Перейти к содержанию

Шифровальщик mammon (mammoncomltd) зашифровал файлы на компьютере.


Рекомендуемые сообщения

Добрый день!

Утром 04.10.2024 обнаружили, что на компьютере пропали ярлыки и не открываются файлы.

На всех папках стоит дата 03.10.24 вечером в 23:10 вирус проник и зашифровал.

Записка злоумышленников есть, также все файлы имеют расширение почты и код блокировки. 

Пример: Mail-[mammoncomltd@gmail.com]ID-[КОД БЛОКИРОВКИ].mammn

Во вложении зашифрованные файлы в архиве и также в другом архиве логи.

 

Зашифрованные файлы.rar FRST и Addition.rar

Ссылка на комментарий
Поделиться на другие сайты

Этот файл проверьте: живой или нет

C:\Users\serv\Pictures\svchost.exe 

Возможно файл был обнаружен антивирусом или сканерами, проверьте в карантинах.

файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в личные сообщение (ЛС)

по очистке в FRST выполните скрипт:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда FRST будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

 

Start::
HKU\S-1-5-21-4253146920-2037341050-3724006238-1001\...\Run: [Desktop Lock Express] => C:\Users\serv\Pictures\svchost.exe [230400 2024-10-04] (TopLang Software) [Файл не подписан] <==== ВНИМАНИЕ
IFEO\mpcmdrun.exe: [Debugger] C:\WINDOWS\System32\systray.exe
Startup: C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\READ.txt [2024-10-03] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\READ.txt [2024-10-03] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2024-10-04 09:40 - 2024-10-04 09:40 - 000000020 ___SH C:\Users\serv\ntuser.ini
2024-10-04 08:58 - 2024-10-04 08:58 - 000000000 ____D C:\Users\serv\AppData\Roaming\Process Hacker 2
2024-10-03 23:16 - 2024-10-03 23:16 - 000001063 _____ C:\WINDOWS\SysWOW64\Drivers\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\WINDOWS\Tasks\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\WINDOWS\SysWOW64\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\WINDOWS\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\Downloads\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\Documents\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\Desktop\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\Roaming\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\Roaming\Microsoft\Windows\Start Menu\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\Roaming\Microsoft\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\LocalLow\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\Local\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\Downloads\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\Documents\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\Desktop\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\Roaming\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\Roaming\Microsoft\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\LocalLow\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\Local\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\Public\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\Public\Downloads\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\Public\Documents\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\Public\Desktop\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\Downloads\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\Documents\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\Desktop\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\Roaming\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\LocalLow\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\Local\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\ProgramData\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\ProgramData\Microsoft\Windows\Start Menu\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Program Files\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Program Files\Common Files\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Program Files (x86)\READ.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

По данному типу шифровальщика, к сожалению, расшифровка невозможна без приватного ключа.

Сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем расшифровка будет возможной.

Эта папка с ключами так же необходима для расшифровки.

2024-10-03 22:56 - 2024-10-03 23:14 - 000000000 ____D C:\RSADecryptKey

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Zubarev211
      От Zubarev211
      Добрый день, поймали шифровальщик Xorist, зашифровали все файлы расширением *.er. Нужно было восстановить базу данных 1С. Из теневой папки получилось восстановить 1CD8.1CD
      Указанный файл не был зашифрован расширением .er, но при запуске выдавало ошибку о повреждении данных.

      Так же пытались вашим декриптором использовали пару 2х файлов, но так же получали ошибку(пробовали на документах ворд)

      Подскажите пожалуйста какие дальнейшие шаги нам нужно сделать, чтобы восстановить базу. Спасибо! 
    • Иван Иванович Ивановский
      От Иван Иванович Ивановский
      сегодня утром зашифровал все файлы
      часть данных у меня были на флешке, есть исходные, не зашифрованные файлы - положил их тоже в архив
      что это за тип шифровальщика, возможна ли расшифровка?
      и с компом чего теперь делать, возможно ли очистить и работать дальше или лучше все отформатировать и переустановить ?
       
      архив и логи FRST прилагаю
      Архив.7z Addition.txt FRST.txt
    • Александр Щепочкин
      От Александр Щепочкин
      Добрый день, такое же и у меня случилось,  с таким же расширением, никто ничего не скачивал и по ссылкам не переходил, работают на удаленном рабочем столе, переносят только файлы вод или экселя. Кидаю пример файла и текст с выкупом
      6iENBa2rG.README.txt Ведомость выроботки по объекту Радиальная (белорусы) общее.xlsx.rar
       
      Сообщение от модератора kmscom Сообщение перенесено из темы Шифровальщик зашифровал файлы расширение .6iENBa2rG
    • Александр Щепочкин
      От Александр Щепочкин
      Добрый день, такое же и у меня случилось,  с таким же расширением, никто ничего не скачивал и по ссылкам не переходил, работают на удаленном рабочем столе, переносят только файлы вод или экселя. Кидаю пример файла и текст с выкупом
      6iENBa2rG.README.txt Ведомость выроботки по объекту Радиальная (белорусы) общее.xlsx.rar
       
      Сообщение от модератора kmscom Сообщение перенесено из темы Шифровальщик зашифровал файлы расширение .6iENBa2rG
    • Алексей Шеин
      От Алексей Шеин
      Добрый день.
       
      Зашифровались данные на дисках компьютера, все файлы стали с расширением .yzho кто подскажет, чем можно расшифровать?
      Спасибо.
       
      С уважением,
      Алексей Шеин
       

       
×
×
  • Создать...