Перейти к содержанию

шифровальщик Enigma


Рекомендуемые сообщения

Здравствуйте!

 

Открыли вложение, получили:

Текст с файла на рабочем столе:


Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи. 

Файлы зашифрованны алгоритмом AES 128(https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) с приватным ключем,который знаем только мы.

Зашифрованные файлы имеют расширение .ENIGMA . Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.

 

Если хотите получить файлы обратно:

 

1)Установите Tor Browser https://www.torproject.org/

2)Найдите на рабочем столе ключ для доступа на сайт ENIGMA_(номер вашего ключа).RSA

3)Перейдите на сайт http://f6lohswy737xq34e.onionв тор-браузере и авторизуйтесь с помощью ENIGMA_(номер вашего ключа).RSA

4)Следуйте инструкциям на сайте и скачайте дешифратор

 

 

Если основной сайт будет недоступен попробуйте http://ohj63tmbsod42v3d.onion/


 

Помогите с расшифровкой.

CollectionLog-2016.06.02-17.09.zip

Изменено пользователем MysteryWO
Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\pay-by-ads\yahoo! search\1.4.2.5\dsrlte.exe','');
 QuarantineFile('C:\Users\user\AppData\Local\Yandex\browser.bat','');
 QuarantineFile('C:\Users\user\AppData\Local\Temp0415c567badaaa59fea19cee60ff8362b29.exe','');
 DeleteFile('C:\Users\user\AppData\Local\Temp0415c567badaaa59fea19cee60ff8362b29.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','edcceecdddbf');
 DeleteFile('C:\Users\user\AppData\Local\Yandex\browser.bat','32');
 DeleteFile('C:\Program Files\pay-by-ads\yahoo! search\1.4.2.5\dsrlte.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Ответ KLAN-438162­8340:

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

dsrlte.exe - not-a-virus:Downloader.Win32.Montiera.al

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

browser.bat,
Temp0415c567badaaa59fea19cee60ff8362b29.exe
 

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

ClearLNK-02.06.2016_19-36.log

Изменено пользователем MysteryWO
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2012-03-29 12:13 - 2012-03-29 12:13 - 0000341 _____ () C:\Users\user\AppData\Roaming\147D.exe
2012-02-13 13:09 - 2012-02-13 13:09 - 0013350 _____ () C:\Users\user\AppData\Roaming\2F6D.exe
2012-02-17 10:27 - 2012-02-17 10:27 - 0013426 _____ () C:\Users\user\AppData\Roaming\588B.exe
2012-02-20 11:13 - 2012-02-20 11:13 - 0013350 _____ () C:\Users\user\AppData\Roaming\6AD5.exe
2012-03-30 16:26 - 2012-03-30 16:26 - 0000341 _____ () C:\Users\user\AppData\Roaming\6BD6.exe
2012-03-14 12:04 - 2012-03-14 12:04 - 0000341 _____ () C:\Users\user\AppData\Roaming\718.exe
2012-03-14 10:25 - 2012-03-14 10:25 - 0000341 _____ () C:\Users\user\AppData\Roaming\85B3.exe
2012-03-22 10:51 - 2012-03-22 10:51 - 0013426 _____ () C:\Users\user\AppData\Roaming\89FB.exe
2012-03-20 12:33 - 2012-03-20 12:33 - 0013388 _____ () C:\Users\user\AppData\Roaming\8E9.exe
2012-03-30 12:06 - 2012-03-30 12:06 - 0000341 _____ () C:\Users\user\AppData\Roaming\940C.exe
2012-02-20 14:49 - 2012-02-20 14:49 - 0013464 _____ () C:\Users\user\AppData\Roaming\96CA.exe
2012-03-22 11:11 - 2012-03-22 11:11 - 0013426 _____ () C:\Users\user\AppData\Roaming\96D9.exe
2012-02-16 11:44 - 2012-02-16 11:44 - 0013426 _____ () C:\Users\user\AppData\Roaming\9A4C.exe
2012-03-30 17:04 - 2012-03-30 17:04 - 0000341 _____ () C:\Users\user\AppData\Roaming\A1F5.exe
2012-02-17 10:46 - 2012-02-17 10:46 - 0013350 _____ () C:\Users\user\AppData\Roaming\B75F.exe
2012-03-11 10:39 - 2012-03-11 10:39 - 0000341 _____ () C:\Users\user\AppData\Roaming\BAE7.exe
2012-03-30 14:27 - 2012-03-30 14:27 - 0000341 _____ () C:\Users\user\AppData\Roaming\CA1.exe
2012-03-30 15:42 - 2012-03-30 15:42 - 0000341 _____ () C:\Users\user\AppData\Roaming\DD4B.exe
2012-03-30 10:07 - 2012-03-30 10:07 - 0000341 _____ () C:\Users\user\AppData\Roaming\DEAD.exe
2012-03-12 11:40 - 2012-03-12 11:40 - 0000341 _____ () C:\Users\user\AppData\Roaming\E13C.exe
2012-03-27 10:40 - 2012-03-27 10:40 - 0013426 _____ () C:\Users\user\AppData\Roaming\F45E.exe
2012-03-14 12:04 - 2012-03-14 12:04 - 0000341 _____ () C:\Users\user\AppData\Roaming\FDC4.exe
2012-02-13 09:25 - 2012-02-13 09:25 - 0013426 _____ () C:\Users\user\AppData\Roaming\FEE8.exe
HKLM\...\Run: [] => [X]
FF Extension: SuperMegaBest.com - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2013-12-11] [not signed]
CHR Plugin: (Native Client) - C:\Program Files\Google\Chrome\Application\50.0.2661.102\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\50.0.2661.102\pdf.dll => No File
CHR Plugin: (Adobe Acrobat) - C:\Program Files\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll => No File
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • ad_art
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
    • yarosvent
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
×
×
  • Создать...