Форум esetnod32.ru [тема: Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT] http://forum.esetnod32.ru Новое в теме Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Fri, 17 Apr 2026 05:45:25 +0300 Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Filecoder.FONIX в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Aristan Admin написал:
Спасибо! будем ждать.
=============
По текущей версии FONIX/RYUK к сожалению расшифровки нет. Сохраните все важные данные на отдельный носитель+hrmlog1, возможно в будущем расшифровка станет возможной.
21.06.2023 16:02:54, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic16331/message115961/ http://forum.esetnod32.ru/messages/forum35/topic16331/message115961/ Wed, 21 Jun 2023 16:02:54 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Filecoder.FONIX в форуме Шифровальщики файлов и подбор дешифраторов.
Для очистки задач в системе:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 

;uVS v4.14 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START
delref MENU\PROGRAMS\STARTUP\RYUK.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RYUKREADME.HTML
apply

QUIT
=============
без перезагрузки, пишем о старых и новых проблемах.
13.06.2023 11:05:54, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic16331/message115935/ http://forum.esetnod32.ru/messages/forum35/topic16331/message115935/ Tue, 13 Jun 2023 11:05:54 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Filecoder.FONIX в форуме Шифровальщики файлов и подбор дешифраторов.
Спасибо! будем ждать.
13.06.2023 10:55:16, Aristan Admin.]]> http://forum.esetnod32.ru/messages/forum35/topic16331/message115934/ http://forum.esetnod32.ru/messages/forum35/topic16331/message115934/ Tue, 13 Jun 2023 10:55:16 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Filecoder.FONIX в форуме Шифровальщики файлов и подбор дешифраторов.
файл автозагрузки
SARABI_2023-06-13_16-42-19_v4.14.7z
13.06.2023 10:54:07, Aristan Admin.]]> http://forum.esetnod32.ru/messages/forum35/topic16331/message115933/ http://forum.esetnod32.ru/messages/forum35/topic16331/message115933/ Tue, 13 Jun 2023 10:54:07 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Filecoder.FONIX в форуме Шифровальщики файлов и подбор дешифраторов.
По расшифровке, увы, к сожалению, это новый вариант FONIX/RYUK
Акт сверки № 00000000109 от 23.05.2023 (2).pdf.[Datablack0068@gmail.com].[C6B0931E].RYK
и прежний дешифратор для RYK уже не сработает.
Пока что важные зашифрованные файлы+hrmlog1 лучше сохранить на отдельный носитель, как только станет ясно, возможна или нет расшифровка данного варианта без мастер-ключа (которого у нас нет). Сообщим дополнительно.
Предварительный ответ - невозможна сейчас.
13.06.2023 10:28:25, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic16331/message115932/ http://forum.esetnod32.ru/messages/forum35/topic16331/message115932/ Tue, 13 Jun 2023 10:28:25 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Filecoder.FONIX в форуме Шифровальщики файлов и подбор дешифраторов.
файлы Crypted и Filecoder сейчас посмотрю. это еще сделайте для очистки системы.

Для очистки системы сделайте пожалуйста, образ автозапуска системы
https://forum.esetnod32.ru/forum9/topic2687/

Файл образа прикрепите к вашему сообщению.
13.06.2023 10:22:06, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic16331/message115931/ http://forum.esetnod32.ru/messages/forum35/topic16331/message115931/ Tue, 13 Jun 2023 10:22:06 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Filecoder.FONIX в форуме Шифровальщики файлов и подбор дешифраторов.
компьютер в данный момент не в сети, будет переустановка, главное, что бы файлы открыть.
13.06.2023 10:20:54, Aristan Admin.]]> http://forum.esetnod32.ru/messages/forum35/topic16331/message115930/ http://forum.esetnod32.ru/messages/forum35/topic16331/message115930/ Tue, 13 Jun 2023 10:20:54 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Filecoder.FONIX в форуме Шифровальщики файлов и подбор дешифраторов.
https://drive.google.com/drive/folders/1grbiSwm1x4dIHEGgJEwatG3C7ifLMFgA?usp=sharing  архивы
Filecoder.7z
Crypted+.rar
13.06.2023 10:19:28, Aristan Admin.]]> http://forum.esetnod32.ru/messages/forum35/topic16331/message115929/ http://forum.esetnod32.ru/messages/forum35/topic16331/message115929/ Tue, 13 Jun 2023 10:19:28 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Filecoder.FONIX в форуме Шифровальщики файлов и подбор дешифраторов.
а куда файлы выслали? возможно, почтовый антивирус не пропустил архивы.
пробуйте архивы прикрепить к вашему сообщению здесь, как вы прикрепили логи ELC и ESVC
13.06.2023 10:16:43, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic16331/message115928/ http://forum.esetnod32.ru/messages/forum35/topic16331/message115928/ Tue, 13 Jun 2023 10:16:43 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Filecoder.FONIX в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
Хорошо, логи посмотрю, добавьте так же это.

