Перейти к содержанию

Шифровальщик mammon (mammoncomltd) зашифровал файлы на компьютере.

Alexey.N
 Share

Рекомендуемые сообщения

Alexey.N Новичок

Alexey.N

Опубликовано
Опубликовано

Добрый день!

Утром 04.10.2024 обнаружили, что на компьютере пропали ярлыки и не открываются файлы.

На всех папках стоит дата 03.10.24 вечером в 23:10 вирус проник и зашифровал.

Записка злоумышленников есть, также все файлы имеют расширение почты и код блокировки. 

Пример: Mail-[mammoncomltd@gmail.com]ID-[КОД БЛОКИРОВКИ].mammn

Во вложении зашифрованные файлы в архиве и также в другом архиве логи.

 

Зашифрованные файлы.rar FRST и Addition.rar

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

Этот файл проверьте: живой или нет 

C:\Users\serv\Pictures\svchost.exe

Возможно файл был обнаружен антивирусом или сканерами, проверьте в карантинах.

файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в личные сообщение (ЛС)

по очистке в FRST выполните скрипт:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда FRST будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

  

Start::
HKU\S-1-5-21-4253146920-2037341050-3724006238-1001\...\Run: [Desktop Lock Express] => C:\Users\serv\Pictures\svchost.exe [230400 2024-10-04] (TopLang Software) [Файл не подписан] <==== ВНИМАНИЕ
IFEO\mpcmdrun.exe: [Debugger] C:\WINDOWS\System32\systray.exe
Startup: C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\READ.txt [2024-10-03] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\READ.txt [2024-10-03] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2024-10-04 09:40 - 2024-10-04 09:40 - 000000020 ___SH C:\Users\serv\ntuser.ini
2024-10-04 08:58 - 2024-10-04 08:58 - 000000000 ____D C:\Users\serv\AppData\Roaming\Process Hacker 2
2024-10-03 23:16 - 2024-10-03 23:16 - 000001063 _____ C:\WINDOWS\SysWOW64\Drivers\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\WINDOWS\Tasks\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\WINDOWS\SysWOW64\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\WINDOWS\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\Downloads\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\Documents\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\Desktop\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\Roaming\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\Roaming\Microsoft\Windows\Start Menu\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\Roaming\Microsoft\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\LocalLow\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\Local\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\Downloads\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\Documents\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\Desktop\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\Roaming\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\Roaming\Microsoft\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\LocalLow\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\Local\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\Public\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\Public\Downloads\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\Public\Documents\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\Public\Desktop\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\Downloads\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\Documents\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\Desktop\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\Roaming\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\LocalLow\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\Local\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\ProgramData\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\ProgramData\Microsoft\Windows\Start Menu\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Program Files\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Program Files\Common Files\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Program Files (x86)\READ.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

По данному типу шифровальщика, к сожалению, расшифровка невозможна без приватного ключа.

Сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем расшифровка будет возможной.

Эта папка с ключами так же необходима для расшифровки.

2024-10-03 22:56 - 2024-10-03 23:14 - 000000000 ____D C:\RSADecryptKey

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • InnaC
      Файлы зашифрованы .Demetro9990@cock.li
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt 18112024.zip
    • ligiray
      Зашифровали файлы на ***.kasper
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • barss2001
      Вирус-шифровальщик зашифровал файлы Файл "7DYEDHQU59C"
      От barss2001
      Сервер после перезагрузки и входе в учетную запись показал сообщение о выкупе программы дешифратора на рабочем столе и дисках появились  зашифрованые файлы 
      virus.rar FRST64.rar
    • Николай Костиков
      Зашифрованы файлы 1С
      От Николай Костиков
      Доброго всем дня !!! Ребята помогите дешефратором , один паразит американских файлы 1 С у меня зашифровал. Пример файлов прикладываю к письму.
      user-192.png.rar
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Maximus02
      Шифровальщик. Окончание файлов .tae7AeTe
      От Maximus02
      1.zip
       
      Здравствуйте!
       
      Словили шифровальшик. Пока не выяснили источник, где был произведен запуск шифровальщика. Есть зашифрованные файлы с размером и окончанием .tae7AeTe. Также есть оригинальный файл с нулевым окончанием. Зашифровано все на NAS Synology.
      Помогите пожалуйста с расшифровкой, если это возможно.
×
×
  • Создать...