Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Открыли письмо с ENIGMA

wildman123
 Поделиться

Рекомендуемые сообщения

wildman123 Новичок

wildman123

Опубликовано
Опубликовано

Добрый день! открыли письмо якобы от ФНС с html фалом и запустили его. В результате офисные файлы, pdf и базы 1С зашифрованы с расширением .enigma

Логи прилагаю.

CollectionLog-2016.06.29-14.09.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Логи собирайте строго через консоль, а не через RDP!

 

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Вижу, что второй раз наступаете на одни и те же грабли. Печально, что никаких выводов так и не сделали. 

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

HKLM-x32\...\Run: [] => [X]

HKLM-x32\...\Run: [gmsd_ru_91] => [X]

GroupPolicyScripts: Restriction <======= ATTENTION

CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

CHR HKU\S-1-5-21-282000379-18365224-3012209582-1002\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419342126&from=cor&uid=ST500DM002-1BD142_Z2AS96MKXXXXZ2AS96MK&q={searchTerms}

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419342126&from=cor&uid=ST500DM002-1BD142_Z2AS96MKXXXXZ2AS96MK&q={searchTerms}

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419342126&from=cor&uid=ST500DM002-1BD142_Z2AS96MKXXXXZ2AS96MK&q={searchTerms}

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419342126&from=cor&uid=ST500DM002-1BD142_Z2AS96MKXXXXZ2AS96MK&q={searchTerms}

S2 serversu; no ImagePath

S4 BDSGRTP; no ImagePath

S1 bd0001; system32\DRIVERS\bd0001.sys [X]

S1 bd0002; system32\DRIVERS\bd0002.sys [X]

S1 BDMWrench_x64; system32\DRIVERS\BDMWrench_x64.sys [X]

2015-10-14 16:39 - 2015-10-14 16:39 - 0927422 _____ () C:\Program Files (x86)\desk.bmp

2015-10-14 16:39 - 2015-10-14 16:39 - 0149120 _____ () C:\Program Files (x86)\desk.jpg

2015-10-14 15:47 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\FUVLZMKAGW.BJY

2015-10-14 14:46 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\PCEZFBHGJA.UTR

Task: {845F2373-ECAC-4BEA-ADBD-310E9B964CBF} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION

Task: {8CC337D8-FBC9-4AE1-AFFE-F0A54F7F9EE4} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION

Task: {96B7244E-D974-4B7F-8E7D-E4FE3D48733E} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION

Task: {97E162DC-3C13-47AA-9FE5-6DE9828402D1} - \chrome5_logon -> No File <==== ATTENTION

Task: {EE176AE7-72EA-4E99-B01F-9B5AF640C4B9} - \chrome5 -> No File <==== ATTENTION

Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION

Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION

Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Перезагрузите сервер


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

 

2015-10-14 16:39 - 2015-10-14 16:39 - 0927422 _____ () C:\Program Files (x86)\desk.bmp

2015-10-14 16:39 - 2015-10-14 16:39 - 0149120 _____ () C:\Program Files (x86)\desk.jpg

2015-10-14 15:47 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\FUVLZMKAGW.BJY

2015-10-14 14:46 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\PCEZFBHGJA.UTR

Может и через письмо поймали. Это файлы от шифровальщика Cryakl. Заражение было 14 октября 2015 года. 

Ссылка на комментарий
Поделиться на другие сайты
wildman123 Новичок

wildman123

Опубликовано
  • Автор
Опубликовано (изменено)

 

 

 

2015-10-14 16:39 - 2015-10-14 16:39 - 0927422 _____ () C:\Program Files (x86)\desk.bmp

2015-10-14 16:39 - 2015-10-14 16:39 - 0149120 _____ () C:\Program Files (x86)\desk.jpg

2015-10-14 15:47 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\FUVLZMKAGW.BJY

2015-10-14 14:46 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\PCEZFBHGJA.UTR

Может и через письмо поймали. Это файлы от шифровальщика Cryakl. Заражение было 14 октября 2015 года. 

