Ransomware RYUK

Znany również jako: Wirus RYUK
Dystrybucja: Niska
Poziom zniszczenia: Silny

Instrukcje usuwania ransomware RYUK

Czym jest RYUK?

RYUK to wirus wysokiego ryzyka typu ransomware, który infiltruje system i szyfruje większość przechowywanych danych, w wyniku czego nie można z nich korzystać. Ze względu na podobieństwo do ransomware Hermes istnieje wysokie prawdopodobieństwo, że twórcy tych dwóch wirusów są tacy sami. W przeciwieństwie do ogromnej większości innych wirusów, to malware nie zmienia nazwy ani nie dołącza żadnego rozszerzenia do zaszyfrowanych plików. Tworzy jednak plik tekstowy ("RyukReadMe.txt"), zostawiając jego kopię w każdym istniejącym folderze.

Jak zwykle, utworzony plik tekstowy dostarcza wiadomość, która informuje ofiary o szyfrowaniu i zachęca je do zapłacenia okupu, jeśli chcą odzyskać swoje dane. Należy pamiętać, że RYUK wykorzystuje algorytmy szyfrowania RSA-4096 i AES-256. Dlatego każda z ofiar otrzymuje kilka unikalnych kluczy, które są niezbędne do odzyskania danych. Problem polega na tym, że cyberprzestępcy ukrywają wszystkie klucze na zdalnym serwerze. Dlatego, ponieważ odzyskanie danych bez nich jest niemożliwe, ofiara jest zmuszona zapłacić okup w zamian za wydanie kluczy. Cena nie jest potwierdzona - wszystkie informacje są wysyłane przez e-mail. Jest jednak pewne, że wysokość okupu zależy od każdej ofiary. Wspomniano jednak, że za każdy dzień zwłoki ofiara będzie musiała zapłacić dodatkowy .5 Bitcoina (obecnie o wartości ~ 3200 $). W porównaniu do innych wirusów ransomware ta cena jest dość wysoka - zazwyczaj waha się ona od 500 $ do 1500 $ i nie wzrasta. Warto jednak wspomnieć, że RYUK został zaprojektowany z myślą o dużych firmach i tym samym infekuje wiele komputerów. Tym samym, nawet jeśli zapłacenie tysięcy dolarów za zwykłego użytkownika może wydawać się zbyt duże, duże firmy często się na to zgadzają, ponieważ zaszyfrowane dane są prawdopodobnie bardziej cenne. Ważniejsze jest to, że bez względu na to, jak niska lub wysoka jest cena okupu, radzimy go nie płacić. Problem polega na tym, że programiści ransomware bardzo często ignorują ofiary po dokonaniu płatności. Z tego powodu płacenie często nie przynosi żadnych pozytywnych rezultatów, a użytkownicy zostają po prostu oszukani. Dlatego zaleca się ignorowanie wszelkich zachęt do skontaktowania się z programistami i zapłacenia okupu. Na nieszczęście nie ma narzędzi zdolnych do złamania szyfrowania RSA/AES i bezpłatnego odzyskania danych. Jedynym możliwym rozwiązaniem jest przywrócenie wszystkiego z kopii zapasowej.

Zrzut ekranu z wiadomością zachęcającą użytkowników do zapłacenia okupu w celu odszyfrowania ich zainfekowanych danych:

RYUK decrypt instructions

Istnieje wiele wirusów, które są podobne do RYUK. Lista przykładów obejmuje (ale nie ogranicza się do) FOX, ShutUpAndDance, PGPSnippet i Princess. Chociaż wirusy te są tworzone przez różnych cyberprzestępców, ich zachowanie jest całkowicie identyczne - każdy z nich szyfruje dane i żąda okupu. W większości przypadków wirusy typu „ransomware" mają tylko dwie główne różnice, takie jak wysokość okupu i wykorzystany algorytm szyfrowania. Niestety większość z tych wirusów wykorzystuje algorytmy generujące unikalne klucze deszyfrowania. Dlatego też, o ile wirus nie jest w pełni rozwinięty i/lub zawiera pewne błędy/wady, manualne odzyskanie danych (bez ingerencji programistów) jest niemożliwe. RYUK i inne podobne wirusy stanowią silny argument za regularnym tworzeniem kopii zapasowych danych. Zawsze pamiętaj o przechowywaniu ich na zdalnym serwerze lub w odłączonym urządzeniu pamięci masowej. W przeciwnym razie malware prawdopodobnie zaszyfruje je razem ze zwykłymi plikami.

