Перейти к содержанию

Зашифрованные файлы с расширением .RYK / RYKCRYPT


Рекомендуемые сообщения

Добрый день!

Поймали вирус-шифровальщик на сервер. Практически все файлы имеют расширение .RYK или RYKCRYPT.

Существует ли дешифратор на наш вариант вируса? Или возможно посоветуйте какие-либо действия для расшифровки файлов.

Прикрепляю логи анализа, зашифрованные документы и требования. Файл шифровальщика пока не нашел. 

FRST.txt Файлы_требования.zip

Ссылка на комментарий
Поделиться на другие сайты

Файлы шифровальщика  здесь:

Quote

 

Startup: C:\Users\Acronis Agent User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ryuk.exe [2023-11-18] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ryuk.exe [2023-11-18] ()

и здесь:

Task: {4CB17E77-1457-40F5-91A8-4CBE654AD42E} - System32\Tasks\ryk => C:\ProgramData\ryuk.exe [910848 2023-11-18] () <==== ATTENTION
Task: {EE583B21-2FA1-47D8-90E8-123AD497BC46} - System32\Tasks\RYUK => C:\ProgramData\ryuk.exe [910848 2023-11-18] () <==== ATTENTION
2023-11-19 22:46 - 2023-11-18 10:32 - 000910848 ___SH C:\ProgramData\ryuk.exe

 

 

Сделайте, пожалуйста, дополнительно образ автозапуска в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, Win7, Win8, Win10 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

47 минут назад, safety сказал:

Сделайте, пожалуйста, дополнительно образ автозапуска в uVS.

 

 

Прикрепляю образ автозапуска.

 

SERV_2023-11-22_16-07-21_v4.14.1.7z

Ссылка на комментарий
Поделиться на другие сайты

модифицированный вариант FONIX/RYK,

https://www.virustotal.com/gui/file/ee864a8610aea416b02ae7959606775444af70f3e424315edf3463c87e66f4c3/detection

 

Выполните в uVS скрипт из буфера обмена.

Запускаем start.exe от имени Администратора (если еще не запущен)

Текущий пользователь

Копируем скрипт с данной страницы в буфер обмена. Закрываем браузер.

В главном меню программы выбираем "Скрипт" - "выполнить скрипт из буфера обмена".

Скрипт автоматически выполнит очистку системы, и создаст файл ZOO_дата_время.7z

без перезагрузки системы.

Этот файл (ZOO_дата_время.7z) загрузите на облачный диск, и дайте ссылку на него в ЛС.

Текст скрипта ниже.
 

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.2
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\USERS\ACRONIS AGENT USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RYUK.EXE
addsgn BA6F9BB2BD0144720B9C2D754C2160FBDA75303AC179F350C8488484185DBB05A8C62B5A3E559DF12A80849F0E958DD2BE1324BE1589F5A7353F2FF58685C18B 15 FONIX/RYUK 7

zoo %SystemDrive%\PROGRAMDATA\RYUK.EXE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RYUK.EXE
zoo %SystemDrive%\USERS\ACRONIS AGENT USER\DESKTOP\RYUK64.EXE
chklst
delvir

apply

regt 1
deltmp
czoo
QUIT

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Это модифицированный FONIX/RYK. К сожалению, по новому варианту расшифровка невозможна без приватного ключа.

https://www.virustotal.com/gui/file/ee864a8610aea416b02ae7959606775444af70f3e424315edf3463c87e66f4c3/details

 

Важные зашифрованные файлы сохраните на отдельный носитель +hrmlog1, возможно в будущем расшифровка станет возможной.

 

Если необходима очистка системы от оставшихся записок о выкупе, сделайте новые логи FRST из нормального режима.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

1 час назад, safety сказал:

Это модифицированный FONIX/RYK. К сожалению, по новому варианту расшифровка невозможна без приватного ключа.

https://www.virustotal.com/gui/file/ee864a8610aea416b02ae7959606775444af70f3e424315edf3463c87e66f4c3/details

 

Важные зашифрованные файлы сохраните на отдельный носитель +hrmlog1, возможно в будущем расшифровка станет возможной.

 

Если необходима очистка системы от оставшихся записок о выкупе, сделайте новые логи FRST из нормального режима.

 

Необходима

Addition.txt FRST1.txt

Ссылка на комментарий
Поделиться на другие сайты

Можно через поиск найти все эти файлы:

Quote

hrmlog1, hrmlog2, RyukReadMe.html, RyukReadMe.txt, nons, RYUKID (их много будет),

один комплект этих файлов сохраните вместе с важными зашифрованными файлами на отдельный носитель.

остальные из этих файлов удалите.

+

далее,

Выполняем скрипт в FRST.

Копируем скрипт в буфер обмена, запускаем FRST от имени Администратора, ждем, когда FRST будет готов к работе,

Нажимаем - Исправить.

