Перейти к содержанию

Ryuk вернулся

WiziR
 Share

Рекомендуемые сообщения

WiziR Новичок

WiziR

Опубликовано
Опубликовано

Приветствую!
Пришли с праздников и вот обнаружили сообщение при входе  систему о шифрации.


 

Your network has been penetrated.

All files on each host in the network have been encrypted with a strong algorithm. 

Backups were either encrypted
Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.

We exclusively have decryption software for your situation. 
More than a year ago, world experts recognized the impossibility of deciphering by any means except the original decoder. 
No decryption software is available in the public.
Antiviruse companies, researchers, IT specialists, and no other persons cant help you decrypt the data. 

DO NOT RESET OR SHUTDOWN - files may be damaged.
DO NOT DELETE readme files. 

To confirm our honest intentions.Send 2 different random files and you will get it decrypted. 
It can be from different computers on your network to be sure that one key decrypts everything.
2 files we unlock for free

To get info (decrypt your files) contact us at 
dectokyo@onionmail.org
or
dectokyo@cock.li , TELEGRAM : @tokyosupp

You will receive btc address for payment in the reply letter 

Ryuk

No system is safe

 

В корне диска папка с именем !!1 в нем следующее сообщение $Risen_Note.txt

 

RisenNote :


Read this text file carefully.

We have penetrated your whole network due some critical security issues.

We have encrypted all of your files on each host in the network within strong algorithm.

We have also Took your critical data such as docs, images, engineering data, accounting data, customers and ...
    And trust me, we exactly know what should we collect in case of NO corporation until the end of the deadline we WILL leak or sell your data,
    the only way to stop this process is successful corporation.

We have monitored your Backup plans for a whileand they are completely out of access(encrypted)

The only situation for recovering your files is our decryptor,
    there are many middle man services out there whom will contact us for your caseand add an amount of money on the FIXED price that we gave to them,
    so be aware of them.

Remember, you can send Upto 3 test files for decrypting, before making payment,
    we highly recommend to get test files to prevent possible scams.

In order to contact us you can either use following email :

Email address : gotchadec@onionmail.org

Or If you weren't able to contact us whitin 24 hours please Email : Yamaguchigumi@cock.li, TELEGRAM:@GotchaDec

Leave subject as your machine id : C5TEDZHBWD

If you didn't get any respond within 72 hours use our blog to contact us, 
therefore we can create another way for you to contact your cryptor as soon as possible.
TOR BLOG : https://cqqzfmdd2fwshfyic6srf3fxjjigiipqdygosk6sdifstrbtxnm5bead.onion

 

Ниже все вложения с логами сканирования FRST.rar

Зашифрованные файлы в архиве FRST1.rar

Просим помощи в расшифровке содержимого наших данных.

!!1.rar hrmlog1.rar FRST.rar FRST1.rar

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Да, у вас здесь резвятся все кому  не лень. Surt, BlackHunt, Rizen, Fonix/RYK. Вообще не следите за системой, если файлы по 3-4 раза шифруют разными шифровальщиками? Или тестирует кто то вас изнутри?

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\...\Run: [{2C5F9FCC-F266-43F6-BFD7-838DAE269E11}] => C:\ProgramData\#BlackHunt_ReadMe.hta (Нет файла)
HKLM-x32\...\Run: [svchos1] => C:\ProgramData\Service\Surtr.exe [1176576 0] (Доступ не разрешён)  [Файл не подписан?] (Доступ не разрешён) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] WARNING WARNING WARNING.  
HKU\S-1-5-21-2592802365-3821261235-425604481-500\...\Run: [svchos2] => C:\ProgramData\Service\Surtr.exe [1176576 0] (Доступ не разрешён)  [Файл не
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ryuk.exe [0] (Доступ не разрешён)  [Файл не подписан?]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Surtr.exe [0] (Доступ не разрешён)  [Файл не подписан?]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SURTR_README.hta [2025-01-02] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SURTR_README.txt [2025-01-02] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ryuk.exe [0] (Доступ не разрешён)  [Файл не подписан?]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.html [2025-01-02] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.txt [2025-01-02] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Surtr.exe [0] (Доступ не разрешён)  [Файл не подписан?]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\SURTR_README.hta [2025-01-02] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\SURTR_README.txt [2025-01-02] () [Файл не подписан]
AlternateShell:  <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Task: {115C7BC8-4974-4731-BAE3-329603259C26} - System32\Tasks\ryk => C:\Users\Администратор\Desktop\Ryuk64.exe [910848 0] (Доступ не разрешён) [Файл не подписан?] (Доступ не разрешён) <==== ВНИМАНИЕ
Task: {1DCF8053-0068-416D-BC54-2B98C7B9E2C4} - System32\Tasks\RYUK => C:\Users\Администратор\Desktop\Ryuk64.exe [910848 0] (Доступ не разрешён) [Файл не подписан?] (Доступ не разрешён) <==== ВНИМАНИЕ
Task: {917B4AF0-212E-495F-AD2A-B2E9BBAB7A7F} - System32\Tasks\svchos1 => C:\ProgramData\Service\Surtr.exe [1176576 0] (Доступ не разрешён) [Файл не подписан?] (Доступ не разрешён) <==== ВНИМАНИЕ
Task: {87CB2BAB-0420-49D6-846D-9CB1246522C9} - System32\Tasks\svchos2 => C:\ProgramData\Service\Surtr.exe [1176576 0] (Доступ не разрешён) [Файл не подписан?] (Доступ не разрешён) <==== ВНИМАНИЕ
2025-01-03 07:17 - 2025-01-03 06:49 - 000001118 _____ C:\Windows\RyukReadMe.txt
2025-01-03 07:17 - 2025-01-03 06:49 - 000000167 _____ C:\Windows\RyukReadMe.html
2025-01-03 06:49 - 2023-10-16 21:32 - 000910848 ___SH C:\ProgramData\ryuk.exe
2025-01-03 06:49 - 2023-08-04 21:34 - 000000004 _____ C:\ProgramData\RYUKconfig.txt
2025-01-03 06:48 - 2023-10-16 21:32 - 000910848 _____ C:\Users\Администратор\Desktop\Ryuk64.exe
2025-01-03 06:48 - 2023-08-04 21:34 - 000000004 _____ C:\Users\Администратор\Desktop\RYUKconfig.txt
2025-01-02 22:05 - 2025-01-02 21:36 - 000008317 _____ C:\Users\Public\SURTR_README.hta
2025-01-02 22:05 - 2025-01-02 21:36 - 000008317 _____ C:\Users\Public\Downloads\SURTR_README.hta
2025-01-02 22:05 - 2025-01-02 21:36 - 000008317 _____ C:\Users\Default\SURTR_README.hta
2025-01-02 22:05 - 2025-01-02 21:36 - 000008317 _____ C:\Users\Default\Downloads\SURTR_README.hta
2025-01-02 22:05 - 2025-01-02 21:36 - 000008317 _____ C:\Users\Default\Documents\SURTR_README.hta
2025-01-02 22:05 - 2025-01-02 21:36 - 000008317 _____ C:\Users\Default\Desktop\SURTR_README.hta
2025-01-02 22:05 - 2025-01-02 21:36 - 000008317 _____ C:\Users\Default\AppData\SURTR_README.hta
2025-01-02 22:05 - 2025-01-02 21:36 - 000008317 _____ C:\Users\Default\AppData\Roaming\SURTR_README.hta
2025-01-02 22:05 - 2025-01-02 21:36 - 000008317 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\SURTR_README.hta
2025-01-02 22:05 - 2025-01-02 21:36 - 000008317 _____ C:\Users\Default\AppData\Local\SURTR_README.hta
2025-01-02 22:05 - 2025-01-02 21:36 - 000008317 _____ C:\Users\buh3\AppData\Roaming\Microsoft\Windows\Start Menu\SURTR_README.hta
2025-01-02 21:36 - 2025-01-03 01:25 - 000003216 _____ C:\Windows\system32\Tasks\svchos2
2025-01-02 21:36 - 2025-01-03 01:25 - 000003104 _____ C:\Windows\system32\Tasks\svchos1
2025-01-02 21:36 - 2025-01-03 07:14 - 000000000 ____D C:\ProgramData\Service
2025-01-02 15:48 - 2025-01-03 07:14 - 000000000 ____D C:\ProgramData\IObit
2025-01-02 15:48 - 2025-01-03 07:13 - 000000000 ____D C:\Program Files (x86)\IObit
2025-01-02 15:48 - 2025-01-02 15:48 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker
2025-01-02 14:49 - 2025-01-03 07:14 - 000000000 ____D C:\test
2025-01-03 06:49 - 2023-10-16 21:32 - 000910848 ___SH () C:\ProgramData\ryuk.exe
2025-01-03 06:50 - 2025-01-03 06:49 - 000008448 _____ () C:\Program Files\hrmlog1
2021-08-12 07:29 C:\Users\sys1\Desktop\mimikatz.exe
2021-08-12 07:29 C:\Users\sys1\Desktop\mimilib.dll
2021-08-12 07:29 C:\Users\sys1\Desktop\mimispool.dll
2023-10-16 21:32 C:\Users\Администратор\Desktop\Ryuk64.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

+

Добавьте новые логи FRST для контроля.

Ссылка на комментарий
Поделиться на другие сайты
WiziR Новичок

WiziR

Опубликовано
  • Автор
Опубликовано

https://disk.yandex.ru/d/NCRL0cq4Wn6K_A ссылка на архив карантин
ошибки блокировки (стоял касперский рансом)Новый текстовый документ (2).txt
Fixlog.txtFixlog.txt

касперский рансом не даёт доступ, пробовал отключать, но возможно его придётся удалить?

 

Kaspersky antiransomware tool for home - 6.6.0.243(b)

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано
1 час назад, WiziR сказал:

касперский рансом не даёт доступ, пробовал отключать, но возможно его придётся удалить?

Странное дело: шифровать разрешил, а удалить не разрешает :)

 

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

В автозапуске файлов шифровальщика нет.

Сэмпл FONIX/RYUK со старой датой компиляции, т.е. ничего нового здесь нет.

Compilation Timestamp
2023-07-24 11:53:16 UTC

Сделайте дополнительно новые логи FRST

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

судя по новому логу FRST:

 

активного шифрования уже нет. последним отработал FONIX/RYUK, чуть ранее отработал Surtr, так же в системе есть следы шифрования BlackHunt и Rizen. Откуда их столько нанесло. Трудно сказать. Возможно кто-то потренировался на вашем устройстве.

(И первое и второе и третье и четвертое мы не сможем расшифровать.)

 

