Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

шифровальщик Enigma

MysteryWO
 Поделиться

Рекомендуемые сообщения

MysteryWO

MysteryWO

Опубликовано
Опубликовано (изменено)
Здравствуйте!

 

Открыли вложение, получили:

Текст с файла на рабочем столе:


Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи. 

Файлы зашифрованны алгоритмом AES 128(https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) с приватным ключем,который знаем только мы.

Зашифрованные файлы имеют расширение .ENIGMA . Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.

 

Если хотите получить файлы обратно:

 

1)Установите Tor Browser https://www.torproject.org/

2)Найдите на рабочем столе ключ для доступа на сайт ENIGMA_(номер вашего ключа).RSA

3)Перейдите на сайт http://f6lohswy737xq34e.onionв тор-браузере и авторизуйтесь с помощью ENIGMA_(номер вашего ключа).RSA

4)Следуйте инструкциям на сайте и скачайте дешифратор

 

 

Если основной сайт будет недоступен попробуйте http://ohj63tmbsod42v3d.onion/


 

Помогите с расшифровкой.

CollectionLog-2016.06.02-17.09.zip

Изменено пользователем MysteryWO
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\pay-by-ads\yahoo! search\1.4.2.5\dsrlte.exe','');
 QuarantineFile('C:\Users\user\AppData\Local\Yandex\browser.bat','');
 QuarantineFile('C:\Users\user\AppData\Local\Temp0415c567badaaa59fea19cee60ff8362b29.exe','');
 DeleteFile('C:\Users\user\AppData\Local\Temp0415c567badaaa59fea19cee60ff8362b29.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','edcceecdddbf');
 DeleteFile('C:\Users\user\AppData\Local\Yandex\browser.bat','32');
 DeleteFile('C:\Program Files\pay-by-ads\yahoo! search\1.4.2.5\dsrlte.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

MysteryWO

MysteryWO

Опубликовано
  • Автор
Опубликовано (изменено)

Ответ KLAN-438162­8340:

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

dsrlte.exe - not-a-virus:Downloader.Win32.Montiera.al

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

browser.bat,
Temp0415c567badaaa59fea19cee60ff8362b29.exe
 

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

ClearLNK-02.06.2016_19-36.log

Изменено пользователем MysteryWO
thyrex

thyrex

Опубликовано
Опубликовано

Вас просили еще кое-что

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

MysteryWO

MysteryWO

Опубликовано
  • Автор
Опубликовано (изменено)

Эту гадость всю удалить можно или каждый раз ждать указаний?