 

Было дело, это видимо старый мусор остался.

 

А, я понял про грабли. Да я тут без году неделя :) Это не мой косяк :)

А с .enigma что-то получится? В смысле расшифровать?

Изменено пользователем wildman123
Ссылка на комментарий
Поделиться на другие сайты
wildman123 Новичок

wildman123

Опубликовано
  • Автор
Опубликовано

Думаю получится. Пишите запрос  http://forum.kasperskyclub.ru/index.php?showtopic=48525

Запрос создал, не подскажите, сколько примерно ожидать? ID запроса: INC000006388579

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Vasikir
      Не могу открыть regedit (0xc0000017)
      Автор Vasikir
      Не уверен насчёт причины. Также были взломаны аккаунты telegram, discord, steam, google
      CollectionLog-2025.07.05-15.14.zip
    • KL FC Bot
      Фишинговое письмо с HR-гайдлайнами | Блог Касперского
      Автор KL FC Bot
      Попытки поставить целевой фишинг на поток мы наблюдаем уже достаточно давно. Как правило, они ограничиваются чуть лучшей стилизацией писем под конкретную компанию, имитацией корпоративного отправителя при помощи методики Ghost Spoofing и персонализацией послания (которая в лучшем случае заключается в обращении к жертве по имени). Однако в марте этого года мы начали регистрировать крайне любопытную рассылку, в которой персонализирован был не только текст в теле писем, но и вложенный документ. Да и сама схема была не совсем типичной — в ней жертву пытались заставить ввести корпоративные учетные данные от почты под предлогом изменений HR-политики.
      Письмо от злоумышленников: просьба ознакомиться с новыми HR-гайдлайнами
      Итак, жертва получает письмо, в котором якобы представители HR, обращаясь по имени, просят ознакомиться с изменениями HR-политики, касающимися протоколов удаленной работы, доступных рабочих льгот и стандартов безопасности. Разумеется, любому сотруднику важны изменения такого рода, курсор так и тянет к приложенному документу (в названии которого, к слову, тоже есть имя получателя). Тем более в письме такая красивая плашка, в которой сказано, что отправитель подтвержденный, сообщение пришло из листа безопасных адресатов. Но как показывает практика, именно в таких случаях к письму стоит присмотреться повнимательнее.
       
       
      View the full article
    • 49advan
      Как открыть карантин в андроид версии?
      Автор 49advan
      Старые способы не работают, банально нету вкладки сканер
    • dkhilobok
      Весенний набор на стажировку SafeBoard открыт!
      Автор dkhilobok
      Принять участие в программе SafeBoard могут учащиеся вузов Москвы и Московской области любого курса, кроме выпускного.
      В текущем наборе кандидатам доступен выбор из 17 направлений. Среди них: C, C++, Java Script, Python, С#, DevOps, iOS-разработка, исследование вредоносного ПО. При этом можно податься на параллельный отбор сразу в несколько направлений и принять финальное решение в процессе общения с командами.
      Заявки принимаются до 20 апреля на сайте проекта. Стажировка проходит в московской штаб-квартире «Лаборатории Касперского».
      В этом наборе правила изменились: чем быстрее подашь заявку, тем ближе оффер. Всё зависит только от тебя — действуй!

    • Сергей рнд
      скачал и открыл файл, зашифровались данные
      Автор Сергей рнд
      Добрый день, нужна помощь в расшифровке ,прислали счет на оплату, я даже не понял от кого и естественно открыл,после чего зашифровалось все что было на компе,а на экране вылетело сообщение об оплате,откатывал систему не помогло,сбил виндовс и дальше продолжил работу,однако хотелось бы востановить клиентскую базу)вложу архив с запиской вымогателя,так же могу прикрепиShortcut.txtFRST.txtAddition.txtть почту с которой мне писали.. не понял только как выполнить это действие??вложите в сообщение логи, собранные Farbar Recovery Scan Tool,
      максим.rar
×
×
  • Создать...