W jaki sposób ransomware zainfekowało mój komputer?

W celu dystrybucji ransomware, deweloperzy często używają trojanów, wiadomości spamowych, sieci typu peer-to-peer (P2P), nieoficjalnych źródeł pobierania oprogramowania i fałszywych aktualizacji oprogramowania. Trojany otwierają "tylne drzwi" dla innych wirusów w celu infiltracji systemu. E-maile ze spamem zawierają złośliwe załączniki, które po otwarciu pobierają i instalują wirusy. Sieci P2P i inne źródła pobierania/instalacji stron trzecich (bezpłatne witryny do pobrania, bezpłatne witryny z hostingiem plików itp.) prezentują malware jako legalne oprogramowanie, co zachęca użytkowników do samodzielnego pobrania i zainstalowania wirusów. Fałszywe programy aktualizujące infekują system, wykorzystując błędy/wady nieaktualnego oprogramowania lub po prostu pobierając i instalując malware zamiast aktualnych aktualizacji.

Jak chronić się przed infekcjami ransomware?

Każdy powinien wiedzieć, że głównymi przyczynami infekcji komputerowych są niewielka wiedza i nierozważne zachowanie. W związku z tym zwracanie bacznej uwagi podczas przeglądania Internetu i pobierania/instalowania/aktualizowania oprogramowania jest koniecznością. Zawsze pomyśl dwa razy przed otworzeniem załączników do wiadomości e-mail. Nie należy nigdy otwierać nieistotnych plików ani tych otrzymanych z podejrzanych/nieznanych adresów e-mail. Ponadto zaleca się pobieranie oprogramowania wyłącznie z oficjalnych źródeł, za pomocą bezpośrednich linków do pobierania. Zewnętrzne programy pobierania/instalacji często dołączają fałszywe aplikacje, dlatego nigdy nie powinny być używane. Ta sama reguła dotyczy aktualizacji oprogramowania. Ważne jest aktualizowanie zainstalowanych aplikacji. Jednak powinno to zostać wykonane wyłącznie za pomocą wbudowanych funkcji lub narzędzi dostarczonych przez oficjalnego programistę. Niezbędne jest również posiadanie zainstalowanego i uruchomionego legalnego oprogramowania antywirusowego/antyspyware. Kluczem do bezpieczeństwa komputera jest ostrożność. Jeśli twój komputer jest już zainfekowany RYUK, zalecamy wykonanie skanowania za pomocą Spyhunter, aby automatycznie wyeliminować to ransomware.

Tekst prezentowany w pliku tekstowym ransomware RYUK ("RyukReadMe.txt"):

Panowie!

 

Wasza firma jest poważnie zagrożona.

 

W systemie bezpieczeństwa waszej firmy jest znacząca luka.

Z łatwością przeniknęliśmy do twojej sieci.

 

Powinniście podziękować Panu za zhakowanie przez poważnych ludzi, a nie przez jakichś głupich uczniów lub niebezpiecznych punków.

Mogą oni zniszczyć wszystkie ważne dane tylko dla zabawy.

 

Teraz wasze pliki są zaszyfrowane przy użyciu najsilniejszych algorytmów militarnych RSA4096 i AES-256.

Nikt nie może wam pomóc ich odzyskać bez naszego specjalnego deszyfratora.

 

Narzędzia do naprawy Photorec, RannohDecryptor itp

 

są bezużyteczne i mogą nieodwracalnie zniszczyć twoje pliki.

