Перейти к содержанию

Шифровальщик Enigma письмо 27.06.2016

AlexP15
 Поделиться

Рекомендуемые сообщения

AlexP15

AlexP15

Опубликовано
Опубликовано

Файлы на компьютере документы и изображения стали с расширением .enigma.

Вроде очистил от вирусов.

KVRT не обнаружил никаких вредоносных программ.

Как бороться с бедой, где и как можно расшифровать данные, т.е. получить дешифровщик?

Логи во вложении.

 

CollectionLog-2016.06.27-22.29.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CloseProcesses:

HKU\S-1-5-21-3662075925-130438650-1892365626-1000\...\Run: [cebccfbffdceaaaf] => "C:\Users\8BAD~1\AppData\Local\Temp\1a662c74aa1d153baae47d8c548dac33.exe"  <===== ATTENTION

HKU\S-1-5-21-3662075925-130438650-1892365626-1000\...\Run: [cebccfbffdceaaafba] => "C:\Users\8BAD~1\AppData\Local\Temp\enigma.hta"  <===== ATTENTION

CHR HKU\S-1-5-21-3662075925-130438650-1892365626-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1431938042&z=7407cd43de7a6e2680198dagdz4ccgbt8c8bbecz0o&from=ient05180&uid=ST500DM002-1BD142_W3T3L8TLXXXXW3T3L8TL&q={searchTerms}

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1431938059&from=xtab&uid=1CBF5FD636A749aaA370E122D6BAADFE

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1431938042&z=7407cd43de7a6e2680198dagdz4ccgbt8c8bbecz0o&from=ient05180&uid=ST500DM002-1BD142_W3T3L8TLXXXXW3T3L8TL&q={searchTerms}

HKU\S-1-5-21-3662075925-130438650-1892365626-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=dspp&ts=1431938059&from=xtab&uid=1CBF5FD636A749aaA370E122D6BAADFE&q={searchTerms}

HKU\S-1-5-21-3662075925-130438650-1892365626-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1431938059&from=xtab&uid=1CBF5FD636A749aaA370E122D6BAADFE

HKU\S-1-5-21-3662075925-130438650-1892365626-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1431938059&from=xtab&uid=1CBF5FD636A749aaA370E122D6BAADFE&q={searchTerms}

SearchScopes: HKU\S-1-5-21-3662075925-130438650-1892365626-1000 -> 65EA3BDFEA05C2BBEE21710DA4D193AD URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-3662075925-130438650-1892365626-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-3662075925-130438650-1892365626-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-3662075925-130438650-1892365626-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-3662075925-130438650-1892365626-1000 -> {F4137D40-259A-4FB3-B780-F8C39B303C41} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}

CHR StartupUrls: Default -> "hxxp://www.istartsurf.com/?type=hppp&ts=1431938059&from=xtab&uid=1CBF5FD636A749aaA370E122D6BAADFE"

CHR DefaultSearchURL: Default -> hxxp://www.istartsurf.com/web/?type=dspp&ts=1431938059&from=xtab&uid=1CBF5FD636A749aaA370E122D6BAADFE&q={searchTerms}

CHR DefaultSearchKeyword: Default -> istartsurf

CHR Extension: (Chrome Media Router) - C:\Users\Алена\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-06-24]



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
Ссылка на комментарий
Поделиться на другие сайты
Юрий Черкасов

Юрий Черкасов

Опубликовано
Опубликовано

Скажите, а проблема в итоге решилась?

 

Скорее всего вот это вложение в письме стало проблемой шифрования. Пароль от архива 111. Заранее благодарен

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

Юрий Черкасов создавайте свою тему, а не пишите в чужой теме! Последующие ваши сообщения в этой теме я буду удалять. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Что делать, если пришло фишинговое письмо | Блог Касперского
      Автор KL FC Bot
      Чаще всего фишинговые письма застревают в папке «Спам», потому что сегодня большинство из них легко распознаются почтовыми защитными системами. Но иногда эти системы ошибаются и в корзину попадают настоящие, не мошеннические сообщения. Сегодня расскажем, как распознать фишинговые письма и что с ними делать.
      Признаки фишинговых писем
      Существуют несколько общепринятых признаков, которые могут явно указывать на то, что письмо прислано мошенниками. Вот некоторые из них:
      Яркий заголовок. Фишинговое письмо, вероятнее всего, будет каплей в море вашего почтового ящика. Именно поэтому мошенники обычно стараются выделиться в наименовании словами-триггерами вроде «срочно», «приз», «деньги», «розыгрыш» и всем похожим, что должно побудить вас как можно скорее открыть письмо. Призыв к действию. Разумеется, в таком письме вас будут просить сделать хотя бы что-то из этого списка: перейти по ссылке, оплатить какую-нибудь ненужную вещь, посмотреть подробности во вложении. Главная цель злоумышленников — выманить жертву из почты в небезопасное пространство и заставить тратить деньги или терять доступы к аккаунтам. «Истекающий» таймер. В письме может быть таймер: «Перейдите по ссылке, она активна в течение 24 часов». Все подобные уловки — чушь, мошенникам выгодно торопить жертву, чтобы она начала паниковать и менее бережно относиться к своим деньгам. Ошибки в тексте письма. В последний год участились случаи, когда фишинговое письмо приходит сразу на нескольких языках, причем со странными ошибками. Странный адрес отправителя. Если вы живете, например, в России и вам пришло письмо с итальянского адреса — это повод насторожиться и полностью проигнорировать его содержимое. Раньше еще одним верным признаком фишингового письма было обезличенное обращение вроде «Уважаемый пользователь», но мошенники сделали шаг вперед. Теперь все чаще письма приходят адресные, с упоминанием имени жертвы. Их тоже нужно игнорировать.
       
