enmity Все файлы переименованы и зашифрованы вида *.goodluck.k ; *.goodluck почта mattersjack768@gmail.com

[Run]

Доброго времени суток, компьютер словил вирус шифровальщик все важные файлы переименованы и зашифрованы вида *.goodluck.k ;  *.goodluck почта mattersjack768@gmail.com в корне диска папка Keylock с файлом ky.DAT кто может помочь как можно вернуть все назад. Восстановление не помогает, файлы также не открываются.

Логи собраны на лайф диске. Основная ОС Windows Server 2008 R2 по времени зашифрованы 25 февраля 2025 в 4:46

FRST.txtфайлы зашифрованные.zipKeylock.zip

[safety]

Этот файл заархивируйте с паролем virus, загрузите в ваше сообщение.

2025-02-25 04:25 - 2024-12-24 21:44 - 000994816 _____ C:\Users\Администратор\Desktop\chch.exe

 

[Run]

chch.zip

[safety]

Это #Enmity / #Mammon #Ransomware

https://www.virustotal.com/gui/file/b12cecfc985aec8d13c07f564ca8b2cd31a0bbf5a2be55591a9933904b1edbb8/detection

DrWeb Undetected

Сэмпл достаточно старый:

First Submission

2025-01-02 04:46:44 UTC

Изменено 12 марта пользователем safety

[Run]

С таким шифровальщиком расшифровать никак не получится файлы на жестком?

[safety]

увы, по Enmity расшифровка невозможна без приватного ключа.

Можем помочь только с очисткой системы и проанализировать почему произошло проникновение злоумышленников на устройство, хотя времени прошло уже достаточно с момента шифрования. Найденный сэмпл можно удалить с диска, он безопасен, в том смысле что не в автозапуске, но чтобы случайно никто его не запустил вновь.

Сэмпл можно отправить в вирлаб Дрвеб, в архиве с паролем virus

Изменено 12 марта пользователем safety

[Run]

Спасибо, вам за помощь

[safety]

Папку с Keylock обязательно сохраните,+ важные зашифрованные файлы, возможно в будущем расшифровка станет возможной.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 12 марта пользователем safety

[safety]

2 часа назад, Run сказал:

Спасибо, вам за помощь

Что еще хотел добавить:

судя по строке в логах:

HKLM\...\exefile\shell\open\command: C:\Users\Администратор\WINDOWS\svchost.com "%1" %* <==== ВНИМАНИЕ

возможно система дополнительно была завирусована Neshta, поэтому имеет смысл проверить ее с помощью KVRT, или лучше с загрузочного диска если не планируете переустановку системы.