Перейти к содержанию

шифровальщик Enigma


Рекомендуемые сообщения

Здравствуйте!

 

Открыли вложение, получили:

Текст с файла на рабочем столе:


Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи. 

Файлы зашифрованны алгоритмом AES 128(https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) с приватным ключем,который знаем только мы.

Зашифрованные файлы имеют расширение .ENIGMA . Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.

 

Если хотите получить файлы обратно:

 

1)Установите Tor Browser https://www.torproject.org/

2)Найдите на рабочем столе ключ для доступа на сайт ENIGMA_(номер вашего ключа).RSA

3)Перейдите на сайт http://f6lohswy737xq34e.onionв тор-браузере и авторизуйтесь с помощью ENIGMA_(номер вашего ключа).RSA

4)Следуйте инструкциям на сайте и скачайте дешифратор

 

 

Если основной сайт будет недоступен попробуйте http://ohj63tmbsod42v3d.onion/


 

Помогите с расшифровкой.

CollectionLog-2016.06.02-17.09.zip

Изменено пользователем MysteryWO
Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\pay-by-ads\yahoo! search\1.4.2.5\dsrlte.exe','');
 QuarantineFile('C:\Users\user\AppData\Local\Yandex\browser.bat','');
 QuarantineFile('C:\Users\user\AppData\Local\Temp0415c567badaaa59fea19cee60ff8362b29.exe','');
 DeleteFile('C:\Users\user\AppData\Local\Temp0415c567badaaa59fea19cee60ff8362b29.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','edcceecdddbf');
 DeleteFile('C:\Users\user\AppData\Local\Yandex\browser.bat','32');
 DeleteFile('C:\Program Files\pay-by-ads\yahoo! search\1.4.2.5\dsrlte.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Ответ KLAN-438162­8340:

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

dsrlte.exe - not-a-virus:Downloader.Win32.Montiera.al

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

browser.bat,
Temp0415c567badaaa59fea19cee60ff8362b29.exe
 

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

ClearLNK-02.06.2016_19-36.log

Изменено пользователем MysteryWO
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2012-03-29 12:13 - 2012-03-29 12:13 - 0000341 _____ () C:\Users\user\AppData\Roaming\147D.exe
2012-02-13 13:09 - 2012-02-13 13:09 - 0013350 _____ () C:\Users\user\AppData\Roaming\2F6D.exe
2012-02-17 10:27 - 2012-02-17 10:27 - 0013426 _____ () C:\Users\user\AppData\Roaming\588B.exe
2012-02-20 11:13 - 2012-02-20 11:13 - 0013350 _____ () C:\Users\user\AppData\Roaming\6AD5.exe
2012-03-30 16:26 - 2012-03-30 16:26 - 0000341 _____ () C:\Users\user\AppData\Roaming\6BD6.exe
2012-03-14 12:04 - 2012-03-14 12:04 - 0000341 _____ () C:\Users\user\AppData\Roaming\718.exe
2012-03-14 10:25 - 2012-03-14 10:25 - 0000341 _____ () C:\Users\user\AppData\Roaming\85B3.exe
2012-03-22 10:51 - 2012-03-22 10:51 - 0013426 _____ () C:\Users\user\AppData\Roaming\89FB.exe
2012-03-20 12:33 - 2012-03-20 12:33 - 0013388 _____ () C:\Users\user\AppData\Roaming\8E9.exe
2012-03-30 12:06 - 2012-03-30 12:06 - 0000341 _____ () C:\Users\user\AppData\Roaming\940C.exe
2012-02-20 14:49 - 2012-02-20 14:49 - 0013464 _____ () C:\Users\user\AppData\Roaming\96CA.exe
2012-03-22 11:11 - 2012-03-22 11:11 - 0013426 _____ () C:\Users\user\AppData\Roaming\96D9.exe
2012-02-16 11:44 - 2012-02-16 11:44 - 0013426 _____ () C:\Users\user\AppData\Roaming\9A4C.exe
2012-03-30 17:04 - 2012-03-30 17:04 - 0000341 _____ () C:\Users\user\AppData\Roaming\A1F5.exe
2012-02-17 10:46 - 2012-02-17 10:46 - 0013350 _____ () C:\Users\user\AppData\Roaming\B75F.exe
2012-03-11 10:39 - 2012-03-11 10:39 - 0000341 _____ () C:\Users\user\AppData\Roaming\BAE7.exe
2012-03-30 14:27 - 2012-03-30 14:27 - 0000341 _____ () C:\Users\user\AppData\Roaming\CA1.exe
2012-03-30 15:42 - 2012-03-30 15:42 - 0000341 _____ () C:\Users\user\AppData\Roaming\DD4B.exe
2012-03-30 10:07 - 2012-03-30 10:07 - 0000341 _____ () C:\Users\user\AppData\Roaming\DEAD.exe
2012-03-12 11:40 - 2012-03-12 11:40 - 0000341 _____ () C:\Users\user\AppData\Roaming\E13C.exe
2012-03-27 10:40 - 2012-03-27 10:40 - 0013426 _____ () C:\Users\user\AppData\Roaming\F45E.exe
2012-03-14 12:04 - 2012-03-14 12:04 - 0000341 _____ () C:\Users\user\AppData\Roaming\FDC4.exe
2012-02-13 09:25 - 2012-02-13 09:25 - 0013426 _____ () C:\Users\user\AppData\Roaming\FEE8.exe
HKLM\...\Run: [] => [X]
FF Extension: SuperMegaBest.com - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2013-12-11] [not signed]
CHR Plugin: (Native Client) - C:\Program Files\Google\Chrome\Application\50.0.2661.102\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\50.0.2661.102\pdf.dll => No File
CHR Plugin: (Adobe Acrobat) - C:\Program Files\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll => No File
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • kononovspb
      От kononovspb
      Здравствуйте.
      У меня компьютер атаковал вирус enigma. Зашифровал файлы и базы 1с.
      У меня коммерческая лицензия на 2 ПК KIS.
       