      View the full article
    • KL FC Bot
      Фишинговое письмо с HR-гайдлайнами | Блог Касперского
      Автор KL FC Bot
      Попытки поставить целевой фишинг на поток мы наблюдаем уже достаточно давно. Как правило, они ограничиваются чуть лучшей стилизацией писем под конкретную компанию, имитацией корпоративного отправителя при помощи методики Ghost Spoofing и персонализацией послания (которая в лучшем случае заключается в обращении к жертве по имени). Однако в марте этого года мы начали регистрировать крайне любопытную рассылку, в которой персонализирован был не только текст в теле писем, но и вложенный документ. Да и сама схема была не совсем типичной — в ней жертву пытались заставить ввести корпоративные учетные данные от почты под предлогом изменений HR-политики.
      Письмо от злоумышленников: просьба ознакомиться с новыми HR-гайдлайнами
      Итак, жертва получает письмо, в котором якобы представители HR, обращаясь по имени, просят ознакомиться с изменениями HR-политики, касающимися протоколов удаленной работы, доступных рабочих льгот и стандартов безопасности. Разумеется, любому сотруднику важны изменения такого рода, курсор так и тянет к приложенному документу (в названии которого, к слову, тоже есть имя получателя). Тем более в письме такая красивая плашка, в которой сказано, что отправитель подтвержденный, сообщение пришло из листа безопасных адресатов. Но как показывает практика, именно в таких случаях к письму стоит присмотреться повнимательнее.
       
       
      View the full article
    • fastheel
      Шифровальщик
      Автор fastheel
      Зашифровали сервер , сам вирус был пойман ( есть файл) и есть флаг с которым он был запущен

      update.exe   -pass e32fae18c0e1de24277c14ab0359c1b7
      Addition.txt FRST.txt u4IHZAluh.README.txt Desktop.zip
    • KL FC Bot
      Я такого не заказывал: обман с физическими посылками и письмами — брашинг и квишинг | Блог Касперского
      Автор KL FC Bot
      Вы получаете уведомление о доставке или просто находите у своей входной двери уже доставленную посылку. Но вы ничего не заказывали! Хотя подарки любят почти все, нужно насторожиться. Есть несколько мошеннических схем, которые начинаются именно с физической доставки.
      Конечно, стоит связаться с друзьями и близкими — может, кто-то из них сделал заказ, а вас не предупредил? Но если такой человек не нашелся, скорее всего, вас пытаются вовлечь в одну из схем обмана, описанных ниже.
      Забегая вперед, скажем, что QR-коды на таких посылках сканировать ни в коем случае нельзя, равно как и звонить по контактным телефонам на упаковке.
      Начистить заказы!
      Устоявшийся в английском языке термин brushing scam заимствован из китайского сленга, связанного с электронной торговлей. 刷单 буквально означает «начищать заказы», но в русском языке нужный смысл несет слово «накручивать». Первоначально брашинг был относительно невинным: вы получаете товар, который не заказывали, а продавец пишет от вашего имени хвалебный отзыв о товаре и накручивает себе статистику продаж. Чтобы проделать это, нечистоплотные продавцы покупают одну из утекших баз с персональными данными и регистрируют на маркетплейсах новые учетные записи с реальным именем и почтовым адресом «жертвы», но со своим адресом электронной почты и платежным инструментом. Те, кто стали мишенью, не несут прямого ущерба.
       
      View the full article
    • KOHb39
      Шифровальщик blackFL
      Автор KOHb39
      Словили этот злополучный шифровальщик.
      На одной машине удалось изолировать его ехе файл судя по дате создания, файл гулял по ПК в сети.
      Может ли это как-то помочь в расшифровке? Кому передать и каким способом?
×
×
  • Создать...