по очистке:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
S3 cpuz143; \??\C:\Users\836D~1\AppData\Local\Temp\6\cpuz143\cpuz143_x64.sys [X] <==== ВНИМАНИЕ
S3 IObitUnlocker; \??\C:\Program Files (x86)\IObit\IObit Unlocker\IObitUnlocker.sys [X]
S3 AntiRansom6.2; "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Ransomware Tool for Home 6.2\kl_service.exe" srv [X]
S3 AntiRansom6.4; "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Ransomware Tool for Home 6.4\kl_service.exe" srv [X]
2025-01-03 07:17 - 2025-01-03 06:49 - 000008448 _____ C:\Windows\hrmlog1
2025-01-03 07:16 - 2025-01-03 06:49 - 000008448 _____ C:\Users\Администратор\hrmlog1
2025-01-03 07:16 - 2025-01-03 06:49 - 000008448 _____ C:\Users\sys1\hrmlog1
2025-01-03 07:16 - 2025-01-03 06:49 - 000008448 _____ C:\Users\sys1\Downloads\hrmlog1
2025-01-03 07:16 - 2025-01-03 06:49 - 000008448 _____ C:\Users\sys1\Documents\hrmlog1
2025-01-03 07:16 - 2025-01-03 06:49 - 000008448 _____ C:\Users\sys1\Desktop\hrmlog1
2025-01-03 07:16 - 2025-01-03 06:49 - 000008448 _____ C:\Users\sys1\AppData\hrmlog1
2025-01-03 07:16 - 2025-01-03 06:49 - 000008448 _____ C:\Users\Rezerv\hrmlog1
2025-01-03 07:16 - 2025-01-03 06:49 - 000008448 _____ C:\Users\Rezerv\Desktop\hrmlog1
2025-01-03 07:16 - 2025-01-03 06:49 - 000008448 _____ C:\Users\Rezerv\AppData\hrmlog1
2025-01-03 07:16 - 2025-01-03 06:49 - 000008448 _____ C:\Users\Public\hrmlog1
2025-01-03 07:16 - 2025-01-03 06:49 - 000008448 _____ C:\Users\Default\hrmlog1
2025-01-03 07:16 - 2025-01-03 06:49 - 000008448 _____ C:\Users\Cobian\hrmlog1
2025-01-03 07:16 - 2025-01-03 06:49 - 000008448 _____ C:\Users\Cobian\Desktop\hrmlog1
2025-01-03 07:16 - 2025-01-03 06:49 - 000008448 _____ C:\Users\Cobian\AppData\hrmlog1
2025-01-03 07:16 - 2025-01-03 06:49 - 000008448 _____ C:\Users\buh3\hrmlog1
2025-01-03 07:16 - 2025-01-03 06:49 - 000008448 _____ C:\Users\buh3\Downloads\hrmlog1
2025-01-03 07:16 - 2025-01-03 06:49 - 000008448 _____ C:\Users\buh3\Documents\hrmlog1
2025-01-03 07:16 - 2025-01-03 06:49 - 000008448 _____ C:\Users\buh3\Desktop\hrmlog1
2025-01-03 07:16 - 2025-01-03 06:49 - 000008448 _____ C:\Users\buh3\AppData\hrmlog1
2025-01-03 07:16 - 2025-01-03 06:49 - 000008448 _____ C:\Users\buh2\Downloads\hrmlog1
2025-01-03 07:16 - 2025-01-03 06:49 - 000008448 _____ C:\Users\buh2\Documents\hrmlog1
2025-01-03 07:16 - 2025-01-03 06:49 - 000008448 _____ C:\Users\buh2\Desktop\hrmlog1
2025-01-03 07:16 - 2025-01-03 06:49 - 000001118 _____ C:\Users\Администратор\RyukReadMe.txt
2025-01-03 07:16 - 2025-01-03 06:49 - 000001118 _____ C:\Users\sys1\RyukReadMe.txt
2025-01-03 07:16 - 2025-01-03 06:49 - 000001118 _____ C:\Users\sys1\Downloads\RyukReadMe.txt
2025-01-03 07:16 - 2025-01-03 06:49 - 000001118 _____ C:\Users\sys1\Documents\RyukReadMe.txt
2025-01-03 07:16 - 2025-01-03 06:49 - 000001118 _____ C:\Users\sys1\Desktop\RyukReadMe.txt
2025-01-03 07:16 - 2025-01-03 06:49 - 000001118 _____ C:\Users\sys1\AppData\RyukReadMe.txt
2025-01-03 07:16 - 2025-01-03 06:49 - 000001118 _____ C:\Users\Rezerv\RyukReadMe.txt
2025-01-03 07:16 - 2025-01-03 06:49 - 000001118 _____ C:\Users\Rezerv\Desktop\RyukReadMe.txt
