Решена без расшифровки Нужна помощь в дешифровки файлов программой RYK; RYKCRYPT Datablack0068@gmail.com; RYK; RYKCRYPT

[Алексей_2023]

Добрый день, в период с 12.08.2023 по 14.08.2023 сервер был атакован скорее всего через RDP
Все файлы зашифрованы, зашита удалена, Учётная запись Админа заблокирована
Доступ к серверу восстановил
Удалить вирус не удалось
Антивирус Defender отключен
Новый антивирус установить не удаётся
AVAST 1.0.0.660 - не дешифрует
Rakhni decryption tool 1.40.0.0 - не дешифрует
Во вложении архив Новая папка (1) RAR с файлами:
hrmlog1
hrmlog2
nons
Ryuk64.rar.[Datablack0068@gmail.com].[7BEA60EF].RYK
RYUKID
RyukReadMe.html
RyukReadMe.txt
И 2 файла xls - зашифрованы:
НОВАЯ ТАБЛИЦА14ЖБИ.xlsx.[Datablack0068@gmail.com].[7BEA60EF].RYKCRYPT
ПРОСЧЁТ_ПК.xlsx.[Datablack0068@gmail.com].[7BEA60EF].RYK

Заранее Благодарю

 

[Sandor]

Здравствуйте!

А логи Farbar на пострадавшей машине собрать можете (по правилам раздела)?

 

[Алексей_2023]

Логи сейчас достану
Был бы признателен за подсказку какие именно могу предоставить всё что даст Farbar Recovery Scan Tool

 

[Sandor]

Инструкция:

Как подготовить лог Farbar Recovery Scan Tool

1. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Как определить разрядность системы 2. Запустите утилиту и нажмите "Да" в появившемся уведомлении о том, что вы используете...

www.safezone.cc

Два лога - FRST.txt и Addition.txt

Заранее хочу предупредить, скорее всего расшифровки нет.

 

[Алексей_2023]

Попробовать стоит
Может повезёт, и в моих логах будет подсказка
Сейчас как раз сканирую логи

 

[Алексей_2023]

Во вложении Новая папка RAR
FRST.txt и Addition.txt

 

[Алексей_2023]

Также я веду переписку в Телеграм с вымогателями
Они просят только hrmlog1
И 2 любых файла

 

[Sandor]

Спасибо!

веду переписку в Телеграм с вымогателями

У них вероятно есть приватный ключ, которого нет у нас.
Кстати, отправьте им что просят и сообщите, расшифровали или нет.

• Выделите следующий код:
  

  Start::
  Zip: C:\ProgramData\ryuk.exe
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Подробнее читайте в этом руководстве.

На рабочем столе появится архив Date_Time.zip (Дата_Время). Залейте его на облако и ссылку на скачивание отправьте мне личным сообщением.

 

[Sandor]

+
Скачайте специальную утилиту ESETSysVulnCheck (скачивать необходимо в IE)
и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.
Можно прикрепить к следующему сообщению.

 

[Алексей_2023]

ок

 

[Sandor]

Никуда. Скрипт выполнится прямо из буфера обмена.

 

[Алексей_2023]

Готово

 

[Алексей_2023]

Скачивать необходимо в IE
Я не знаю что это

+
Скачайте специальную утилиту ESETSysVulnCheck (скачивать необходимо в IE)
и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.
Можно прикрепить к следующему сообще

 

[Sandor]

Internet Explorer.

Или можно скопировать ссылку, открыть новую вкладку и в адресной строке выбрать "Вставить и перейти".

 

[Алексей_2023]

+
Скачайте специальную утилиту ESETSysVulnCheck (скачивать необходимо в IE)
и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.
Можно прикрепить к следующему сообщению.

 

[Алексей_2023]

Internet Explorer.

Или можно скопировать ссылку, открыть новую вкладку и в адресной строке выбрать "Вставить и перейти".

Скачал через Хром
Если не подойдёт скачаю через IE

 

[Алексей_2023]

На рабочем столе появился файл в архиве RAR ryuk.exe
Размер файла 910 848 байт
Эта програма весит почти 1Гб

 

[Sandor]

Залейте его на облако и ссылку на скачивание отправьте мне личным сообщением.

Жду.

 

[Алексей_2023]

Жду.

Готово
Тема: ryuk.exe

 

[Sandor]

скорее всего расшифровки нет.

К сожалению, подтверждаю.
Если не секрет, расскажите чем закончилась переписка с вымогателями.