Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Помогите! Шифровальщик Enigma

Skylap
 Поделиться

Рекомендуемые сообщения

Skylap

Skylap

Опубликовано
Опубликовано

Добрый день, Сотрудник открыл письмо, подумав что деловая переписка. В итоге все важные файлы зашифрованы. Помогите пожалуйста. Какие файлы еще нужны?

CollectionLog-2016.06.27-10.33.zip

FRST.rar

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\73B5~1\AppData\Local\Temp\enigma.hta','');
 QuarantineFile('C:\Users\Пользователь\AppData\Local\Temp\08057452a851d1339a606084159f597c.exe','');
 DeleteFile('C:\Users\Пользователь\AppData\Local\Temp\08057452a851d1339a606084159f597c.exe','32');
 DeleteFile('C:\Users\73B5~1\AppData\Local\Temp\enigma.hta','32');
 DeleteFile('C:\Users\Пользователь\AppData\Local\Temp\Rar$EX70.936\GreenChristmasTree.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mrupdsrv','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Green Christmas Tree','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cbaafddbbeba','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cbaafddbbe','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Skylap

Skylap

Опубликовано
  • Автор
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\73B5~1\AppData\Local\Temp\enigma.hta','');
 QuarantineFile('C:\Users\Пользователь\AppData\Local\Temp\08057452a851d1339a606084159f597c.exe','');
 DeleteFile('C:\Users\Пользователь\AppData\Local\Temp\08057452a851d1339a606084159f597c.exe','32');
 DeleteFile('C:\Users\73B5~1\AppData\Local\Temp\enigma.hta','32');
 DeleteFile('C:\Users\Пользователь\AppData\Local\Temp\Rar$EX70.936\GreenChristmasTree.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mrupdsrv','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Green Christmas Tree','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cbaafddbbeba','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cbaafddbbe','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

 

enigma.hta

 

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

 

С уважением, Лаборатория Касперского

KLAN-4521785767

thyrex

thyrex

Опубликовано
Опубликовано

Новые логи где? Заодно и новые логи Farbar сделайте

thyrex

thyrex

Опубликовано
Опубликовано

Ссылка из письма сохранилась?

thyrex

thyrex

Опубликовано
Опубликовано

Действующая лицензия на любой из продуктов Лаборатории имеется?

thyrex

thyrex

Опубликовано
Опубликовано

Увы, без этого ТП даже не будет рассматривать обращение.

 

С расшифровкой не сможем помочь

Skylap

Skylap

Опубликовано
  • Автор
Опубликовано

Лицензию можем приобрести, но будет ли результат?

thyrex

thyrex

Опубликовано
Опубликовано

Это могут знать в только в ТП. Потому я только спрашиваю, а не агитирую покупать.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...