Windows-NFS-OpenPortMapper-Portmap-UDP-In] => (Allow) LPort=111
FirewallRules: [Microsoft-Windows-NFS-OpenPortMapper-Portmap-TCP-In] => (Allow) LPort=111
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

29 сентября, 2023

Копировать копируем, а куда вставлять?

29 сентября, 2023

Никуда вставлять не нужно, скрипт будет выполнен из буфера обмена.

ruyk Шифровальщик Ruyk

Рекомендуемые сообщения

Татьяна Калякина

Ссылка на комментарий

Поделиться на другие сайты

Татьяна Калякина

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Татьяна Калякина

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Татьяна Калякина

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum