Перейти к содержанию

Шифровальщик mammon (mammoncomltd) зашифровал файлы на компьютере.


Рекомендуемые сообщения

Добрый день!

Утром 04.10.2024 обнаружили, что на компьютере пропали ярлыки и не открываются файлы.

На всех папках стоит дата 03.10.24 вечером в 23:10 вирус проник и зашифровал.

Записка злоумышленников есть, также все файлы имеют расширение почты и код блокировки. 

Пример: Mail-[mammoncomltd@gmail.com]ID-[КОД БЛОКИРОВКИ].mammn

Во вложении зашифрованные файлы в архиве и также в другом архиве логи.

 

Зашифрованные файлы.rar FRST и Addition.rar

Ссылка на комментарий
Поделиться на другие сайты

Этот файл проверьте: живой или нет

C:\Users\serv\Pictures\svchost.exe 

Возможно файл был обнаружен антивирусом или сканерами, проверьте в карантинах.

файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в личные сообщение (ЛС)

по очистке в FRST выполните скрипт:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда FRST будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

 

Start::
HKU\S-1-5-21-4253146920-2037341050-3724006238-1001\...\Run: [Desktop Lock Express] => C:\Users\serv\Pictures\svchost.exe [230400 2024-10-04] (TopLang Software) [Файл не подписан] <==== ВНИМАНИЕ
IFEO\mpcmdrun.exe: [Debugger] C:\WINDOWS\System32\systray.exe
Startup: C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\READ.txt [2024-10-03] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\READ.txt [2024-10-03] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2024-10-04 09:40 - 2024-10-04 09:40 - 000000020 ___SH C:\Users\serv\ntuser.ini
2024-10-04 08:58 - 2024-10-04 08:58 - 000000000 ____D C:\Users\serv\AppData\Roaming\Process Hacker 2
2024-10-03 23:16 - 2024-10-03 23:16 - 000001063 _____ C:\WINDOWS\SysWOW64\Drivers\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\WINDOWS\Tasks\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\WINDOWS\SysWOW64\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\WINDOWS\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\Downloads\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\Documents\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\Desktop\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\Roaming\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\Roaming\Microsoft\Windows\Start Menu\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\Roaming\Microsoft\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\LocalLow\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\TBuh\AppData\Local\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\Downloads\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\Documents\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\Desktop\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\Roaming\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\Roaming\Microsoft\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\LocalLow\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\serv\AppData\Local\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\Public\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\Public\Downloads\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\Public\Documents\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\Public\Desktop\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\Downloads\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\Documents\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\Desktop\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\Roaming\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\LocalLow\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Users\DefaultAppPool\AppData\Local\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\ProgramData\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\ProgramData\Microsoft\Windows\Start Menu\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Program Files\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Program Files\Common Files\READ.txt
2024-10-03 23:14 - 2024-10-03 23:14 - 000001063 _____ C:\Program Files (x86)\READ.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

По данному типу шифровальщика, к сожалению, расшифровка невозможна без приватного ключа.

Сохраните важные зашифрованные файлы на отдельный носитель, возможно в будущем расшифровка будет возможной.

Эта папка с ключами так же необходима для расшифровки.

2024-10-03 22:56 - 2024-10-03 23:14 - 000000000 ____D C:\RSADecryptKey

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
×
×
  • Создать...