fonix/ryk Зашифрованные файлы с расширением .RYK / RYKCRYPT

[f1ma 0]

Добрый день!

Поймали вирус-шифровальщик на сервер. Практически все файлы имеют расширение .RYK или RYKCRYPT.

Существует ли дешифратор на наш вариант вируса? Или возможно посоветуйте какие-либо действия для расшифровки файлов.

Прикрепляю логи анализа, зашифрованные документы и требования. Файл шифровальщика пока не нашел. 

FRST.txt Файлы_требования.zip

[safety 101]

Файлы шифровальщика  здесь:

Quote

 

Startup: C:\Users\Acronis Agent User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ryuk.exe [2023-11-18] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ryuk.exe [2023-11-18] ()

и здесь:

Task: {4CB17E77-1457-40F5-91A8-4CBE654AD42E} - System32\Tasks\ryk => C:\ProgramData\ryuk.exe [910848 2023-11-18] () <==== ATTENTION
Task: {EE583B21-2FA1-47D8-90E8-123AD497BC46} - System32\Tasks\RYUK => C:\ProgramData\ryuk.exe [910848 2023-11-18] () <==== ATTENTION
2023-11-19 22:46 - 2023-11-18 10:32 - 000910848 ___SH C:\ProgramData\ryuk.exe

 

 

Сделайте, пожалуйста, дополнительно образ автозапуска в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, Win7, Win8, Win10 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 22 ноября, 2023 пользователем safety

[f1ma 0]

47 минут назад, safety сказал:

Сделайте, пожалуйста, дополнительно образ автозапуска в uVS.

 

 

Прикрепляю образ автозапуска.

 

SERV_2023-11-22_16-07-21_v4.14.1.7z

[safety 101]

модифицированный вариант FONIX/RYK,

https://www.virustotal.com/gui/file/ee864a8610aea416b02ae7959606775444af70f3e424315edf3463c87e66f4c3/detection

 

Выполните в uVS скрипт из буфера обмена.

Запускаем start.exe от имени Администратора (если еще не запущен)

Текущий пользователь

Копируем скрипт с данной страницы в буфер обмена. Закрываем браузер.

В главном меню программы выбираем "Скрипт" - "выполнить скрипт из буфера обмена".

Скрипт автоматически выполнит очистку системы, и создаст файл ZOO_дата_время.7z

без перезагрузки системы.

Этот файл (ZOO_дата_время.7z) загрузите на облачный диск, и дайте ссылку на него в ЛС.

Текст скрипта ниже.
 

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.2
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\USERS\ACRONIS AGENT USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RYUK.EXE
addsgn BA6F9BB2BD0144720B9C2D754C2160FBDA75303AC179F350C8488484185DBB05A8C62B5A3E559DF12A80849F0E958DD2BE1324BE1589F5A7353F2FF58685C18B 15 FONIX/RYUK 7

zoo %SystemDrive%\PROGRAMDATA\RYUK.EXE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RYUK.EXE
zoo %SystemDrive%\USERS\ACRONIS AGENT USER\DESKTOP\RYUK64.EXE
chklst
delvir

apply

regt 1
deltmp
czoo
QUIT

 

Изменено 22 ноября, 2023 пользователем safety

[safety 101]

Это модифицированный FONIX/RYK. К сожалению, по новому варианту расшифровка невозможна без приватного ключа.

https://www.virustotal.com/gui/file/ee864a8610aea416b02ae7959606775444af70f3e424315edf3463c87e66f4c3/details

 

Важные зашифрованные файлы сохраните на отдельный носитель +hrmlog1, возможно в будущем расшифровка станет возможной.

 

Если необходима очистка системы от оставшихся записок о выкупе, сделайте новые логи FRST из нормального режима.

 

Изменено 22 ноября, 2023 пользователем safety

[f1ma 0]

1 час назад, safety сказал:

Это модифицированный FONIX/RYK. К сожалению, по новому варианту расшифровка невозможна без приватного ключа.

https://www.virustotal.com/gui/file/ee864a8610aea416b02ae7959606775444af70f3e424315edf3463c87e66f4c3/details

 

Важные зашифрованные файлы сохраните на отдельный носитель +hrmlog1, возможно в будущем расшифровка станет возможной.

 

Если необходима очистка системы от оставшихся записок о выкупе, сделайте новые логи FRST из нормального режима.