Скрипт автоматически выполнится, и перегрузит систему.

Тело скрипта ниже:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.html [2023-11-19] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.txt [2023-11-19] ()
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
2023-11-20 16:41 - 2023-11-19 22:46 - 000001106 _____ C:\Users\Администратор\Desktop\RyukReadMe.txt
2023-11-20 11:43 - 2023-11-19 22:46 - 000008448 _____ C:\Users\TEMP\hrmlog1
2023-11-20 11:43 - 2023-11-19 22:46 - 000008448 _____ C:\Users\TEMP\Desktop\hrmlog1
2023-11-20 11:43 - 2023-11-19 22:46 - 000001106 _____ C:\Users\TEMP\RyukReadMe.txt
2023-11-20 11:43 - 2023-11-19 22:46 - 000001106 _____ C:\Users\TEMP\Desktop\RyukReadMe.txt
2023-11-20 11:43 - 2023-11-19 22:46 - 000000155 _____ C:\Users\TEMP\RyukReadMe.html
2023-11-19 22:30 - 2023-11-19 23:53 - 001196734 _____ C:\Users\kassa\Downloads\mimikatz-master.zip.[Datablack0068@gmail.com].[0AF7E76D].RYKCRYPT
2023-11-19 22:30 - 2023-11-19 23:53 - 000000000 ____D C:\Users\kassa\Desktop\mimikatz-master
2023-11-19 22:29 - 2023-11-19 23:53 - 000002036 _____ C:\Users\kassa\advanced_ip_scanner_MAC.bin.[Datablack0068@gmail.com].[0AF7E76D].RYK
2023-11-19 22:29 - 2023-11-19 23:53 - 000000721 _____ C:\Users\kassa\advanced_ip_scanner_Comments.bin.[Datablack0068@gmail.com].[0AF7E76D].RYK
2023-11-19 22:29 - 2023-11-19 23:53 - 000000721 _____ C:\Users\kassa\advanced_ip_scanner_Aliases.bin.[Datablack0068@gmail.com].[0AF7E76D].RYK
2023-11-19 22:27 - 2023-11-19 23:39 - 000000000 ____D C:\Program Files (x86)\Advanced IP Scanner
2023-11-19 22:27 - 2023-11-19 22:27 - 000000941 _____ C:\Users\Public\Desktop\Advanced IP Scanner.lnk
2023-11-19 22:27 - 2023-11-19 22:27 - 000000941 _____ C:\ProgramData\Desktop\Advanced IP Scanner.lnk
2023-11-19 22:27 - 2023-11-19 22:27 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced IP Scanner v2
2023-11-19 23:33 - 2023-11-19 22:46 - 000008448 _____ () C:\Program Files\hrmlog1
2023-11-19 23:33 - 2023-11-19 22:46 - 000000155 _____ () C:\Program Files\RyukReadMe.html
2023-11-19 23:33 - 2023-11-19 22:46 - 000001106 _____ () C:\Program Files\RyukReadMe.txt
2023-11-19 23:38 - 2023-11-19 22:46 - 000008448 _____ () C:\Program Files (x86)\hrmlog1
2023-11-19 23:38 - 2023-11-19 22:46 - 000000155 _____ () C:\Program Files (x86)\RyukReadMe.html
2023-11-19 23:38 - 2023-11-19 22:46 - 000001106 _____ () C:\Program Files (x86)\RyukReadMe.txt
EmptyTemp:
Reboot:
End::

 

После перезагрузки системы найдите в папке откуда запускали FRST файл Fixlog.txt

Добавьте его в ваше сообщение здесь.

 

 

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • jserov96
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • Garand
      От Garand
      Windows Server 2012 R2
      Спокойно работали 29.11.2024  и в 09:40 перестали быть доступны сетевые файлы и появилась ошибка 1С.
      в текстовом файле указана почта для восстановления:
      Write to email: a38261062@gmail.com
       
      Во вложении текстовый файл и несколько зашифрованных файлов
      FILES_ENCRYPTED.rar Desktop.rar
    • 4ikotillo
      От 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
    • ovfilinov
      От ovfilinov
      Группа серверов на основе Виндовс сервер 2008 2016 в локальной сети в домене виндовс.
      на виртуальных машинах на разных гипервизорх: Vmware Hyper-V
      На них установлен kaspersky Securiti for windows server версия вероятно 10.1
      неожиданно перестали работать
      при загрузке с лайф сд обнаружены что файлы зашифрованы и выглядят:
      имя файла.расширение.6a19a55854eee3 например:
      IT Invent_export_14-09-2022.xls.6a19a55854eee3
      а также в каждый каталог добавлен файл с вымогательством
      6a19a55854eee3-README.txt
      при обнаружении все компьютеры были выключены.
       
      files.zip FRST.txt
    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
×
×
  • Создать...