Перейти к содержанию

Поймали RUYK

Дмитрий БСМП
 Share

Рекомендуемые сообщения

Дмитрий БСМП Новичок

Дмитрий БСМП

Опубликовано
Опубликовано

В новогоднюю ночь поураганил шифровщик, прошёлся по файловым шарам, начиная с шар на СХД. Очень хотелось бы оценить возможность расшифровки у специалистов,

Шифрованное.rar Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Логи с него? систему уже проверяли сканерами? можете предоставить логи сканирования? файл шифровальщика может быть ryuk.exe или ryuk64,exe. Что касается расшифровки - то версия FONIX/RYUK  после 03.06.2023 не может быть расшифрована без приватного ключа.

+

проверьте ЛС

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Дмитрий БСМП Новичок

Дмитрий БСМП

Опубликовано
  • Автор
Опубликовано

Логи с определённого нулевого пациента. Также там был обнаружен mimikatz. Файла шифровальщика нет, дежурные удалили его из хранилища.

Шифрованное нулевой пациент.rar Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Да, это инструменты злоумышленников.

Quote

2023-12-31 21:27 - 2023-12-31 21:27 - 000000000 ____D C:\Users\Администратор\Desktop\mimikatz
2023-12-31 21:26 - 2023-09-28 13:36 - 001201853 _____ C:\Users\Администратор\Desktop\mimikatz.zip
2023-12-31 21:15 - 2023-12-31 21:38 - 000015908 _____ C:\Users\Администратор\advanced_port_scanner_MAC.bin
2023-12-31 21:15 - 2023-12-31 21:38 - 000000015 _____ C:\Users\Администратор\advanced_port_scanner_Comments.bin
2023-12-31 21:15 - 2023-12-31 21:38 - 000000015 _____ C:\Users\Администратор\advanced_port_scanner_Aliases.bin
2023-12-31 20:52 - 2023-12-31 20:52 - 020386224 _____ (Famatech Corp. ) C:\Users\Администратор\Downloads\Advanced_Port_Scanner_2.5.3869.exe
2023-12-31 20:52 - 2023-12-31 20:52 - 000000973 _____ C:\Users\Public\Desktop\Advanced Port Scanner.lnk
2023-12-31 20:52 - 2023-12-31 20:52 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced Port Scanner v2
2023-12-31 20:52 - 2023-12-31 20:52 - 000000000 ____D C:\Program Files (x86)\Advanced Port Scanner
2023-12-31 20:50 - 2023-12-31 20:50 - 021050672 _____ (Famatech Corp. ) C:\Users\Администратор\Downloads\Advanced_IP_Scanner_2.5.4594.1.exe
2023-12-31 20:50 - 2023-12-31 20:50 - 000000953 _____ C:\Users\Public\Desktop\Advanced IP Scanner.lnk
2023-12-31 20:50 - 2023-12-31 20:50 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced IP Scanner v2
2023-12-31 20:50 - 2023-12-31 20:50 - 000000000 ____D C:\Program Files (x86)\Advanced IP Scanner

2023-12-13 21:01 - 2023-12-13 21:01 - 000000000 ____D C:\Users\klim\AppData\Roaming\Process Hacker 2
2023-12-13 21:00 - 2023-12-13 21:00 - 000001936 _____ C:\Users\klim\Desktop\Process Hacker 2.lnk
2023-12-13 21:00 - 2023-12-13 21:00 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2023-12-13 21:00 - 2023-12-13 21:00 - 000000000 ____D C:\Program Files\Process Hacker 2
2023-12-13 20:59 - 2023-12-13 20:59 - 002267848 _____ (wj32 ) C:\Users\klim\Downloads\processhacker-2.39-setup.exe

 

судя по файлу hrmlog1 шифрование было выполнено модифицированной версией, без возможности расшифровки без приватного ключа.

+

проверьте, что в этом каталоге:

2023-12-13 20:47 - 2023-12-13 21:08 - 000000000 ____D C:\Users\klim\Downloads\Files__P@sswrds__2024

+

проверьте ЛС.

 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Temikst
      Поймал какой-то вирус
      От Temikst
      Приветствую. Сын скачивал какую-то программу для игры, как итог словили какой-то вирус. Dr.web ничего не нашел. но обратил внимание что комп стал тупить, до этого не было так
      CollectionLog-2025.02.09-23.46.zip

       
      Даже браузер сильно тормозит. после открывание диспетчер задач сразу же лучше работает\
    • alexlex
      Поймали шифравальщик
      От alexlex
      Добрый день
      На сервере утром зашифровались все данные
       

      Addition.txt FRST.txt 1c Cash.bat.[ID-774BEC7E].[Telegram ID @Hitler_77777].zip
    • Мелькор
      Поймал майнера
      От Мелькор
      А вы можете и мне помочь пожалуйста? А то ноуту тяжело, а мне печально от этого((
      Desktop.rar
       
      Сообщение от модератора thyrex Перенесено из темы
    • IrinaC
      Поймали шифровальщика
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • Lexarr
      Поймал tool.BtcMine.2754
      От Lexarr
      Недавно обнаружил лаги на компе , решил скачать антивирус , провериться , так у меня все сайты с антивирусами сразу закрывались , диспетчер задач тоже закрывался , если заходить в системные папки «проводник» тоже закрывался , загрузил с флешки CureIt , он нашел майнер , удалил его , после перезагрузки майнер вернулся обратно 

      CollectionLog-2024.12.16-17.06.zip
×
×
  • Создать...