enmity Шифровальщик mammon (mammoncomltd) зашифровал файлы на компьютере.

[Alexey.N]

Добрый день!

Утром 04.10.2024 обнаружили, что на компьютере пропали ярлыки и не открываются файлы.

На всех папках стоит дата 03.10.24 вечером в 23:10 вирус проник и зашифровал.

Записка злоумышленников есть, также все файлы имеют расширение почты и код блокировки. 

Пример: Mail-[mammoncomltd@gmail.com]ID-[КОД БЛОКИРОВКИ].mammn

Во вложении зашифрованные файлы в архиве и также в другом архиве логи.

 

Зашифрованные файлы.rar FRST и Addition.rar

[safety]

Этот файл проверьте: живой или нет

C:\Users\serv\Pictures\svchost.exe 

Возможно файл был обнаружен антивирусом или сканерами, проверьте в карантинах.

файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в личные сообщение (ЛС)

по очистке в FRST выполните скрипт:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда FRST будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

 

Start::
HKU\S-1-5-21-4253146920-2037341050-3724006238-1001\...\Run: [Desktop Lock Express] => C:\Users\serv\Pictures\svchost.exe [230400 2024-10-04] (TopLang Software) [Файл не подписан] <==== ВНИМАНИЕ
IFEO\mpcmdrun.exe: [Debugger] C:\WINDOWS\System32\systray.exe
Startup: C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\READ.txt [2024-10-03] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\READ.txt [2024-10-03] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2024-10-04 09:40 - 2024-10-04 09:40 - 000000020 ___SH C:\Users\serv\ntuser.ini
2024-10-04 08:58 - 2024-10-04 08:58 - 000000000 ____D C:\Users\serv\AppData\Roaming\Process Hacker 2
2024-10-03 23:16 - 2024-10-03 23:16 - 000001063 _____ C:\WINDOWS\SysWOW64\Drivers\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\WINDOWS\Tasks\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\WINDOWS\SysWOW64\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\WINDOWS\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\Downloads\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\Documents\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\Desktop\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\Roaming\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\Roaming\Microsoft\Windows\Start Menu\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\Roaming\Microsoft\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\LocalLow\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\Local\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\Downloads\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\Documents\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\Desktop\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\Roaming\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\Roaming\Microsoft\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\LocalLow\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\Local\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\Public\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\Public\Downloads\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\Public\Documents\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\Public\Desktop\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\Downloads\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\Documents\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\Desktop\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\Roaming\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\LocalLow\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\Local\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\ProgramData\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\ProgramData\Microsoft\Windows\Start Menu\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Program Files\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Program Files\Common Files\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Program Files (x86)\READ.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено 7 октября, 2024 пользователем safety

[Alexey.N]

Файл живой, отправлена ссылка на него в личным сообщении. Во вложении Файл из FRST  Fixlog.txt

[safety]

По данному типу шифровальщика, к сожалению, расшифровка невозможна без приватного ключа.

Сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем расшифровка будет возможной.

Эта папка с ключами так же необходима для расшифровки.

2024-10-03 22:56 - 2024-10-03 23:14 - 000000000 ____D C:\RSADecryptKey

Изменено 7 октября, 2024 пользователем safety