 

Jeśli chcesz odzyskać pliki, napisz na e-maili (kontakty znajdują się na dole wiadomości) i załącz 2-3 zaszyfrowane pliki

(Mniej niż 5 Mb każdy, niezarchiwizowane. Twoje pliki nie powinny zawierać cennych informacji - bazów danych, kopii zapasowych, dużych arkuszy Excela itp.).

Otrzymasz odszyfrowane próbki i nasze warunki, jak zdobyć deszyfrator.

 

Nie zapomnij wpisać nazwy firmy w temacie wiadomości e-mail.

 

Musisz zapłacić za odszyfrowanie Bitcoinami.

 

Ostateczna cena zależy od tego, jak szybko do nas napiszesz.

Każdy dzień opóźnienia kosztuje dodatkowo +0,5 BTC

Nic osobistego. To po prostu biznes

 

Jak tylko otrzymamy Bitcoiny, odzyskasz wszystkie odszyfrowane dane.

 

Ponadto otrzymasz instrukcje, jak zamknąć lukę w zabezpieczeniach

i jak uniknąć takich problemów w przyszłości

 

+ Polecimy ci specjalne oprogramowanie, które sprawia najwięcej problemów hakerom.

 

Uwaga! Jeszcze raz!

 

Nie zmieniaj nazw zaszyfrowanych plików.

Nie próbuj odszyfrowywać danych za pomocą oprogramowania stron trzecich.

 

P.S. Pamiętaj, że nie jesteśmy oszustami.

Nie potrzebujemy twoich plików, ani informacji.

Jednak po 2 tygodniach wszystkie twoje pliki i klucze zostaną automatycznie usunięte.

Po prostu wyślij wniosek natychmiast po infekcji.

Wszystkie dane zostaną całkowicie przywrócone.

 

Twoja gwarancja - odszyfrowane próbki.

 

Skontaktuj się z nami mailowo

[email protected]

 

lub

 

[email protected]

 

Portfel BTC:

15RLWdVnY5n1n7mTvU1zjg67wt86dhYqNj

 

Ryuk

 

Żaden system nie jest bezpieczny

Zrzut ekranu plików zaszyfrowanych przez RYUK (brak rozszerzenia):

Files encrypted by RYUK

Usuwanie ransomware RYUK:

Natychmiastowe automatyczne usunięcie Wirus RYUK: Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Spyhunter to profesjonalne narzędzie do usuwania złośliwego oprogramowania, które jest zalecane do pozbycia się Wirus RYUK. Pobierz go klikając poniższy przycisk:
▼ POBIERZ Spyhunter Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby usunąć malware musisz zakupić pełną wersję Spyhunter. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.

Szybkie menu:

Krok 1

Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.

Safe Mode with Networking

Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij na "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.

Windows 8 Safe Mode with networking

Film pokazujący, jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij "Uruchom ponownie" przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij przycisk "Rozwiązywanie problemów", a następnie wybierz opcję "Opcje zaawansowane". W menu zaawansowanych opcji wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W poniższym oknie powinieneś kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

windows 10 safe mode with networking

Film pokazujący jak uruchomić Windows 10 w "Trybie awaryjnym z obsługą sieci":

Krok 2

Zaloguj się na konto zainfekowane wirusem RYUK. Uruchom przeglądarkę internetową i pobierz legalny program antyspyware. Zaktualizuj oprogramowanie antyspyware i rozpocznij pełne skanowanie systemu. Usuń wszystkie wykryte wpisy.

Jeśli nie możesz uruchomić komputera w trybie awaryjnym z obsługą sieci, spróbuj wykonać przywracania systemu.