====quote====
Добавьте, пожалуйста, несколько зашифрованных файлов+записку о выкупе hrmlog1 в отдельном архиве Crypted+ файл шифровальщика (ryuk.exe, ryuk64.exe) с паролем infected в архив Filecoder. проверим возможность расшифровки на текущий момент.
=============

=============
ранее я высылал два архива, высылаю повторно
13.06.2023 10:13:50, Aristan Admin.]]> http://forum.esetnod32.ru/messages/forum35/topic16331/message115927/ http://forum.esetnod32.ru/messages/forum35/topic16331/message115927/ Tue, 13 Jun 2023 10:13:50 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Filecoder.FONIX в форуме Шифровальщики файлов и подбор дешифраторов.
Судя по логу ELC есть задачи с RYUK

====quote====
c:\windows\system32\tasks\ryk,
c:\programdata\microsoft\windows\start Menu\Programs\StartUp\ryuk.exe, ,

c:\windows\system32\tasks\RYUK,
c:\programdata\microsoft\windows\start Menu\Programs\StartUp\ryuk.exe, ,
=============

по логу ESVC:

====quote====
sep=,
Path,Actions,Description,ID
\ryk,Author   L C:\ProgramData\Microsoft\Windows\Start< Menu\Programs\StartUp\ryuk.exe,,{5CF23348-0E2C-4D26-831F-97E6B2F1FC20}
sep=,
Path,Actions,Description,ID
\RYUK,Author   L C:\ProgramData\Microsoft\Windows\Start< Menu\Programs\StartUp\ryuk.exe,,{4293C248-9461-451A-A2E0-7B6F1C8E18BB}

=============

Возможно шифровальщик еще активен в системе, или может запуститься через задачи.

обратите внимание, что сейчас в системе у вас два установленных антивируса. Защиту одного из них можно отключить, чтобы не было конфликта.

файл шифровальщика есть в процессах:
ryuk.exe, 9112, SARABI\Администратор, , , , "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\ryuk.exe"

sep=,
Image name,PID,Session name,Session ID,Memory usage,Status,User name,CPU time,Window title
ryuk.exe,9112,Console,1,20 944 K,Running,SARABI\Администратор,0:01:53,C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\ryuk.exe

по логу ESVC:
журналы к сожалению очищены самостоятельно, или злоумышленниками, антивирусы похоже установлены уже после атаки шифрования:
sep=,
Datetime,Source,Event description
13.06.2023 09:08:21.029,Windows Event Log,"Log """" was cleared by \."
13.06.2023 09:08:21.000,Windows Event Log,"Log """" was cleared by \."
13.06.2023 09:08:20.974,Windows Event Log,"Log """" was cleared by \."
13.06.2023 09:08:20.972,Windows Event Log,"Log """" was cleared by \."
13.06.2023 09:08:20.943,Windows Event Log,"Log """" was cleared by \."
13.06.2023 09:08:20.914,Windows Event Log,"Log """" was cleared by \."
13.06.2023 09:08:20.600,Windows Event Log,"Log """" was cleared by \."
12.06.2023 23:50:15.682,Non-MS Apps,"Application ""Dr.Web Anti-virus for Windows Servers"" was installed."


----------
Для очистки системы сделайте пожалуйста, образ автозапуска системы
https://forum.esetnod32.ru/forum9/topic2687/

Файл образа прикрепите к вашему сообщению.
-----------
13.06.2023 09:58:26, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic16331/message115926/ http://forum.esetnod32.ru/messages/forum35/topic16331/message115926/ Tue, 13 Jun 2023 09:58:26 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Filecoder.FONIX в форуме Шифровальщики файлов и подбор дешифраторов.
Хорошо, логи посмотрю, добавьте так же это.

