enmity Зашифрованные файлы

[robocop1974]

Добрый день. Если есть возможность выяснить есть ли дешифратор?

Система была переустановлена (но имеется клон, для анализа смогу без проблем предоставить логи Farbar Recovery Scan Tool, но к сожалению позже).

В архиве несколько зашифрованных файлов.

*.txt, *.html файлов для выкупа не было. Но была папка с названием "DontDeleteThisFolder" в ней лежал файл "enc". Файл так же в архиве.

 

Пробовал некоторые дешифраторы с сайта Касперского и Крипто-шерифа, но к сожалению безуспешно.

 

Заранее спасибо за уделенное время!

 

files.zip

Изменено 28 апреля пользователем robocop1974

[safety]

Вначале надо определить тип шифровальщика. Логи FRST здесь бы не помешали.

Систему сканировали Cureit или KVRT перез переустановкой? можете предоставить логи сканирования?

Сэмпл шифровальщика не обнаружили?

Цитата

Пробовал некоторые дешифраторы с сайта Касперского и Крипто-шерифа, но к сожалению безуспешно.

Чаще всего это не помогает, так как на сайте Nomoreransom в большинстве своем дешифраторы к старым типам шифровальщиков.

Изменено 28 апреля пользователем safety

[robocop1974]

Здравствуйте, как доберусь до копии диска, сделаю все вышеописанные шаги сканирования системы. И скину логи. Сэмпл постараемся добыть, вроде есть изолированные машины с активным заражением. Тему просто заранее создал. 

Спасибо

Изменено 28 апреля пользователем robocop1974

[safety]

Возможно, это Enmity/Mammon2

похоже на ваш случай,

https://www.virustotal.com/gui/file/e1c89068962ae983a914cd72ee7618400d381b8ab290309d2e2074b3d184abd4/behavior

Mammon v2
e1c89068962ae983a914cd72ee7618400d381b8ab290309d2e2074b3d184abd4    2025-04-23 19:10:31

https://github.com/f6-dfir/Ransomware/blob/main/Enmity/Enmity_samples.txt

 

Но ждем от вас подробности с логами, + хорошо бы и сэмпл смогли найти.

Изменено 28 апреля пользователем safety

[robocop1974]

спасибо за информацию, увидел в файле attackers.txt почтовый адрес, прописанный в названиях зашифрованных файлов.

[safety]

да, есть такое.

 

Изменено 29 апреля пользователем safety

[robocop1974]

Здравствуйте, закрепил логи frst + нашел на другой машине папку DontDeleteThisFolder, в ней побольше файлов.
 

Ссылка на саму заразу (архив загружен, ссылка удалена)

 

Как скачаете с гугл диска, скажите пожалуйста, я удалю его оттуда

 

DontDeleteThisFolder.zip FRST_logs.zip

Изменено 29 апреля пользователем safety
архив загружен, ссылка удалена

[safety]

Файл шифровальщика:

https://www.virustotal.com/gui/file/e669d56cef4cc62c79b4fee8ad3851ae65d648ada11c4b32903308cf0cd01036/detection

Очевидно, что на момент атаки сэмпл мало кем детектировался.

 

использовался известный прием для данной группы

Цитата

HKLM\...\Winlogon: [Shell] explorer.exe,c:\tzxl2\zip.bat,c:\tzxl2\del.bat <=== ВНИМАНИЕ

 

в вашем логе FRST этой записи уже нет, возможно очищена, но судя по файлам их архива, использовался данный метод.

 

Если было выполнено сканирование в KVRT, добавьте, пожалуйста, отчеты KVRT (из папки reports).

+

Проверьте ЛС.

 

 

Изменено 30 апреля пользователем safety

[robocop1974]

Здравствуйте
KVRT делали, но в файле report кроме записей о начале сканирования и его завершения ничего не было больше, поэтому не стал прикреплять

[safety]

Детект подтянули:

KasperskyHEUR:Trojan-Ransom.Win32.Generic

Если будут новые проверки должно быть обнаружение.

+

Проверьте ЛС.

Изменено 30 апреля пользователем safety