2025-01-03 07:16 - 2025-01-03 06:49 - 000001118 _____ C:\Users\Rezerv\AppData\RyukReadMe.txt
2025-01-03 07:16 - 2025-01-03 06:49 - 000001118 _____ C:\Users\Public\RyukReadMe.txt
2025-01-03 07:16 - 2025-01-03 06:49 - 000001118 _____ C:\Users\Default\RyukReadMe.txt
2025-01-03 07:16 - 2025-01-03 06:49 - 000001118 _____ C:\Users\Cobian\RyukReadMe.txt
2025-01-03 07:16 - 2025-01-03 06:49 - 000001118 _____ C:\Users\Cobian\Desktop\RyukReadMe.txt
2025-01-03 07:16 - 2025-01-03 06:49 - 000001118 _____ C:\Users\Cobian\AppData\RyukReadMe.txt
2025-01-03 07:16 - 2025-01-03 06:49 - 000001118 _____ C:\Users\buh3\RyukReadMe.txt
2025-01-03 07:16 - 2025-01-03 06:49 - 000001118 _____ C:\Users\buh3\Downloads\RyukReadMe.txt
2025-01-03 07:16 - 2025-01-03 06:49 - 000001118 _____ C:\Users\buh3\Documents\RyukReadMe.txt
2025-01-03 07:16 - 2025-01-03 06:49 - 000001118 _____ C:\Users\buh3\Desktop\RyukReadMe.txt
2025-01-03 07:16 - 2025-01-03 06:49 - 000001118 _____ C:\Users\buh3\AppData\RyukReadMe.txt
2025-01-03 07:16 - 2025-01-03 06:49 - 000001118 _____ C:\Users\buh2\Downloads\RyukReadMe.txt
2025-01-03 07:16 - 2025-01-03 06:49 - 000001118 _____ C:\Users\buh2\Documents\RyukReadMe.txt
2025-01-03 07:16 - 2025-01-03 06:49 - 000001118 _____ C:\Users\buh2\Desktop\RyukReadMe.txt
2025-01-03 07:16 - 2025-01-03 06:49 - 000000167 _____ C:\Users\Администратор\RyukReadMe.html
2025-01-03 07:16 - 2025-01-03 06:49 - 000000167 _____ C:\Users\sys1\RyukReadMe.html
2025-01-03 07:16 - 2025-01-03 06:49 - 000000167 _____ C:\Users\sys1\Downloads\RyukReadMe.html
2025-01-03 07:16 - 2025-01-03 06:49 - 000000167 _____ C:\Users\sys1\Documents\RyukReadMe.html
2025-01-03 07:16 - 2025-01-03 06:49 - 000000167 _____ C:\Users\sys1\Desktop\RyukReadMe.html
2025-01-03 07:16 - 2025-01-03 06:49 - 000000167 _____ C:\Users\sys1\AppData\RyukReadMe.html
2025-01-03 07:16 - 2025-01-03 06:49 - 000000167 _____ C:\Users\Rezerv\RyukReadMe.html
2025-01-03 07:16 - 2025-01-03 06:49 - 000000167 _____ C:\Users\Rezerv\Desktop\RyukReadMe.html
2025-01-03 07:16 - 2025-01-03 06:49 - 000000167 _____ C:\Users\Rezerv\AppData\RyukReadMe.html
2025-01-03 07:16 - 2025-01-03 06:49 - 000000167 _____ C:\Users\Public\RyukReadMe.html
2025-01-03 07:16 - 2025-01-03 06:49 - 000000167 _____ C:\Users\Default\RyukReadMe.html
2025-01-03 07:16 - 2025-01-03 06:49 - 000000167 _____ C:\Users\Cobian\RyukReadMe.html
2025-01-03 07:16 - 2025-01-03 06:49 - 000000167 _____ C:\Users\Cobian\Desktop\RyukReadMe.html
2025-01-03 07:16 - 2025-01-03 06:49 - 000000167 _____ C:\Users\Cobian\AppData\RyukReadMe.html
2025-01-03 07:16 - 2025-01-03 06:49 - 000000167 _____ C:\Users\buh3\RyukReadMe.html
2025-01-03 07:16 - 2025-01-03 06:49 - 000000167 _____ C:\Users\buh3\Downloads\RyukReadMe.html
2025-01-03 07:16 - 2025-01-03 06:49 - 000000167 _____ C:\Users\buh3\Documents\RyukReadMe.html
2025-01-03 07:16 - 2025-01-03 06:49 - 000000167 _____ C:\Users\buh3\Desktop\RyukReadMe.html
2025-01-03 07:16 - 2025-01-03 06:49 - 000000167 _____ C:\Users\buh3\AppData\RyukReadMe.html
