Перейти к содержанию

Зашифрованы файлы с расширением .mammn

Andrei Butyrchyk
 Поделиться

Рекомендуемые сообщения

Andrei Butyrchyk

Andrei Butyrchyk

Опубликовано
Опубликовано

Здравствуйте!

Отработал на машине шифровальщик. До конца отработать, по всей видимости, не успел так как нет записки и не все файлы были зашифрованы.

Есть папки с RSADecryptKey и предположительно сам файл шифровальщик.

FRST.zip EncryptedFiles.zip

safety

safety

Опубликовано
Опубликовано (изменено)

Система не долечена до конца после майнера John,

даже учетная запись с правами Администратора сохранена (с известным злоумышленникам паролем)

john (S-1-5-21-781910040-1567905059-268341649-1004 - Administrator - Enabled) => C:\Users\john

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новые логи FRST.

 

3 часа назад, Andrei Butyrchyk сказал:

Есть папки с RSADecryptKey и предположительно сам файл шифровальщик.

Добавьте данные файлы в архив с паролем virus, загрузите архив на облачный диск, и дайте ссылку на загрузку в ваше сообщение.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Сэмпл шифровальщика, скорее всего 12.exe и он зашифрован.

2024-11-08 02:18 - 2024-11-08 02:18 - 001039378 _____ C:\12.exe.Mail-[mammoncomltd@gmail.com]ID-[PU91XS1JBE].mammn

Вручную дочистите папку пользователя John, остались еще хвосты

2024-10-11 03:40 - 2024-11-08 02:48 - 000000000 ____D C:\Users\john\AppData\Roaming\WinRAR

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {14004EAC-E990-45B5-B074-E8D5BF9348DD} - \Microsoft\Windows\Wininet\RealtekHDStartUP -> Нет файла <==== ВНИМАНИЕ
Task: {5F7B001C-6566-4CFF-8DBC-277ED14D9BB5} - \Microsoft\Windows\Wininet\RealtekHDControl -> Нет файла <==== ВНИМАНИЕ
Task: {D9313EAE-4490-4C10-BC34-57BF46F18B9C} - \Microsoft\Windows\Wininet\Taskhost -> Нет файла <==== ВНИМАНИЕ
Task: {EE39FB0B-59FB-4F2B-9ABE-B4881AEB28BC} - \Microsoft\Windows\Wininet\Taskhostw -> Нет файла <==== ВНИМАНИЕ
2024-11-08 02:18 - 2024-11-08 02:31 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-11-08 02:18 - 2024-11-08 02:18 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-12-20 21:57 - 2023-07-20 16:15 - 000000000 ____D C:\Users\john
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

safety

safety

Опубликовано
Опубликовано (изменено)

С расшифровкой по данному типу шифровальщика не сможем помочь.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • robocop1974
      Зашифрованные файлы
      Автор robocop1974
      Добрый день. Если есть возможность выяснить есть ли дешифратор?
      Система была переустановлена (но имеется клон, для анализа смогу без проблем предоставить логи Farbar Recovery Scan Tool, но к сожалению позже).
      В архиве несколько зашифрованных файлов.
      *.txt, *.html файлов для выкупа не было. Но была папка с названием "DontDeleteThisFolder" в ней лежал файл "enc". Файл так же в архиве.
       
      Пробовал некоторые дешифраторы с сайта Касперского и Крипто-шерифа, но к сожалению безуспешно.
       
      Заранее спасибо за уделенное время!
       
      files.zip
    • Run
      Все файлы переименованы и зашифрованы вида *.goodluck.k ; *.goodluck почта mattersjack768@gmail.com
      Автор Run
      Доброго времени суток, компьютер словил вирус шифровальщик все важные файлы переименованы и зашифрованы вида *.goodluck.k ;  *.goodluck почта mattersjack768@gmail.com в корне диска папка Keylock с файлом ky.DAT кто может помочь как можно вернуть все назад. Восстановление не помогает, файлы также не открываются.
      Логи собраны на лайф диске. Основная ОС Windows Server 2008 R2 по времени зашифрованы 25 февраля 2025 в 4:46
      FRST.txtфайлы зашифрованные.zipKeylock.zip
    • DmitriyDy
      Зашифрованы файлы *.goodluck.k ; mattersjack768@gmail.com ; Trojan.Encoder.37506
      Автор DmitriyDy
      ПК на Windows11, Windows 10, Windows 7
      Примерная дата шифрования с 17.01.2025
      На некоторых ПК на которых установлен Dr.Web, вирус удали практически все, даже сам Dr.Web.
      На некоторых ПК на которых установлен Dr.Web, вирус зашифровал часть файлов.
      На некоторых ПК на которых установлен Dr.Web, при загрузке Windows автоматом загружается пользователь HIguys
      На некоторых ПК на которых установлен Dr.Web, Dr.Web сработал и остановил вирус (отчеты прилагаю)
       
      Ответ поддержки Dr.Web: 
      В данном случае файл зашифрован Trojan.Encoder.37506.
      Расшифровка нашими силами невозможна
       
      Во вложеных файлах: 1. Zip архив в котором: Скрин письма о выкупе, скрин загрузки пользователя HIguys, отчеты Dr.Web, Зашиврованные файлы. 2. логи, собранные Farbar Recovery Scan
      Зашифрованные файлы+скрины+отчеты Dr.Web.zip Addition.txt FRST.txt
    • Alexey.N
      Шифровальщик mammon (mammoncomltd) зашифровал файлы на компьютере.
      Автор Alexey.N
      Добрый день!
      Утром 04.10.2024 обнаружили, что на компьютере пропали ярлыки и не открываются файлы.
      На всех папках стоит дата 03.10.24 вечером в 23:10 вирус проник и зашифровал.
      Записка злоумышленников есть, также все файлы имеют расширение почты и код блокировки. 
      Пример: Mail-[mammoncomltd@gmail.com]ID-[КОД БЛОКИРОВКИ].mammn
      Во вложении зашифрованные файлы в архиве и также в другом архиве логи.
       
      Зашифрованные файлы.rar FRST и Addition.rar
    • PROXY
      Trojan.Encoder.37506
      Автор PROXY
      Здравствуйте. Злоумышленник зашифровал все файлы, включая систему, используя Trojan.Encoder.37506.
      Есть возможность расшифровать данные? Прикладываю архив с несколькими зашифрованными файлами + файл Key.Secret.
      Заранее благодарю!
      virus.zip
×
×
  • Создать...