Перейти к содержанию

Enigma

Константин Андреев

Автор Константин Андреев,
в Помощь в борьбе с шифровальщиками-вымогателями

 Share Подписчики 1

Рекомендуемые сообщения

Константин Андреев

Константин Андреев 0

Опубликовано
Опубликовано

Как и у многих сотрудник открыл в письме от налоговой вложение html

Большинство doc, xls, jpeg файлов и пр. зашифровались enigma

 

Сообщение от модератора Mark D. Pearlstone
Файл Infected.zip удалён. Не прикрепляйте то, что вас не просят

CollectionLog-2016.06.27-17.29.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 493

Опубликовано
Опубликовано

Как и у многих сотрудник открыл в письме от налоговой вложение html

Сохранилось вложение?

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\WINDOWS\system32\machineupper32.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 DeleteFile('C:\WINDOWS\system32\ntos.exe','32');
 DeleteFile('C:\WINDOWS\system32\machineupper32.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Ссылка на сообщение
Поделиться на другие сайты
Константин Андреев

Константин Андреев 0

Опубликовано
  • Автор
Опубликовано

Да вложение html сохранилось

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

 

Отправил архив защищенный паролем, пока нет ответа

 

 

CollectionLog-2016.06.27-19.12.zip

Ссылка на сообщение
Поделиться на другие сайты
Константин Андреев

Константин Андреев 0

Опубликовано
  • Автор
Опубликовано
В Лс отправил html

 

KLAN-4527174986

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

 

В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected.

 

Постоянно такое сообщение, даже на архивы защищенные паролем.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 493

Опубликовано
Опубликовано

К сведению

Не надо спамить мне в ЛС безо всяких на то оснований. Я тоже человек, у меня тоже есть свои дела, жить на форуме я не обязан.

 

Удалите в МВАМ все, кроме

 

PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UpdatesDisableNotify, 1, Хорошо: (0), Плохо: (1),,[79da42c0d6c4b0863a58e692020237c9]
 
Trojan.FakeAlert.DF, C:\Program Files\ASCON\KOMPAS-3D V10\Libs\FTDraw\FTSCALC.exe, , [7bd853afccce5adc4b7fa70d0bf5dd23], 
Trojan.Agent.Drop, C:\Program Files\msi InstallSource MSXML\hidcon.exe, , [ba992fd39bffb77f5fb2c67cd2306997], 
Adware.HiRu, C:\temp\OFFICE2010\AutorunHelper.exe, , [66edd72bb5e5de58e0e65157e120768a], 
Trojan.Agent.Drop, C:\WINDOWS\I386\SVCPACK\DX9U.EXE, , [5ff459a9f7a3ca6c1df4ca7816ec46ba], 
Trojan.Agent.Drop, C:\WINDOWS\I386\SVCPACK\MSXML.EXE, , [62f18b77fe9cf046a66b09390af8d32d], 
Trojan.Agent.Drop, C:\WINDOWS\I386\SVCPACK\RMS.EXE, , [6de6bc46b0eae1550d046cd6b64c3ac6], 
Trojan.Agent.Drop, C:\WINDOWS\I386\SVCPACK\SOUNDVISTA.exe, , [75de18eabcde6ec84ac75ce655adc23e],
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 493

Опубликовано
Опубликовано

Тогда создавайте запрос http://forum.kasperskyclub.ru/index.php?showtopic=48525

К запросу приложите зашифрованные файлы и файл вида ENIGMA_номер.RSA с Рабочего стола

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем
×
×
  • Создать...