Шифровальщик ENIGMA

[d.sad185]

Здравствуйте.

По электронной почте получили письмо с вложением.

 

""""""""  Светлана Алексеевна #67170 <buh123-19b@demetra-plus.com>

Доброе утро,
Наша компания уже задолбалась с вашим руководством выяснять отношения. 
будьте добры, быстрее оцените квитанцию и скажите Ваши мысли по этому поводу. """"""""""

 

 

Открыли и в итоге на рабочем столе:

 

<<<<<<<< 

Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи.
Файлы зашифрованны алгоритмом AES 128(https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) с приватным ключем,который знаем только мы.
Зашифрованные файлы имеют расширение .ENIGMA . Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.

Если хотите получить файлы обратно:

1)Установите Tor Browser https://www.torproject.org/
2)Найдите на рабочем столе ключ для доступа на сайт ENIGMA_(номер вашего ключа).RSA
3)Перейдите на сайт http://f6lohswy737xq34e.onionв тор-браузере и авторизуйтесь с помощью ENIGMA_(номер вашего ключа).RSA
4)Следуйте инструкциям на сайте и скачайте дешифратор


Если основной сайт будет недоступен попробуйте http://ohj63tmbsod42v3d.onion/  >>>>>>

 

 

Все файлы зашифрованы. Работать не можем. Пожалуйста помогите удалить этот вирус.

С уважением руководство детсада 185 города Алматы, Казахстан

CollectionLog-2016.05.23-19.22.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);

 QuarantineFile('C:\Users\Kinder Garten\Desktop\enigma.hta','');

 QuarantineFile('C:\Users\Kinder Garten\Desktop\9e20a60a752e026fdc096fc9393795e0.exe','');

 DeleteFile('C:\Users\Kinder Garten\Desktop\9e20a60a752e026fdc096fc9393795e0.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WorkSoftPresent');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MyProgramOk');

 DeleteFile('C:\Users\Kinder Garten\Desktop\enigma.hta','32');

ExecuteSysClean;

RebootWindows(true);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

 

Сделайте новые логи Автологгером. 

 

[d.sad185]

Quarantine.zip  отправили вложением по электронке на указанный адрес.

Ёщё какое-нибудь "лечение" будет? Файлы до сих пор зашифрованы.

[mike 1]

Новые логи где? 

[Алексей Минусинский]

Ёщё какое-нибудь "лечение" будет? Файлы до сих пор зашифрованы.

 

Вам подсказали как убить вирус. Но файлы восстановить практически уже будет невозможно.

 

Строгое предупреждение от модератора kmscom

В данном разделе отвечать могут автор и пользователи группы Консультанты

[d.sad185]

Здравствуйте.

Новые логи во вложении. Мы можем надеятся что все файлы дешифруются?

CollectionLog-2016.05.25-18.14.zip

[mike 1]

Ну кое-что в техподдержке имеется. Поэтому можете уже сейчас составлять запрос.

 

 

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[d.sad185]

Спасибо.

А в какой теме составлять запрос: в этой или открывать новую? Мы кстати ещё не удалили из почты то письмо с вирусным вложением. Вам это вложение не нужно для исследования?

[mike 1]

С этим чуть позже. 

[d.sad185]

Здравствуйте.

Отчёты FRST.txt и Addition.txt во вложении

FRST.txt

Addition.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

NETSVC: Jeomiot -> no filepath.

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
  

 

 

[d.sad185]

Лог файл Fixlog.txt во вложении.

Архив upload.zip не был создан.

Fixlog.txt

[mike 1]

Вот теперь можно писать запрос  http://forum.kasperskyclub.ru/index.php?showtopic=48525