Решена без расшифровки Нужна помощь в дешифровки файлов программой RYK; RYKCRYPT Datablack0068@gmail.com; RYK; RYKCRYPT

Алексей_2023 · 15 Авг 2023

Добрый день, в период с 12.08.2023 по 14.08.2023 сервер был атакован скорее всего через RDP
Все файлы зашифрованы, зашита удалена, Учётная запись Админа заблокирована
Доступ к серверу восстановил
Удалить вирус не удалось
Антивирус Defender отключен
Новый антивирус установить не удаётся
AVAST 1.0.0.660 - не дешифрует
Rakhni decryption tool 1.40.0.0 - не дешифрует
Во вложении архив Новая папка (1) RAR с файлами:
hrmlog1
hrmlog2
nons
Ryuk64.rar.[Datablack0068@gmail.com].[7BEA60EF].RYK
RYUKID
RyukReadMe.html
RyukReadMe.txt
И 2 файла xls - зашифрованы:
НОВАЯ ТАБЛИЦА14ЖБИ.xlsx.[Datablack0068@gmail.com].[7BEA60EF].RYKCRYPT
ПРОСЧЁТ_ПК.xlsx.[Datablack0068@gmail.com].[7BEA60EF].RYK

Заранее Благодарю

Sandor · 15 Авг 2023

Здравствуйте!

А логи Farbar на пострадавшей машине собрать можете (по правилам раздела)?

Алексей_2023 · 15 Авг 2023

Логи сейчас достану
Был бы признателен за подсказку какие именно могу предоставить всё что даст Farbar Recovery Scan Tool

Sandor · 15 Авг 2023

Инструкция:

Как подготовить лог Farbar Recovery Scan Tool

1. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Как определить разрядность системы 2. Запустите утилиту и нажмите "Да" в появившемся уведомлении о том, что вы используете...

www.safezone.cc

Два лога - FRST.txt и Addition.txt

Заранее хочу предупредить, скорее всего расшифровки нет.

Алексей_2023 · 15 Авг 2023

Попробовать стоит
Может повезёт, и в моих логах будет подсказка
Сейчас как раз сканирую логи

Алексей_2023 · 15 Авг 2023

Во вложении Новая папка RAR
FRST.txt и Addition.txt

Алексей_2023 · 15 Авг 2023

Также я веду переписку в Телеграм с вымогателями
Они просят только hrmlog1
И 2 любых файла

Sandor · 15 Авг 2023

Спасибо!

Алексей_2023 написал(а):
веду переписку в Телеграм с вымогателями

У них вероятно есть приватный ключ, которого нет у нас.
Кстати, отправьте им что просят и сообщите, расшифровали или нет.

Выделите следующий код:
Код:
```
Start::
Zip: C:\ProgramData\ryuk.exe
End::
```
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Подробнее читайте в этом руководстве.

На рабочем столе появится архив Date_Time.zip (Дата_Время). Залейте его на облако и ссылку на скачивание отправьте мне личным сообщением.

Sandor · 15 Авг 2023

+
Скачайте специальную утилиту ESETSysVulnCheck (скачивать необходимо в IE)
и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.
Можно прикрепить к следующему сообщению.

Алексей_2023 · 15 Авг 2023

Sandor · 15 Авг 2023

Никуда. Скрипт выполнится прямо из буфера обмена.

Алексей_2023 · 15 Авг 2023

Готово

Алексей_2023 · 15 Авг 2023

Скачивать необходимо в IE
Я не знаю что это

Sandor написал(а):
+
Скачайте специальную утилиту ESETSysVulnCheck (скачивать необходимо в IE)
и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.
Можно прикрепить к следующему сообще

Sandor · 15 Авг 2023

Internet Explorer.

Или можно скопировать ссылку, открыть новую вкладку и в адресной строке выбрать "Вставить и перейти".

Алексей_2023 · 15 Авг 2023

Sandor написал(а):
+
Скачайте специальную утилиту ESETSysVulnCheck (скачивать необходимо в IE)
и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.
Можно прикрепить к следующему сообщению.

Алексей_2023 · 15 Авг 2023

Sandor написал(а):
Internet Explorer.

Или можно скопировать ссылку, открыть новую вкладку и в адресной строке выбрать "Вставить и перейти".

Скачал через Хром
Если не подойдёт скачаю через IE

Алексей_2023 · 15 Авг 2023

На рабочем столе появился файл в архиве RAR ryuk.exe
Размер файла 910 848 байт
Эта програма весит почти 1Гб

Sandor · 15 Авг 2023

Sandor написал(а):
Залейте его на облако и ссылку на скачивание отправьте мне личным сообщением.

Жду.

Алексей_2023 · 15 Авг 2023

Sandor написал(а):
Жду.

Готово
Тема: ryuk.exe

Sandor · 16 Авг 2023

Sandor написал(а):
скорее всего расшифровки нет.

К сожалению, подтверждаю.
Если не секрет, расскажите чем закончилась переписка с вымогателями.

Решена без расшифровки Нужна помощь в дешифровки файлов программой RYK; RYKCRYPT Datablack0068@gmail.com; RYK; RYKCRYPT

Алексей_2023

Новый пользователь

Вложения

Sandor

Алексей_2023

Новый пользователь

Sandor

Как подготовить лог Farbar Recovery Scan Tool

Алексей_2023

Новый пользователь

Алексей_2023

Новый пользователь

Вложения

Алексей_2023

Новый пользователь

Sandor

Sandor

Алексей_2023

Новый пользователь

Sandor

Алексей_2023

Новый пользователь

Вложения

Алексей_2023

Новый пользователь

Sandor

Алексей_2023

Новый пользователь

Вложения

Алексей_2023

Новый пользователь

Алексей_2023

Новый пользователь

Sandor

Алексей_2023

Новый пользователь

Sandor