Film pokazujący jak usunąć wirusa ransomware za pomocą "Trybu awaryjnego z wierszem polecenia" i "Przywracania systemu":

1. W trakcie procesu uruchamiania komputera, naciśnij klawisz F8 na klawiaturze tak wiele razy, aż pojawi się Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z wierszem polecenia z listy i naciśnij ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Gdy ładuje się tryb wiersza poleceń, wprowadź następujący wiersz: cd restore i naciśnij ENTER.

system restore using command prompt type cd restore

3. Następnie wpisz tę linię: rstrui.exe i naciśnij ENTER.

system restore using command prompt rstrui.exe

4. W otwartym oknie kliknij przycisk "Dalej".

restore system files and settings

5. Wybierz jeden z dostępnych punktów przywracania i kliknij "Dalej" (spowoduje to przywrócenie systemu komputera do wcześniejszego stanu i daty przed zainfekowaniem twojego PC ransomware RYUK).

select a restore point

6. W otwartym oknie kliknij przycisk "Tak".

run system restore

7. Po przywróceniu komputera do poprzedniej daty, pobierz i przeskanuj swój komputer zalecanym oprogramowaniem usuwania malware, aby wyeliminować wszelkie pozostałe pliki RYUK.

Aby przywrócić pojedyncze pliki zaszyfrowane przez to ransomware, spróbuj użyć funkcji poprzednich wersji systemu Windows. Metoda ta jest skuteczna tylko wtedy, gdy funkcja przywracania systemu została włączona na zainfekowanym systemie operacyjnym. Zauważ, że niektóre warianty RYUK są znane z usuwania kopii woluminów plików, więc ta metoda może nie działać na wszystkich komputerach.

Aby przywrócić plik, kliknij go prawym przyciskiem myszy, przejdź do Właściwości, wybierz kartę Poprzednie wersje. Jeśli odpowiedni plik ma punkt przywracania, zaznacz go i kliknij przycisk "Odzyskaj".

Restoring files encrypted by CryptoDefense

Jeśli nie możesz uruchomić swojego komputera w trybie awaryjnym z obsługą sieci (lub z wiersza polecenia), uruchom swój komputer przy użyciu dysku ratunkowego. Niektóre warianty ransomware wyłączają tryb awaryjny, przez co ich usunięcie jest skomplikowane. Na tym etapie wymagany jest dostęp do innego komputera.

Aby odzyskać kontrolę nad plikami zaszyfrowanymi przez RYUK możesz również spróbować użyć programu o nazwie Shadow Explorer. Więcej informacji na temat korzystania z tego programu jest dostępne tutaj.

shadow explorer screenshot

Aby chronić komputer przed takim szyfrującym pliki ransomware należy użyć renomowanych programów antywirusowych i antyspyware. Jako dodatkowej metody ochrony użytkowników komputerów można użyć programów o nazwie HitmanPro.Alert i EasySync CryptoMonitor, które sztucznie implementują obiekty polityki grupy do rejestru w celu zablokowania programów nieuczciwych programów, takich jak RYUK.

Zauważ, że aktualizacja Windows 10 Fall Creators obejmuje funkcję "Kontrolowany dostęp do folderu" która blokuje próby zaszyfrowania twoich plików przez ransomware. Domyślnie ta funkcja automatycznie chroni pliki przechowywane w Dokumentach, Obrazach, Wideo, Muzyka, Ulubione oraz folderach na pulpicie.

Controll Folder Access

Użytkownicy systemu Windows 10 powinni zainstalować tę aktualizację, aby chronić swoje dane przed atakami ransomware. Tutaj jest więcej informacji o tym, jak uzyskać tę aktualizację i dodać dodatkową warstwę ochrony przed infekcjami ransomware.

HitmanPro.Alert CryptoGuard - wykrywa szyfrowanie plików i neutralizuje takie próby bez konieczności interwencji użytkownika:

hitmanproalert ransomware prevention application

Malwarebytes Anti-Ransomware Beta wykorzystuje zaawansowaną proaktywną technologię monitorującą aktywność ransomware i natychmiast ją zatrzymuje – zanim dostanie się ona do plików użytkowników:

malwarebytes anti-ransomware

  • Najlepszym sposobem uniknięcia infekcji ransomware jest regularne tworzenie kopii zapasowych. Więcej informacji na temat tworzenia kopii zapasowych online i oprogramowania do odzyskiwania danych Tutaj.

Inne narzędzia znane z usuwania ransomware RYUK:

Źródło: https://www.pcrisk.com/removal-guides/13394-ryuk-ransomware