====quote====
Добавьте, пожалуйста, несколько зашифрованных файлов+записку о выкупе hrmlog1 в отдельном архиве Crypted+ файл шифровальщика (ryuk.exe, ryuk64.exe) с паролем infected в архив Filecoder. проверим возможность расшифровки на текущий момент.
=============

13.06.2023 09:48:51, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic16331/message115925/ http://forum.esetnod32.ru/messages/forum35/topic16331/message115925/ Tue, 13 Jun 2023 09:48:51 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Filecoder.FONIX в форуме Шифровальщики файлов и подбор дешифраторов.
так же высылаю файлы логов
ESVC_SARABI_20230613153602.zip
efsw_logs.zip
13.06.2023 09:43:07, Aristan Admin.]]> http://forum.esetnod32.ru/messages/forum35/topic16331/message115924/ http://forum.esetnod32.ru/messages/forum35/topic16331/message115924/ Tue, 13 Jun 2023 09:43:07 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Filecoder.FONIX в форуме Шифровальщики файлов и подбор дешифраторов.
по этой пробуйте
https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcol­lector.exe
13.06.2023 09:28:38, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic16331/message115923/ http://forum.esetnod32.ru/messages/forum35/topic16331/message115923/ Tue, 13 Jun 2023 09:28:38 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Filecoder.FONIX в форуме Шифровальщики файлов и подбор дешифраторов.
по ссылке https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcol­­­lector.exe не могу скачать, не найдена страница (404)
13.06.2023 09:06:11, Aristan Admin.]]> http://forum.esetnod32.ru/messages/forum35/topic16331/message115922/ http://forum.esetnod32.ru/messages/forum35/topic16331/message115922/ Tue, 13 Jun 2023 09:06:11 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Filecoder.FONIX в форуме Шифровальщики файлов и подбор дешифраторов.
В первую очередь:
Добавьте, пожалуйста, несколько зашифрованных файлов+записку о выкупе hrmlog1 в отдельном архиве Crypted+ файл шифровальщика (ryuk.exe, ryuk64.exe) с паролем infected в архив Filecoder. проверим возможность расшифровки на текущий момент.

+
Если есть доступ к зашифрованному устройству, сделайте дополнительно лог ESETLogCollector

====quote====
"ess_logs.zip" (логи из программы ESETLogCollector)

Скачайте утилиту ESET Log Collector по ссылке:
https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcol­lector.exe

Перед сбором лога ELC желательно, чтобы на компьютере была установлена последняя версия антивируса с действующей лицензией:
Сохраните программу на компьютер. Запустите ESET Log Collector от имени администратора (щелкните по программе правой клавишей мышки и в контекстном меню выберите "Запуск от имени администратора").  
=============
+

====quote====
"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

и запустите её от имени администратора на устройстве где было шифрование. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.  
=============

13.06.2023 08:30:17, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic16331/message115921/ http://forum.esetnod32.ru/messages/forum35/topic16331/message115921/ Tue, 13 Jun 2023 08:30:17 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Filecoder.FONIX в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый день! Подскажите, работает ли сейчас тех поддержка есет? Хочу отправить зашифрованные файлы. Шифровальщик Trojan.Encoder.10700 (#Ryuk #Hermes). Может есть уже дешифратор.  
13.06.2023 08:25:42, Aristan Admin.]]> http://forum.esetnod32.ru/messages/forum35/topic16331/message115920/ http://forum.esetnod32.ru/messages/forum35/topic16331/message115920/ Tue, 13 Jun 2023 08:25:42 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Filecoder.FONIX в форуме Шифровальщики файлов и подбор дешифраторов.
update:
по FONIX/RYK известны следующие почты:
back.your.files@firemail.de
filereopening@msgden.com
RyanRinse@mailfence.com
Vulcanteam@CYBERFEAR.COM
vulcanteam@onionmail.org
MaicoLion@firemail.de
qblisq@mailfence.com
dec.station@onionmail.org

update3:

Определенные группы файлов просто полностью испорчены вредоносной программой
краткое резюме от Эмсисофт:

* Any File [<300KB] = Good
* .zip [300KB - 2GB] = Unrecoverable
* .zip [2GB+] = Recoverable
* "Important" [300KB - 2GB] = Good
* "Important" [2GB+] = Unrecoverable
* Other File [300KB - 2GB] = Good
* Other File [2GB+] = Recoverable

С «Важными» расширениями, которые они вносят в белый список, например .MDF, .SQL, .VHD и т. д.

update4:
стала возможна расшифровка раннего варианта FONIX/Phobos/eking
07.03.2023 13:22:37, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic16331/message115531/ http://forum.esetnod32.ru/messages/forum35/topic16331/message115531/ Tue, 07 Mar 2023 13:22:37 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT Filecoder.FONIX в форуме Шифровальщики файлов и подбор дешифраторов.
по расширению: .repter нет расшифровки.
https://id-ransomware.blogspot.com/2020/06/fonixcrypter.html
---------
encode_files.rar
How To DecryptFiles.rar
19.02.2021 12:33:04, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic16331/message111920/ http://forum.esetnod32.ru/messages/forum35/topic16331/message111920/ Fri, 19 Feb 2021 12:33:04 +0300 Шифровальщики файлов и подбор дешифраторов