Перейти к содержанию

Поймали RUYK

Дмитрий БСМП

Автор Дмитрий БСМП
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Дмитрий БСМП

Дмитрий БСМП

Опубликовано
Опубликовано

В новогоднюю ночь поураганил шифровщик, прошёлся по файловым шарам, начиная с шар на СХД. Очень хотелось бы оценить возможность расшифровки у специалистов,

Шифрованное.rar Addition.txt FRST.txt

safety

safety

Опубликовано
Опубликовано (изменено)

ПК - источник шифрования нашли, откуда был запущен процесс шифрования?

Изменено пользователем safety
Дмитрий БСМП

Дмитрий БСМП

Опубликовано
  • Автор
Опубликовано

Всё пока что упирается в СХД, по времени пока что первые зашифрованные файлы появились там.

safety

safety

Опубликовано
Опубликовано (изменено)

Логи с него? систему уже проверяли сканерами? можете предоставить логи сканирования? файл шифровальщика может быть ryuk.exe или ryuk64,exe. Что касается расшифровки - то версия FONIX/RYUK  после 03.06.2023 не может быть расшифрована без приватного ключа.

+

проверьте ЛС

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Да, это инструменты злоумышленников.

Quote

2023-12-31 21:27 - 2023-12-31 21:27 - 000000000 ____D C:\Users\Администратор\Desktop\mimikatz
2023-12-31 21:26 - 2023-09-28 13:36 - 001201853 _____ C:\Users\Администратор\Desktop\mimikatz.zip
2023-12-31 21:15 - 2023-12-31 21:38 - 000015908 _____ C:\Users\Администратор\advanced_port_scanner_MAC.bin
2023-12-31 21:15 - 2023-12-31 21:38 - 000000015 _____ C:\Users\Администратор\advanced_port_scanner_Comments.bin
2023-12-31 21:15 - 2023-12-31 21:38 - 000000015 _____ C:\Users\Администратор\advanced_port_scanner_Aliases.bin
2023-12-31 20:52 - 2023-12-31 20:52 - 020386224 _____ (Famatech Corp. ) C:\Users\Администратор\Downloads\Advanced_Port_Scanner_2.5.3869.exe
2023-12-31 20:52 - 2023-12-31 20:52 - 000000973 _____ C:\Users\Public\Desktop\Advanced Port Scanner.lnk
2023-12-31 20:52 - 2023-12-31 20:52 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced Port Scanner v2
2023-12-31 20:52 - 2023-12-31 20:52 - 000000000 ____D C:\Program Files (x86)\Advanced Port Scanner
2023-12-31 20:50 - 2023-12-31 20:50 - 021050672 _____ (Famatech Corp. ) C:\Users\Администратор\Downloads\Advanced_IP_Scanner_2.5.4594.1.exe
2023-12-31 20:50 - 2023-12-31 20:50 - 000000953 _____ C:\Users\Public\Desktop\Advanced IP Scanner.lnk
2023-12-31 20:50 - 2023-12-31 20:50 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced IP Scanner v2
2023-12-31 20:50 - 2023-12-31 20:50 - 000000000 ____D C:\Program Files (x86)\Advanced IP Scanner

2023-12-13 21:01 - 2023-12-13 21:01 - 000000000 ____D C:\Users\klim\AppData\Roaming\Process Hacker 2
2023-12-13 21:00 - 2023-12-13 21:00 - 000001936 _____ C:\Users\klim\Desktop\Process Hacker 2.lnk
2023-12-13 21:00 - 2023-12-13 21:00 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2023-12-13 21:00 - 2023-12-13 21:00 - 000000000 ____D C:\Program Files\Process Hacker 2
2023-12-13 20:59 - 2023-12-13 20:59 - 002267848 _____ (wj32 ) C:\Users\klim\Downloads\processhacker-2.39-setup.exe

 

судя по файлу hrmlog1 шифрование было выполнено модифицированной версией, без возможности расшифровки без приватного ключа.

