Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Шифровальщик mammon (mammoncomltd) зашифровал файлы на компьютере.

Alexey.N
 Поделиться

Рекомендуемые сообщения

Alexey.N

Alexey.N

Опубликовано
Опубликовано

Добрый день!

Утром 04.10.2024 обнаружили, что на компьютере пропали ярлыки и не открываются файлы.

На всех папках стоит дата 03.10.24 вечером в 23:10 вирус проник и зашифровал.

Записка злоумышленников есть, также все файлы имеют расширение почты и код блокировки. 

Пример: Mail-[mammoncomltd@gmail.com]ID-[КОД БЛОКИРОВКИ].mammn

Во вложении зашифрованные файлы в архиве и также в другом архиве логи.

 

Зашифрованные файлы.rar FRST и Addition.rar

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Этот файл проверьте: живой или нет 

C:\Users\serv\Pictures\svchost.exe

Возможно файл был обнаружен антивирусом или сканерами, проверьте в карантинах.

файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в личные сообщение (ЛС)

по очистке в FRST выполните скрипт:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда FRST будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

  

Start::
HKU\S-1-5-21-4253146920-2037341050-3724006238-1001\...\Run: [Desktop Lock Express] => C:\Users\serv\Pictures\svchost.exe [230400 2024-10-04] (TopLang Software) [Файл не подписан] <==== ВНИМАНИЕ
IFEO\mpcmdrun.exe: [Debugger] C:\WINDOWS\System32\systray.exe
Startup: C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\READ.txt [2024-10-03] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\READ.txt [2024-10-03] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2024-10-04 09:40 - 2024-10-04 09:40 - 000000020 ___SH C:\Users\serv\ntuser.ini
2024-10-04 08:58 - 2024-10-04 08:58 - 000000000 ____D C:\Users\serv\AppData\Roaming\Process Hacker 2
2024-10-03 23:16 - 2024-10-03 23:16 - 000001063 _____ C:\WINDOWS\SysWOW64\Drivers\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\WINDOWS\Tasks\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\WINDOWS\SysWOW64\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\WINDOWS\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\Downloads\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\Documents\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\Desktop\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\Roaming\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\Roaming\Microsoft\Windows\Start Menu\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\Roaming\Microsoft\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\LocalLow\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\Local\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\Downloads\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\Documents\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\Desktop\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\Roaming\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\Roaming\Microsoft\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\LocalLow\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\Local\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\Public\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\Public\Downloads\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\Public\Documents\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\Public\Desktop\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\Downloads\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\Documents\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\Desktop\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\Roaming\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\LocalLow\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\Local\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\ProgramData\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\ProgramData\Microsoft\Windows\Start Menu\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Program Files\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Program Files\Common Files\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Program Files (x86)\READ.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

По данному типу шифровальщика, к сожалению, расшифровка невозможна без приватного ключа.

Сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем расшифровка будет возможной.

Эта папка с ключами так же необходима для расшифровки.

2024-10-03 22:56 - 2024-10-03 23:14 - 000000000 ____D C:\RSADecryptKey

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Reshat
      Зашифровали компьютер
      Автор Reshat
      Добрый день!Зашифровали компьютер с файлами пишут:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is <ID>*KOZANOSTRA-<ID>
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Файлы скана прикрепляю к сообщению.
      Addition.txt FRST.txt
    • 4tetree
      Зашифровали компьютер
      Автор 4tetree
      Добрый день!Зашифровали компьютер с файлами пишут:
       
      ссылка удалена ссылка на скачивание двух зараженных файлов
    • Evgeniy Alekseevich
      Файлы зашифрованы, расширение файлов helpo2, как расшифровать ?
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • SatanicPanzer
      Файлы зашифрованы с расширением Encrypted
      Автор SatanicPanzer
      Скорее всего проник через почту на сервер небольшой фирмы, файлы и логи прикрепляю
      FRST.txt 1.zip
    • MirTa
      Троян ISTANBULTEAM зашифровал файлы
      Автор MirTa
      Здравствуйте, вчера в два этапа  10.00 и  20.00 оказались зашифрованы почти все файлы, в том числе и архиватор, поэтому не могу сложить в архив и не могу их прикрепить, подскажите, пожалуйста, как их сюда добавить
      Important_Notice.txt Addition.txt FRST.txt
×
×
  • Создать...