enmity Зашифрованы файлы с расширением .mammn

[Andrei Butyrchyk]

Здравствуйте!

Отработал на машине шифровальщик. До конца отработать, по всей видимости, не успел так как нет записки и не все файлы были зашифрованы.

Есть папки с RSADecryptKey и предположительно сам файл шифровальщик.

FRST.zip EncryptedFiles.zip

[safety]

Система не долечена до конца после майнера John,

даже учетная запись с правами Администратора сохранена (с известным злоумышленникам паролем)

john (S-1-5-21-781910040-1567905059-268341649-1004 - Administrator - Enabled) => C:\Users\john

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новые логи FRST.

 

3 часа назад, Andrei Butyrchyk сказал:

Есть папки с RSADecryptKey и предположительно сам файл шифровальщик.

Добавьте данные файлы в архив с паролем virus, загрузите архив на облачный диск, и дайте ссылку на загрузку в ваше сообщение.

Изменено 2 января пользователем safety

[Andrei Butyrchyk]

AV block remover отработал и вот новые логи.

Также прикрепляю ссылку на архив с файлами шифровальщика - ссылка

AV_block_remove_2025.01.03-07.32.log FRST_2.rar

[safety]

Сэмпл шифровальщика, скорее всего 12.exe и он зашифрован.

2024-11-08 02:18 - 2024-11-08 02:18 - 001039378 _____ C:\12.exe.Mail-[mammoncomltd@gmail.com]ID-[PU91XS1JBE].mammn

Вручную дочистите папку пользователя John, остались еще хвосты

2024-10-11 03:40 - 2024-11-08 02:48 - 000000000 ____D C:\Users\john\AppData\Roaming\WinRAR

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {14004EAC-E990-45B5-B074-E8D5BF9348DD} - \Microsoft\Windows\Wininet\RealtekHDStartUP -> Нет файла <==== ВНИМАНИЕ
Task: {5F7B001C-6566-4CFF-8DBC-277ED14D9BB5} - \Microsoft\Windows\Wininet\RealtekHDControl -> Нет файла <==== ВНИМАНИЕ
Task: {D9313EAE-4490-4C10-BC34-57BF46F18B9C} - \Microsoft\Windows\Wininet\Taskhost -> Нет файла <==== ВНИМАНИЕ
Task: {EE39FB0B-59FB-4F2B-9ABE-B4881AEB28BC} - \Microsoft\Windows\Wininet\Taskhostw -> Нет файла <==== ВНИМАНИЕ
2024-11-08 02:18 - 2024-11-08 02:31 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-11-08 02:18 - 2024-11-08 02:18 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-12-20 21:57 - 2023-07-20 16:15 - 000000000 ____D C:\Users\john
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

[Andrei Butyrchyk]

Выполнил инструкции, вот логи

Fixlog.txt

[safety]

С расшифровкой по данному типу шифровальщика не сможем помочь.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 5 января пользователем safety