mbam.txt

Изменено пользователем MysteryWO
thyrex

thyrex

Опубликовано
Опубликовано

Удалите в МВАМ все найденное

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2012-03-29 12:13 - 2012-03-29 12:13 - 0000341 _____ () C:\Users\user\AppData\Roaming\147D.exe
2012-02-13 13:09 - 2012-02-13 13:09 - 0013350 _____ () C:\Users\user\AppData\Roaming\2F6D.exe
2012-02-17 10:27 - 2012-02-17 10:27 - 0013426 _____ () C:\Users\user\AppData\Roaming\588B.exe
2012-02-20 11:13 - 2012-02-20 11:13 - 0013350 _____ () C:\Users\user\AppData\Roaming\6AD5.exe
2012-03-30 16:26 - 2012-03-30 16:26 - 0000341 _____ () C:\Users\user\AppData\Roaming\6BD6.exe
2012-03-14 12:04 - 2012-03-14 12:04 - 0000341 _____ () C:\Users\user\AppData\Roaming\718.exe
2012-03-14 10:25 - 2012-03-14 10:25 - 0000341 _____ () C:\Users\user\AppData\Roaming\85B3.exe
2012-03-22 10:51 - 2012-03-22 10:51 - 0013426 _____ () C:\Users\user\AppData\Roaming\89FB.exe
2012-03-20 12:33 - 2012-03-20 12:33 - 0013388 _____ () C:\Users\user\AppData\Roaming\8E9.exe
2012-03-30 12:06 - 2012-03-30 12:06 - 0000341 _____ () C:\Users\user\AppData\Roaming\940C.exe
2012-02-20 14:49 - 2012-02-20 14:49 - 0013464 _____ () C:\Users\user\AppData\Roaming\96CA.exe
2012-03-22 11:11 - 2012-03-22 11:11 - 0013426 _____ () C:\Users\user\AppData\Roaming\96D9.exe
2012-02-16 11:44 - 2012-02-16 11:44 - 0013426 _____ () C:\Users\user\AppData\Roaming\9A4C.exe
2012-03-30 17:04 - 2012-03-30 17:04 - 0000341 _____ () C:\Users\user\AppData\Roaming\A1F5.exe
2012-02-17 10:46 - 2012-02-17 10:46 - 0013350 _____ () C:\Users\user\AppData\Roaming\B75F.exe
2012-03-11 10:39 - 2012-03-11 10:39 - 0000341 _____ () C:\Users\user\AppData\Roaming\BAE7.exe
2012-03-30 14:27 - 2012-03-30 14:27 - 0000341 _____ () C:\Users\user\AppData\Roaming\CA1.exe
2012-03-30 15:42 - 2012-03-30 15:42 - 0000341 _____ () C:\Users\user\AppData\Roaming\DD4B.exe
2012-03-30 10:07 - 2012-03-30 10:07 - 0000341 _____ () C:\Users\user\AppData\Roaming\DEAD.exe
2012-03-12 11:40 - 2012-03-12 11:40 - 0000341 _____ () C:\Users\user\AppData\Roaming\E13C.exe
2012-03-27 10:40 - 2012-03-27 10:40 - 0013426 _____ () C:\Users\user\AppData\Roaming\F45E.exe
2012-03-14 12:04 - 2012-03-14 12:04 - 0000341 _____ () C:\Users\user\AppData\Roaming\FDC4.exe
2012-02-13 09:25 - 2012-02-13 09:25 - 0013426 _____ () C:\Users\user\AppData\Roaming\FEE8.exe
HKLM\...\Run: [] => [X]
FF Extension: SuperMegaBest.com - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2013-12-11] [not signed]
CHR Plugin: (Native Client) - C:\Program Files\Google\Chrome\Application\50.0.2661.102\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\50.0.2661.102\pdf.dll => No File
CHR Plugin: (Adobe Acrobat) - C:\Program Files\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll => No File
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • remontcompovspb
      шифровальщик 1txt, расшифровка файлов
      Автор remontcompovspb
      сотрудник открыл письмо на почте, после обновления системы на компьютере все текстовые и графические файлы приобрели формат .1txt 
      Требуется расшифровка файлов
    • beg3mot
      Помощь в расшифровке Enigma.
      Автор beg3mot
      Здравствуйте.
      Помогите пожалуйста расшифровать файлы, зашифрованные Enigma.
      Пойман еще три недели назад из "письма из ФНС".
      На момент заражения антивирусных продуктов Касперского установлено не было.
      Действующая коммерческая лицензия имеется.
      Прилагаю необходимые файлы.
      CollectionLog-2016.12.21-17.13.zip
      ENIGMA_133.RSA.rar

    • LDV
      Поймали Enigma. Прошу помощи
      Автор LDV
      Добрый день коллеги. Принес мне бухгалтер ноут с зашифрованными файлами. Есть ли возможность расшифровать файлы. Больше всего интересуют базы 1с. все файлы со стандартный расширений поменялись на 1txt.  протокол во вложении. 
      CollectionLog-2016.11.24-22.15.zip
    • gusevasonya
      Зашифрованы файлы вирусом. 1.txt
      Автор gusevasonya
      Добрый день! Зашифрованы файлы вирусом. Файлы стали с 1.txt.  Прошла по письму в электронной почте. Что можно сделать. Заранее огромное спасибо!
      CollectionLog-2016.11.22-18.45.zip
    • danileon
      Вирус зашифровал все файлы в разрешение .1txt
      Автор danileon
      Доброго времени суток. По глупости поймал вирус с почты и теперь все файлы зашифрованы. По инструкции приложил zip архив протоколов. Если нужно будет могу выслать вирусный файл который собственно я запустил, также несколько файлов которые зашифровались.. Жду ответа. Спасибо
      CollectionLog-2016.11.23-09.36.zip
×
×
  • Создать...