2025-01-03 07:16 - 2025-01-03 06:49 - 000000167 _____ C:\Users\buh2\Downloads\RyukReadMe.html
2025-01-03 07:16 - 2025-01-03 06:49 - 000000167 _____ C:\Users\buh2\Documents\RyukReadMe.html
2025-01-03 07:16 - 2025-01-03 06:49 - 000000167 _____ C:\Users\buh2\Desktop\RyukReadMe.html
2025-01-03 07:15 - 2025-01-03 06:49 - 000008448 _____ C:\Users\buh2\hrmlog1
2025-01-03 07:15 - 2025-01-03 06:49 - 000008448 _____ C:\Users\buh2\AppData\hrmlog1
2025-01-03 07:15 - 2025-01-03 06:49 - 000008448 _____ C:\Users\buh1\Downloads\hrmlog1
2025-01-03 07:15 - 2025-01-03 06:49 - 000008448 _____ C:\Users\buh1\Documents\hrmlog1
2025-01-03 07:15 - 2025-01-03 06:49 - 000008448 _____ C:\Users\buh1\Desktop\hrmlog1
2025-01-03 07:15 - 2025-01-03 06:49 - 000001118 _____ C:\Users\buh2\RyukReadMe.txt
2025-01-03 07:15 - 2025-01-03 06:49 - 000001118 _____ C:\Users\buh2\AppData\RyukReadMe.txt
2025-01-03 07:15 - 2025-01-03 06:49 - 000001118 _____ C:\Users\buh1\Downloads\RyukReadMe.txt
2025-01-03 07:15 - 2025-01-03 06:49 - 000001118 _____ C:\Users\buh1\Documents\RyukReadMe.txt
2025-01-03 07:15 - 2025-01-03 06:49 - 000001118 _____ C:\Users\buh1\Desktop\RyukReadMe.txt
2025-01-03 07:15 - 2025-01-03 06:49 - 000000167 _____ C:\Users\buh2\RyukReadMe.html
2025-01-03 07:15 - 2025-01-03 06:49 - 000000167 _____ C:\Users\buh2\AppData\RyukReadMe.html
2025-01-03 07:15 - 2025-01-03 06:49 - 000000167 _____ C:\Users\buh1\Downloads\RyukReadMe.html
2025-01-03 07:15 - 2025-01-03 06:49 - 000000167 _____ C:\Users\buh1\Documents\RyukReadMe.html
2025-01-03 07:15 - 2025-01-03 06:49 - 000000167 _____ C:\Users\buh1\Desktop\RyukReadMe.html
2025-01-03 07:14 - 2025-01-03 06:49 - 000008448 _____ C:\Users\hrmlog1
2025-01-03 07:14 - 2025-01-03 06:49 - 000008448 _____ C:\Users\buh1\hrmlog1
2025-01-03 07:14 - 2025-01-03 06:49 - 000008448 _____ C:\Users\buh1\AppData\hrmlog1
2025-01-03 07:14 - 2025-01-03 06:49 - 000008448 _____ C:\Users\1cprog\hrmlog1
2025-01-03 07:14 - 2025-01-03 06:49 - 000008448 _____ C:\Users\1cprog\Desktop\hrmlog1
2025-01-03 07:14 - 2025-01-03 06:49 - 000008448 _____ C:\Users\1cprog\AppData\hrmlog1
2025-01-03 07:14 - 2025-01-03 06:49 - 000001118 _____ C:\Users\RyukReadMe.txt
2025-01-03 07:14 - 2025-01-03 06:49 - 000001118 _____ C:\Users\buh1\RyukReadMe.txt
2025-01-03 07:14 - 2025-01-03 06:49 - 000001118 _____ C:\Users\buh1\AppData\RyukReadMe.txt
2025-01-03 07:14 - 2025-01-03 06:49 - 000001118 _____ C:\Users\1cprog\RyukReadMe.txt
2025-01-03 07:14 - 2025-01-03 06:49 - 000001118 _____ C:\Users\1cprog\Desktop\RyukReadMe.txt
2025-01-03 07:14 - 2025-01-03 06:49 - 000001118 _____ C:\Users\1cprog\AppData\RyukReadMe.txt
2025-01-03 07:14 - 2025-01-03 06:49 - 000000167 _____ C:\Users\RyukReadMe.html
2025-01-03 07:14 - 2025-01-03 06:49 - 000000167 _____ C:\Users\buh1\RyukReadMe.html
2025-01-03 07:14 - 2025-01-03 06:49 - 000000167 _____ C:\Users\buh1\AppData\RyukReadMe.html
2025-01-03 07:14 - 2025-01-03 06:49 - 000000167 _____ C:\Users\1cprog\RyukReadMe.html
2025-01-03 07:14 - 2025-01-03 06:49 - 000000167 _____ C:\Users\1cprog\Desktop\RyukReadMe.html
2025-01-03 07:14 - 2025-01-03 06:49 - 000000167 _____ C:\Users\1cprog\AppData\RyukReadMe.html
