Вирус-шифровальщик Enigma

27 июня, 2016

Здравствуйте! Открыли письмо с вложением, и через некоторое время ко всем файлам с известными расширениями (картинки, фотографии, текстовые документы word и таблицы excel и т.д) добавилось расширение .enigma

Файл сборщика логов во вложении.

CollectionLog-2016.06.27-20.15.zip

27 июня, 2016

Открыли письмо с вложением

Вложение сохранилось?

Выполните скрипт в AVZ

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ceceffecdafba');
 DeleteFile('C:\Users\32F0~1\AppData\Local\Temp\enigma.hta','32');
ExecuteSysClean;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

5 июля, 2016

Открыли письмо с вложением

Вложение сохранилось?

Выполните скрипт в AVZ

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ceceffecdafba');
 DeleteFile('C:\Users\32F0~1\AppData\Local\Temp\enigma.hta','32');
ExecuteSysClean;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Да, вложение сохранилось, прикрепил к сообщению

CollectionLog-2016.07.05-16.44.zip

5 июля, 2016

Действующая лицензия на любой из установленных продуктов компании имеется?

Вирус-шифровальщик Enigma

Рекомендуемые сообщения

Dyadya_yasha

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Dyadya_yasha

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum