fonix/ryk Поймали RUYK

[Дмитрий БСМП]

В новогоднюю ночь поураганил шифровщик, прошёлся по файловым шарам, начиная с шар на СХД. Очень хотелось бы оценить возможность расшифровки у специалистов,

Шифрованное.rar Addition.txt FRST.txt

[safety]

ПК - источник шифрования нашли, откуда был запущен процесс шифрования?

Изменено 4 января, 2024 пользователем safety

[Дмитрий БСМП]

Всё пока что упирается в СХД, по времени пока что первые зашифрованные файлы появились там.

[safety]

Логи с него? систему уже проверяли сканерами? можете предоставить логи сканирования? файл шифровальщика может быть ryuk.exe или ryuk64,exe. Что касается расшифровки - то версия FONIX/RYUK  после 03.06.2023 не может быть расшифрована без приватного ключа.

+

проверьте ЛС

Изменено 4 января, 2024 пользователем safety

[Дмитрий БСМП]

Логи с определённого нулевого пациента. Также там был обнаружен mimikatz. Файла шифровальщика нет, дежурные удалили его из хранилища.

Шифрованное нулевой пациент.rar Addition.txt FRST.txt

[safety]

Да, это инструменты злоумышленников.

Quote

2023-12-31 21:27 - 2023-12-31 21:27 - 000000000 ____D C:\Users\Администратор\Desktop\mimikatz
2023-12-31 21:26 - 2023-09-28 13:36 - 001201853 _____ C:\Users\Администратор\Desktop\mimikatz.zip
2023-12-31 21:15 - 2023-12-31 21:38 - 000015908 _____ C:\Users\Администратор\advanced_port_scanner_MAC.bin
2023-12-31 21:15 - 2023-12-31 21:38 - 000000015 _____ C:\Users\Администратор\advanced_port_scanner_Comments.bin
2023-12-31 21:15 - 2023-12-31 21:38 - 000000015 _____ C:\Users\Администратор\advanced_port_scanner_Aliases.bin
2023-12-31 20:52 - 2023-12-31 20:52 - 020386224 _____ (Famatech Corp. ) C:\Users\Администратор\Downloads\Advanced_Port_Scanner_2.5.3869.exe
2023-12-31 20:52 - 2023-12-31 20:52 - 000000973 _____ C:\Users\Public\Desktop\Advanced Port Scanner.lnk
2023-12-31 20:52 - 2023-12-31 20:52 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced Port Scanner v2
2023-12-31 20:52 - 2023-12-31 20:52 - 000000000 ____D C:\Program Files (x86)\Advanced Port Scanner
2023-12-31 20:50 - 2023-12-31 20:50 - 021050672 _____ (Famatech Corp. ) C:\Users\Администратор\Downloads\Advanced_IP_Scanner_2.5.4594.1.exe
2023-12-31 20:50 - 2023-12-31 20:50 - 000000953 _____ C:\Users\Public\Desktop\Advanced IP Scanner.lnk
2023-12-31 20:50 - 2023-12-31 20:50 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced IP Scanner v2
2023-12-31 20:50 - 2023-12-31 20:50 - 000000000 ____D C:\Program Files (x86)\Advanced IP Scanner

2023-12-13 21:01 - 2023-12-13 21:01 - 000000000 ____D C:\Users\klim\AppData\Roaming\Process Hacker 2
2023-12-13 21:00 - 2023-12-13 21:00 - 000001936 _____ C:\Users\klim\Desktop\Process Hacker 2.lnk
2023-12-13 21:00 - 2023-12-13 21:00 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2023-12-13 21:00 - 2023-12-13 21:00 - 000000000 ____D C:\Program Files\Process Hacker 2
2023-12-13 20:59 - 2023-12-13 20:59 - 002267848 _____ (wj32 ) C:\Users\klim\Downloads\processhacker-2.39-setup.exe

 

судя по файлу hrmlog1 шифрование было выполнено модифицированной версией, без возможности расшифровки без приватного ключа.

+

проверьте, что в этом каталоге:

2023-12-13 20:47 - 2023-12-13 21:08 - 000000000 ____D C:\Users\klim\Downloads\Files__P@sswrds__2024

+

проверьте ЛС.

 

 

[Дмитрий БСМП]

2023-12-13 20:47 - 2023-12-13 21:08 - 000000000 ____D C:\Users\klim\Downloads\Files__P@sswrds__2024

 

В этом каталоге пусто(

[safety]

ок, жду дополнительные логи.