Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Вирус-шифровальщик Enigma

Dyadya_yasha
 Поделиться

Рекомендуемые сообщения

Dyadya_yasha

Dyadya_yasha

Опубликовано
Опубликовано

Здравствуйте! Открыли письмо с вложением, и через некоторое время ко всем файлам с известными расширениями (картинки, фотографии, текстовые документы word и таблицы excel и т.д) добавилось расширение .enigma

 

Файл сборщика логов во вложении.

CollectionLog-2016.06.27-20.15.zip

thyrex

thyrex

Опубликовано
Опубликовано

Открыли письмо с вложением

Вложение сохранилось?

 

Выполните скрипт в AVZ

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ceceffecdafba');
 DeleteFile('C:\Users\32F0~1\AppData\Local\Temp\enigma.hta','32');
ExecuteSysClean;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Dyadya_yasha

Dyadya_yasha

Опубликовано
  • Автор
Опубликовано

 

Открыли письмо с вложением

Вложение сохранилось?

 

Выполните скрипт в AVZ

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ceceffecdafba');
 DeleteFile('C:\Users\32F0~1\AppData\Local\Temp\enigma.hta','32');
ExecuteSysClean;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

 

Да, вложение сохранилось, прикрепил к сообщению

CollectionLog-2016.07.05-16.44.zip

thyrex

thyrex

Опубликовано
Опубликовано

Действующая лицензия на любой из установленных продуктов компании имеется?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...