2025-01-03 07:11 - 2025-01-03 06:49 - 000008448 _____ C:\Program Files (x86)\hrmlog1
2025-01-03 07:11 - 2025-01-03 06:49 - 000001118 _____ C:\Program Files (x86)\RyukReadMe.txt
2025-01-03 07:11 - 2025-01-03 06:49 - 000000167 _____ C:\Program Files (x86)\RyukReadMe.html
2025-01-03 06:50 - 2025-01-03 06:49 - 000001118 _____ C:\Program Files\RyukReadMe.txt
2025-01-03 06:50 - 2025-01-03 06:49 - 000000167 _____ C:\Program Files\RyukReadMe.html
2025-01-03 06:49 - 2025-01-03 06:49 - 000008448 _____ C:\Users\Администратор\Desktop\hrmlog1
2025-01-03 06:49 - 2025-01-03 06:49 - 000008448 _____ C:\ProgramData\hrmlog1
2025-01-03 06:49 - 2025-01-03 06:49 - 000008448 _____ C:\hrmlog1
2025-01-03 06:49 - 2025-01-03 06:49 - 000001118 _____ C:\Users\Администратор\Desktop\RyukReadMe.txt
2025-01-03 06:49 - 2025-01-03 06:49 - 000001118 _____ C:\RyukReadMe.txt
2025-01-03 06:49 - 2025-01-03 06:49 - 000001118 _____ C:\ProgramData\RyukReadMe.txt
2025-01-03 06:49 - 2025-01-03 06:49 - 000000292 ___SH C:\Users\Администратор\Desktop\hrmlog2
2025-01-03 06:49 - 2025-01-03 06:49 - 000000292 ___SH C:\ProgramData\hrmlog2
2025-01-03 06:49 - 2025-01-03 06:49 - 000000167 _____ C:\RyukReadMe.html
2025-01-03 06:49 - 2025-01-03 06:49 - 000000167 _____ C:\ProgramData\RyukReadMe.html
2025-01-03 06:49 - 2025-01-03 06:49 - 000000008 _____ C:\Users\Администратор\Desktop\RYUKID
2025-01-03 06:49 - 2025-01-03 06:49 - 000000008 _____ C:\ProgramData\RYUKID
Reboot:
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • ОлегМ
      Шифровальщик RYUK
      От ОлегМ
      Добрый день! Поймал шифровальщика ryuk.
      Есть возможность расшифровать файлы?
      Addition.txt FRST.txt ryuk.zip
    • Barsa.81
      Шифровальщик RYUK
      От Barsa.81
      Здравствуйте.
      Зашифровались файлы на сервере.
      Систему переустановили, поэтому логи снимать неоткуда.
      Можно ли помочь с расшифровкой файлов?
      Буду благодарен за любую помощь и информацию.
      Зашифрованные файлы.zip
    • mr1www
      RYUK шифровальщик
      От mr1www
      Доброго времени суток!
      Были зашифрованы файлы. В автозагрузке найден троян ryuk.exe, антивирус Касперского определил как "HEUR:Trojan-Ransom.Win32.Generic". В папке программ дата есть файл "RYUKID". Зашифрованные файлы имеют расширение .RYK и .RYKCRYPT. 
      Прошу помощи в дешифровке. Образец прилагаю.
      decrypt.rar
    • Aristan
      Зашифрованы файлы Ryuk
      От Aristan
      Всем доброго времени суток. Этот же вирус словил и я. Вирус прошел мимо антивируса и удалил его, удалил теневые копии и точки восстановления виндовс. Откатить не удалось. зашифровал базы SQL, переименования файла не помогло (хотя лет пять назад это срабатывало). Я уже отправил через кабинет в техподдержку файлы, пока ответа нет.
       
      Сообщение от модератора kmscom Сообщения перенесены из темы Зашифрованы файлы Ryuk  
    • Filereopening
      Ryuk
      От Filereopening
      Привет, наш сервер был атакован этим вымогателем, пожалуйста, помогите
      hrmlog1.zip 284.pdf.[Datablack0068@gmail.com].[C6B0931E].zip
×
×
  • Создать...