+

проверьте, что в этом каталоге:

2023-12-13 20:47 - 2023-12-13 21:08 - 000000000 ____D C:\Users\klim\Downloads\Files__P@sswrds__2024

+

проверьте ЛС.

 

 

Дмитрий БСМП

Дмитрий БСМП

Опубликовано
  • Автор
Опубликовано

2023-12-13 20:47 - 2023-12-13 21:08 - 000000000 ____D C:\Users\klim\Downloads\Files__P@sswrds__2024

 

В этом каталоге пусто(

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • WiziR
      Ryuk вернулся
      Автор WiziR
      Приветствую!
      Пришли с праздников и вот обнаружили сообщение при входе  систему о шифрации.

       
      Your network has been penetrated.
      All files on each host in the network have been encrypted with a strong algorithm. 
      Backups were either encrypted
      Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.
      We exclusively have decryption software for your situation. 
      More than a year ago, world experts recognized the impossibility of deciphering by any means except the original decoder. 
      No decryption software is available in the public.
      Antiviruse companies, researchers, IT specialists, and no other persons cant help you decrypt the data. 
      DO NOT RESET OR SHUTDOWN - files may be damaged.
      DO NOT DELETE readme files. 
      To confirm our honest intentions.Send 2 different random files and you will get it decrypted. 
      It can be from different computers on your network to be sure that one key decrypts everything.
      2 files we unlock for free
      To get info (decrypt your files) contact us at 
      dectokyo@onionmail.org
      or
      dectokyo@cock.li , TELEGRAM : @tokyosupp
      You will receive btc address for payment in the reply letter 
      Ryuk
      No system is safe
       
      В корне диска папка с именем !!1 в нем следующее сообщение $Risen_Note.txt
       
      RisenNote :

      Read this text file carefully.
      We have penetrated your whole network due some critical security issues.
      We have encrypted all of your files on each host in the network within strong algorithm.
      We have also Took your critical data such as docs, images, engineering data, accounting data, customers and ...
          And trust me, we exactly know what should we collect in case of NO corporation until the end of the deadline we WILL leak or sell your data,
          the only way to stop this process is successful corporation.
      We have monitored your Backup plans for a whileand they are completely out of access(encrypted)
      The only situation for recovering your files is our decryptor,
          there are many middle man services out there whom will contact us for your caseand add an amount of money on the FIXED price that we gave to them,
          so be aware of them.
      Remember, you can send Upto 3 test files for decrypting, before making payment,
          we highly recommend to get test files to prevent possible scams.
      In order to contact us you can either use following email :
      Email address : gotchadec@onionmail.org
      Or If you weren't able to contact us whitin 24 hours please Email : Yamaguchigumi@cock.li, TELEGRAM:@GotchaDec
      Leave subject as your machine id : C5TEDZHBWD
      If you didn't get any respond within 72 hours use our blog to contact us, 
      therefore we can create another way for you to contact your cryptor as soon as possible.
      TOR BLOG : https://cqqzfmdd2fwshfyic6srf3fxjjigiipqdygosk6sdifstrbtxnm5bead.onion
       
      Ниже все вложения с логами сканирования FRST.rar
      Зашифрованные файлы в архиве FRST1.rar
      Просим помощи в расшифровке содержимого наших данных.
      !!1.rar hrmlog1.rar FRST.rar FRST1.rar
    • f1ma
      Зашифрованные файлы с расширением .RYK / RYKCRYPT
      Автор f1ma
      Добрый день!
      Поймали вирус-шифровальщик на сервер. Практически все файлы имеют расширение .RYK или RYKCRYPT.
      Существует ли дешифратор на наш вариант вируса? Или возможно посоветуйте какие-либо действия для расшифровки файлов.
      Прикрепляю логи анализа, зашифрованные документы и требования. Файл шифровальщика пока не нашел. 
      FRST.txt Файлы_требования.zip
    • Татьяна Калякина
      Шифровальщик Ruyk
      Автор Татьяна Калякина
      Поймали шифровальщика на сервере 1С - SQL. Зашифрованы все базы 1С и все оперативные BackUp. 
      Addition.txt FRST.txt Ryuk64.rar
×
×
  • Создать...