 

Необходима

Addition.txt FRST1.txt

[safety 101]

Можно через поиск найти все эти файлы:

Quote

hrmlog1, hrmlog2, RyukReadMe.html, RyukReadMe.txt, nons, RYUKID (их много будет),

один комплект этих файлов сохраните вместе с важными зашифрованными файлами на отдельный носитель.

остальные из этих файлов удалите.

+

далее,

Выполняем скрипт в FRST.

Копируем скрипт в буфер обмена, запускаем FRST от имени Администратора, ждем, когда FRST будет готов к работе,

Нажимаем - Исправить.

Скрипт автоматически выполнится, и перегрузит систему.

Тело скрипта ниже:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.html [2023-11-19] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.txt [2023-11-19] ()
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
2023-11-20 16:41 - 2023-11-19 22:46 - 000001106 _____ C:\Users\Администратор\Desktop\RyukReadMe.txt
2023-11-20 11:43 - 2023-11-19 22:46 - 000008448 _____ C:\Users\TEMP\hrmlog1
2023-11-20 11:43 - 2023-11-19 22:46 - 000008448 _____ C:\Users\TEMP\Desktop\hrmlog1
2023-11-20 11:43 - 2023-11-19 22:46 - 000001106 _____ C:\Users\TEMP\RyukReadMe.txt
2023-11-20 11:43 - 2023-11-19 22:46 - 000001106 _____ C:\Users\TEMP\Desktop\RyukReadMe.txt
2023-11-20 11:43 - 2023-11-19 22:46 - 000000155 _____ C:\Users\TEMP\RyukReadMe.html
2023-11-19 22:30 - 2023-11-19 23:53 - 001196734 _____ C:\Users\kassa\Downloads\mimikatz-master.zip.[Datablack0068@gmail.com].[0AF7E76D].RYKCRYPT
2023-11-19 22:30 - 2023-11-19 23:53 - 000000000 ____D C:\Users\kassa\Desktop\mimikatz-master
2023-11-19 22:29 - 2023-11-19 23:53 - 000002036 _____ C:\Users\kassa\advanced_ip_scanner_MAC.bin.[Datablack0068@gmail.com].[0AF7E76D].RYK
2023-11-19 22:29 - 2023-11-19 23:53 - 000000721 _____ C:\Users\kassa\advanced_ip_scanner_Comments.bin.[Datablack0068@gmail.com].[0AF7E76D].RYK
2023-11-19 22:29 - 2023-11-19 23:53 - 000000721 _____ C:\Users\kassa\advanced_ip_scanner_Aliases.bin.[Datablack0068@gmail.com].[0AF7E76D].RYK
2023-11-19 22:27 - 2023-11-19 23:39 - 000000000 ____D C:\Program Files (x86)\Advanced IP Scanner
2023-11-19 22:27 - 2023-11-19 22:27 - 000000941 _____ C:\Users\Public\Desktop\Advanced IP Scanner.lnk
2023-11-19 22:27 - 2023-11-19 22:27 - 000000941 _____ C:\ProgramData\Desktop\Advanced IP Scanner.lnk
2023-11-19 22:27 - 2023-11-19 22:27 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced IP Scanner v2
2023-11-19 23:33 - 2023-11-19 22:46 - 000008448 _____ () C:\Program Files\hrmlog1
2023-11-19 23:33 - 2023-11-19 22:46 - 000000155 _____ () C:\Program Files\RyukReadMe.html
2023-11-19 23:33 - 2023-11-19 22:46 - 000001106 _____ () C:\Program Files\RyukReadMe.txt
2023-11-19 23:38 - 2023-11-19 22:46 - 000008448 _____ () C:\Program Files (x86)\hrmlog1
2023-11-19 23:38 - 2023-11-19 22:46 - 000000155 _____ () C:\Program Files (x86)\RyukReadMe.html
2023-11-19 23:38 - 2023-11-19 22:46 - 000001106 _____ () C:\Program Files (x86)\RyukReadMe.txt
EmptyTemp:
Reboot:
End::

 

После перезагрузки системы найдите в папке откуда запускали FRST файл Fixlog.txt

Добавьте его в ваше сообщение здесь.

 

 

 

 

Изменено 23 ноября, 2023 пользователем safety