enmity Поймали шифровальщика .mammn

[action_spb]

Поймали шифровальщика .mammn. Нужна помощь в расшифровке. Есть папки с RCAKey и сам шифровальщик mammn.exe . Записки нет, не успел он до конца отработать.

 

Для File.rar 1111

FRST.rar file.rar

[safety]

17 минут назад, action_spb сказал:

Есть папки с RCAKey и сам шифровальщик mammn.exe

Эти файлы заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

 

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы.

 

Start::
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk.Mail-[lohikol22@gmail.com]ID-[293AS3WUYJ].mammn [2024-09-24]
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\СисАдмин\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено 25 сентября, 2024 пользователем safety

[action_spb]

Судя по всему удалил.  так понимаю через anydesk нас поломали?

Fixlog.txt

Изменено 25 сентября, 2024 пользователем action_spb

[safety]

по сэмплу.

https://www.virustotal.com/gui/file/72bacee72924de39e8787f254bbba0d84732040d4a01b09a1ec797b681b94eec?nocache=1

Это Enmity, вариант mammon

папку с ключами сохраняйте, она необходима для расшифровки.

Расшифровка невозможна, так как сессионный ключ зашифрован публичным ключом злоумышленников, приватная часть этого ключа есть только у злоумышленников. + проверьте ЛС.