      Сообщите, пожалуйста, как мне направить запрос на дешифрование файлов.
       
      Спасибо!
    • kroJl1k
      От kroJl1k
      Здравствуйте
      Помогите расшифровать файлы , видео и документы стали с расширением 1TXT. Ничего не вымогают, просто заразил шифровальщик и все. Не помню откуда все началось, по сомнительным сайтам не лажу, все только в рамках Почта мэйл, медиагет, скайп. 
      CollectionLog-2017.02.04-17.32.zip
    • Brabus2000
      От Brabus2000
      Здравствуйте!
       
      Сотрудник поймал вирус-шифровальщик, заражённый файл во вложении.
      Используем официальный касперский. Можно ли расшифровать?
       

      Строгое предупреждение от модератора SQ Файл квитанция.html удален. Не прикладывайте вредоносное ПО во вложение.
    • Тимур Тлегенов
      От Тимур Тлегенов
      Добрый день.
      к нам в бухгалтерию пришло письмо с вложением,  если в кратце то пришло от  МИНФИН РФ о предстоящей проверке, хотя мы находимся в Республике Казахстан, но наш бухгалтер не посмотрев открыла содержимое и теперь все файлы с расширением ENIGMA.

      CollectionLog-2016.08.16-14.31.zip
    • Alzamor
      От Alzamor
      27.06.2016 в бухгалтерию пришло письмо с угрозами от налоговой, испуганная, неопытная девочка бухгалтер  открыла письмо:
       
      МИНИСТЕРСТВО ФИНАНСОВ РОССИЙСКОЙ ФЕДЕРАЦИИ
      ФЕДЕРАЛЬНАЯ НАЛОГОВАЯ ИНСТАНЦИЯ

      ИЗВЕСТИЕ
      от 31 мая 2016 г. N БС-4-11/3852@

      О ПРЕДСТОЯЩЕЙ ПЛАНОВОЙ ПРОВЕРКЕ 12.07.2016

      Так как вы персона малого предпринимательства, Вам допустимо 10 трудовых дней для того чтобы привести документацию в разумное состояние.
      Смотр будет происходить по ключевому офису подтверждающему в док_№2512 о плательщике.
      Требуем ознакомиться и заверить предупреждение,о том что Вы предупреждены и готовы к рассмотрению. Все файлы проверены, вирусов нет   1 файл  Web_papka_CLOUD_8648673.html 189 КБСкачатьВ Облако  
      CollectionLog-2016.07.11-21.41.zip
×
×
  • Создать...