Открыли письмо с ENIGMA

[wildman123]

Добрый день! открыли письмо якобы от ФНС с html фалом и запустили его. В результате офисные файлы, pdf и базы 1С зашифрованы с расширением .enigma

Логи прилагаю.

CollectionLog-2016.06.29-14.09.zip

[mike 1]

Логи собирайте строго через консоль, а не через RDP!

 

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[wildman123]

Прикладываю отчеты.

Addition.txt

FRST.txt

[mike 1]

Вижу, что второй раз наступаете на одни и те же грабли. Печально, что никаких выводов так и не сделали. 

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

HKLM-x32\...\Run: [] => [X]

HKLM-x32\...\Run: [gmsd_ru_91] => [X]

GroupPolicyScripts: Restriction <======= ATTENTION

CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

CHR HKU\S-1-5-21-282000379-18365224-3012209582-1002\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419342126&from=cor&uid=ST500DM002-1BD142_Z2AS96MKXXXXZ2AS96MK&q={searchTerms}

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419342126&from=cor&uid=ST500DM002-1BD142_Z2AS96MKXXXXZ2AS96MK&q={searchTerms}

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419342126&from=cor&uid=ST500DM002-1BD142_Z2AS96MKXXXXZ2AS96MK&q={searchTerms}

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419342126&from=cor&uid=ST500DM002-1BD142_Z2AS96MKXXXXZ2AS96MK&q={searchTerms}

S2 serversu; no ImagePath

S4 BDSGRTP; no ImagePath

S1 bd0001; system32\DRIVERS\bd0001.sys [X]

S1 bd0002; system32\DRIVERS\bd0002.sys [X]

S1 BDMWrench_x64; system32\DRIVERS\BDMWrench_x64.sys [X]

2015-10-14 16:39 - 2015-10-14 16:39 - 0927422 _____ () C:\Program Files (x86)\desk.bmp

2015-10-14 16:39 - 2015-10-14 16:39 - 0149120 _____ () C:\Program Files (x86)\desk.jpg

2015-10-14 15:47 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\FUVLZMKAGW.BJY

2015-10-14 14:46 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\PCEZFBHGJA.UTR

Task: {845F2373-ECAC-4BEA-ADBD-310E9B964CBF} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION

Task: {8CC337D8-FBC9-4AE1-AFFE-F0A54F7F9EE4} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION

Task: {96B7244E-D974-4B7F-8E7D-E4FE3D48733E} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION

Task: {97E162DC-3C13-47AA-9FE5-6DE9828402D1} - \chrome5_logon -> No File <==== ATTENTION

Task: {EE176AE7-72EA-4E99-B01F-9B5AF640C4B9} - \chrome5 -> No File <==== ATTENTION

Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION

Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION

Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Перезагрузите сервер
  

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
  

 

 

[wildman123]

Про грабли это RDP? Я точно через консоль сижу, комп физически сейчас не подключен к сети.

 

Fixlog.txt

[mike 1]

 

 

2015-10-14 16:39 - 2015-10-14 16:39 - 0927422 _____ () C:\Program Files (x86)\desk.bmp

2015-10-14 16:39 - 2015-10-14 16:39 - 0149120 _____ () C:\Program Files (x86)\desk.jpg

2015-10-14 15:47 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\FUVLZMKAGW.BJY

2015-10-14 14:46 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\PCEZFBHGJA.UTR

Может и через письмо поймали. Это файлы от шифровальщика Cryakl. Заражение было 14 октября 2015 года. 

[wildman123]

 

 

 

2015-10-14 16:39 - 2015-10-14 16:39 - 0927422 _____ () C:\Program Files (x86)\desk.bmp

2015-10-14 16:39 - 2015-10-14 16:39 - 0149120 _____ () C:\Program Files (x86)\desk.jpg

2015-10-14 15:47 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\FUVLZMKAGW.BJY

2015-10-14 14:46 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\PCEZFBHGJA.UTR

Может и через письмо поймали. Это файлы от шифровальщика Cryakl. Заражение было 14 октября 2015 года. 

 

Было дело, это видимо старый мусор остался.

 

А, я понял про грабли. Да я тут без году неделя Это не мой косяк

А с .enigma что-то получится? В смысле расшифровать?

Изменено 29 июня, 2016 пользователем wildman123

[mike 1]

Думаю получится. Пишите запрос  http://forum.kasperskyclub.ru/index.php?showtopic=48525

[wildman123]

Думаю получится. Пишите запрос  http://forum.kasperskyclub.ru/index.php?showtopic=48525

Запрос создал, не подскажите, сколько примерно ожидать? ID запроса: INC000006388579

[mike 1]

До 2-3 рабочих суток.