шифровальщик Enigma

[MysteryWO]

Здравствуйте!

 

Открыли вложение, получили:

Текст с файла на рабочем столе:

Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи. 

Файлы зашифрованны алгоритмом AES 128(https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) с приватным ключем,который знаем только мы.

Зашифрованные файлы имеют расширение .ENIGMA . Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.

 

Если хотите получить файлы обратно:

 

1)Установите Tor Browser https://www.torproject.org/

2)Найдите на рабочем столе ключ для доступа на сайт ENIGMA_(номер вашего ключа).RSA

3)Перейдите на сайт http://f6lohswy737xq34e.onionв тор-браузере и авторизуйтесь с помощью ENIGMA_(номер вашего ключа).RSA

4)Следуйте инструкциям на сайте и скачайте дешифратор

 

 

Если основной сайт будет недоступен попробуйте http://ohj63tmbsod42v3d.onion/

 

Помогите с расшифровкой.

CollectionLog-2016.06.02-17.09.zip

Изменено 2 июня, 2016 пользователем MysteryWO

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\pay-by-ads\yahoo! search\1.4.2.5\dsrlte.exe','');
 QuarantineFile('C:\Users\user\AppData\Local\Yandex\browser.bat','');
 QuarantineFile('C:\Users\user\AppData\Local\Temp0415c567badaaa59fea19cee60ff8362b29.exe','');
 DeleteFile('C:\Users\user\AppData\Local\Temp0415c567badaaa59fea19cee60ff8362b29.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','edcceecdddbf');
 DeleteFile('C:\Users\user\AppData\Local\Yandex\browser.bat','32');
 DeleteFile('C:\Program Files\pay-by-ads\yahoo! search\1.4.2.5\dsrlte.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

[MysteryWO]

Ответ KLAN-438162­8340:

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

dsrlte.exe - not-a-virus:Downloader.Win32.Montiera.al

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

browser.bat,
Temp0415c567badaaa59fea19cee60ff8362b29.exe
 

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

ClearLNK-02.06.2016_19-36.log

Изменено 2 июня, 2016 пользователем MysteryWO

[thyrex]

Вас просили еще кое-что

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

[MysteryWO]

Терпение и всё будет. 

CollectionLog-2016.06.02-21.31.zip

[thyrex]

Сделайте лог полного сканирования МВАМ

[MysteryWO]

Эту гадость всю удалить можно или каждый раз ждать указаний?

mbam.txt

Изменено 3 июня, 2016 пользователем MysteryWO

[thyrex]

Удалите в МВАМ все найденное

[MysteryWO]

Что дальше? ожидание?

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[MysteryWO]

Логи FRST

frstlogs.zip

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2012-03-29 12:13 - 2012-03-29 12:13 - 0000341 _____ () C:\Users\user\AppData\Roaming\147D.exe
2012-02-13 13:09 - 2012-02-13 13:09 - 0013350 _____ () C:\Users\user\AppData\Roaming\2F6D.exe
2012-02-17 10:27 - 2012-02-17 10:27 - 0013426 _____ () C:\Users\user\AppData\Roaming\588B.exe
2012-02-20 11:13 - 2012-02-20 11:13 - 0013350 _____ () C:\Users\user\AppData\Roaming\6AD5.exe
2012-03-30 16:26 - 2012-03-30 16:26 - 0000341 _____ () C:\Users\user\AppData\Roaming\6BD6.exe
2012-03-14 12:04 - 2012-03-14 12:04 - 0000341 _____ () C:\Users\user\AppData\Roaming\718.exe
2012-03-14 10:25 - 2012-03-14 10:25 - 0000341 _____ () C:\Users\user\AppData\Roaming\85B3.exe
2012-03-22 10:51 - 2012-03-22 10:51 - 0013426 _____ () C:\Users\user\AppData\Roaming\89FB.exe
2012-03-20 12:33 - 2012-03-20 12:33 - 0013388 _____ () C:\Users\user\AppData\Roaming\8E9.exe
2012-03-30 12:06 - 2012-03-30 12:06 - 0000341 _____ () C:\Users\user\AppData\Roaming\940C.exe
2012-02-20 14:49 - 2012-02-20 14:49 - 0013464 _____ () C:\Users\user\AppData\Roaming\96CA.exe
2012-03-22 11:11 - 2012-03-22 11:11 - 0013426 _____ () C:\Users\user\AppData\Roaming\96D9.exe
2012-02-16 11:44 - 2012-02-16 11:44 - 0013426 _____ () C:\Users\user\AppData\Roaming\9A4C.exe
2012-03-30 17:04 - 2012-03-30 17:04 - 0000341 _____ () C:\Users\user\AppData\Roaming\A1F5.exe
2012-02-17 10:46 - 2012-02-17 10:46 - 0013350 _____ () C:\Users\user\AppData\Roaming\B75F.exe
2012-03-11 10:39 - 2012-03-11 10:39 - 0000341 _____ () C:\Users\user\AppData\Roaming\BAE7.exe
2012-03-30 14:27 - 2012-03-30 14:27 - 0000341 _____ () C:\Users\user\AppData\Roaming\CA1.exe
2012-03-30 15:42 - 2012-03-30 15:42 - 0000341 _____ () C:\Users\user\AppData\Roaming\DD4B.exe
2012-03-30 10:07 - 2012-03-30 10:07 - 0000341 _____ () C:\Users\user\AppData\Roaming\DEAD.exe
2012-03-12 11:40 - 2012-03-12 11:40 - 0000341 _____ () C:\Users\user\AppData\Roaming\E13C.exe
2012-03-27 10:40 - 2012-03-27 10:40 - 0013426 _____ () C:\Users\user\AppData\Roaming\F45E.exe
2012-03-14 12:04 - 2012-03-14 12:04 - 0000341 _____ () C:\Users\user\AppData\Roaming\FDC4.exe
2012-02-13 09:25 - 2012-02-13 09:25 - 0013426 _____ () C:\Users\user\AppData\Roaming\FEE8.exe
HKLM\...\Run: [] => [X]
FF Extension: SuperMegaBest.com - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2013-12-11] [not signed]
CHR Plugin: (Native Client) - C:\Program Files\Google\Chrome\Application\50.0.2661.102\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\50.0.2661.102\pdf.dll => No File
CHR Plugin: (Adobe Acrobat) - C:\Program Files\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll => No File
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.