enmity Зашифрованные файлы

28 апреля

Добрый день. Если есть возможность выяснить есть ли дешифратор?

Система была переустановлена (но имеется клон, для анализа смогу без проблем предоставить логи Farbar Recovery Scan Tool, но к сожалению позже).

В архиве несколько зашифрованных файлов.

*.txt, *.html файлов для выкупа не было. Но была папка с названием "DontDeleteThisFolder" в ней лежал файл "enc". Файл так же в архиве.

Пробовал некоторые дешифраторы с сайта Касперского и Крипто-шерифа, но к сожалению безуспешно.

Заранее спасибо за уделенное время!

files.zip

Изменено 28 апреля пользователем robocop1974

28 апреля

Вначале надо определить тип шифровальщика. Логи FRST здесь бы не помешали.

Систему сканировали Cureit или KVRT перез переустановкой? можете предоставить логи сканирования?

Сэмпл шифровальщика не обнаружили?

Цитата

Пробовал некоторые дешифраторы с сайта Касперского и Крипто-шерифа, но к сожалению безуспешно.

Чаще всего это не помогает, так как на сайте Nomoreransom в большинстве своем дешифраторы к старым типам шифровальщиков.

Изменено 28 апреля пользователем safety

28 апреля

Здравствуйте, как доберусь до копии диска, сделаю все вышеописанные шаги сканирования системы. И скину логи. Сэмпл постараемся добыть, вроде есть изолированные машины с активным заражением. Тему просто заранее создал.

Спасибо

Изменено 28 апреля пользователем robocop1974

28 апреля

Возможно, это Enmity/Mammon2

похоже на ваш случай,

https://www.virustotal.com/gui/file/e1c89068962ae983a914cd72ee7618400d381b8ab290309d2e2074b3d184abd4/behavior

Mammon v2
e1c89068962ae983a914cd72ee7618400d381b8ab290309d2e2074b3d184abd4 2025-04-23 19:10:31

https://github.com/f6-dfir/Ransomware/blob/main/Enmity/Enmity_samples.txt

Но ждем от вас подробности с логами, + хорошо бы и сэмпл смогли найти.

Изменено 28 апреля пользователем safety

28 апреля

спасибо за информацию, увидел в файле attackers.txt почтовый адрес, прописанный в названиях зашифрованных файлов.

29 апреля

да, есть такое.

Изменено 29 апреля пользователем safety

29 апреля

Здравствуйте, закрепил логи frst + нашел на другой машине папку DontDeleteThisFolder, в ней побольше файлов.

Ссылка на саму заразу (архив загружен, ссылка удалена)

Как скачаете с гугл диска, скажите пожалуйста, я удалю его оттуда

DontDeleteThisFolder.zip FRST_logs.zip

Изменено 29 апреля пользователем safety
архив загружен, ссылка удалена

29 апреля

Файл шифровальщика:

https://www.virustotal.com/gui/file/e669d56cef4cc62c79b4fee8ad3851ae65d648ada11c4b32903308cf0cd01036/detection

Очевидно, что на момент атаки сэмпл мало кем детектировался.

использовался известный прием для данной группы

Цитата

HKLM\...\Winlogon: [Shell] explorer.exe,c:\tzxl2\zip.bat,c:\tzxl2\del.bat <=== ВНИМАНИЕ

в вашем логе FRST этой записи уже нет, возможно очищена, но судя по файлам их архива, использовался данный метод.

Если было выполнено сканирование в KVRT, добавьте, пожалуйста, отчеты KVRT (из папки reports).

+

Проверьте ЛС.

Изменено 30 апреля пользователем safety

30 апреля

Здравствуйте
KVRT делали, но в файле report кроме записей о начале сканирования и его завершения ничего не было больше, поэтому не стал прикреплять

30 апреля

Детект подтянули:

KasperskyHEUR:Trojan-Ransom.Win32.Generic

Если будут новые проверки должно быть обнаружение.

+

Проверьте ЛС.

Изменено 30 апреля пользователем safety

enmity Зашифрованные файлы

Рекомендуемые сообщения

robocop1974

safety

robocop1974

safety

robocop1974

safety

robocop1974

safety

robocop1974

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum