Перейти к содержанию

Открыли письмо с ENIGMA


Рекомендуемые сообщения

Добрый день! открыли письмо якобы от ФНС с html фалом и запустили его. В результате офисные файлы, pdf и базы 1С зашифрованы с расширением .enigma

Логи прилагаю.

CollectionLog-2016.06.29-14.09.zip

Ссылка на комментарий
Поделиться на другие сайты

Логи собирайте строго через консоль, а не через RDP!

 

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

Вижу, что второй раз наступаете на одни и те же грабли. Печально, что никаких выводов так и не сделали. 

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [gmsd_ru_91] => [X]
GroupPolicyScripts: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-282000379-18365224-3012209582-1002\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419342126&from=cor&uid=ST500DM002-1BD142_Z2AS96MKXXXXZ2AS96MK&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419342126&from=cor&uid=ST500DM002-1BD142_Z2AS96MKXXXXZ2AS96MK&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419342126&from=cor&uid=ST500DM002-1BD142_Z2AS96MKXXXXZ2AS96MK&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419342126&from=cor&uid=ST500DM002-1BD142_Z2AS96MKXXXXZ2AS96MK&q={searchTerms}
S2 serversu; no ImagePath
S4 BDSGRTP; no ImagePath
S1 bd0001; system32\DRIVERS\bd0001.sys [X]
S1 bd0002; system32\DRIVERS\bd0002.sys [X]
S1 BDMWrench_x64; system32\DRIVERS\BDMWrench_x64.sys [X]
2015-10-14 16:39 - 2015-10-14 16:39 - 0927422 _____ () C:\Program Files (x86)\desk.bmp
2015-10-14 16:39 - 2015-10-14 16:39 - 0149120 _____ () C:\Program Files (x86)\desk.jpg
2015-10-14 15:47 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\FUVLZMKAGW.BJY
2015-10-14 14:46 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\PCEZFBHGJA.UTR
Task: {845F2373-ECAC-4BEA-ADBD-310E9B964CBF} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {8CC337D8-FBC9-4AE1-AFFE-F0A54F7F9EE4} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {96B7244E-D974-4B7F-8E7D-E4FE3D48733E} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {97E162DC-3C13-47AA-9FE5-6DE9828402D1} - \chrome5_logon -> No File <==== ATTENTION
Task: {EE176AE7-72EA-4E99-B01F-9B5AF640C4B9} - \chrome5 -> No File <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Перезагрузите сервер


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты

 

 

2015-10-14 16:39 - 2015-10-14 16:39 - 0927422 _____ () C:\Program Files (x86)\desk.bmp

2015-10-14 16:39 - 2015-10-14 16:39 - 0149120 _____ () C:\Program Files (x86)\desk.jpg

2015-10-14 15:47 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\FUVLZMKAGW.BJY

2015-10-14 14:46 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\PCEZFBHGJA.UTR

Может и через письмо поймали. Это файлы от шифровальщика Cryakl. Заражение было 14 октября 2015 года. 

Ссылка на комментарий
Поделиться на другие сайты

 

 

 

2015-10-14 16:39 - 2015-10-14 16:39 - 0927422 _____ () C:\Program Files (x86)\desk.bmp

2015-10-14 16:39 - 2015-10-14 16:39 - 0149120 _____ () C:\Program Files (x86)\desk.jpg

2015-10-14 15:47 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\FUVLZMKAGW.BJY

2015-10-14 14:46 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\PCEZFBHGJA.UTR

Может и через письмо поймали. Это файлы от шифровальщика Cryakl. Заражение было 14 октября 2015 года. 

 

Было дело, это видимо старый мусор остался.

 

А, я понял про грабли. Да я тут без году неделя :) Это не мой косяк :)

А с .enigma что-то получится? В смысле расшифровать?

Изменено пользователем wildman123
Ссылка на комментарий
Поделиться на другие сайты

Думаю получится. Пишите запрос  http://forum.kasperskyclub.ru/index.php?showtopic=48525

Запрос создал, не подскажите, сколько примерно ожидать? ID запроса: INC000006388579

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Фишеры постоянно придумывают новые уловки и постоянно находят какие-нибудь новые сервисы, от имени которых они могут присылать фишинговые ссылки. В этот раз мы поговорим о фишинговых письмах, которые приходят от имени Docusign — самого популярного в мире сервиса для электронного подписания документов.
      Как устроены фишинговые атаки с письмами якобы от Docusign
      Атака начинается с электронного письма, обычно оформленного в стилистике Docusign. В случае данной схемы фишеры особенно не утруждают себя подделкой или маскировкой адреса, с которого отправлено письмо, поскольку в настоящих письмах от Docusign адрес отправителя может быть любым — сервис предусматривает такую кастомизацию.
      В большинстве случаев жертве сообщают о том, что требуется поставить электронную подпись на некий документ, чаще всего финансовый, точное назначение которого не вполне понятно из текста письма.
      Один из примеров фишингового письма от имени Docusign: в данном случае ссылка на фишинговую страницу находится прямо в теле письма
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Слово sextortion, образованное из слов sex и extortion (вымогательство), изначально означало шантаж при помощи компрометирующих фото и видео, которые злоумышленник получал, либо взломав устройство жертвы, либо добровольно от нее самой. Хотя эта форма преступления до сих пор существует, сегодня гораздо чаще встречаются ситуации, в которых никаких пикантных документов у шантажиста нет. Некоторые разновидности sextortion «работают» даже на тех людях, которые доподлинно знают, что компромата с их участием быть физически не может. Разберем все современные разновидности секс-шантажа и способы противодействия ему.
      «Ваша жена вам изменяет»
      Свежая разновидность вымогательства вместо стыда давит на ревность. Одному из супругов приходит e-mail о том, что некая «компания по безопасности» получила доступ (читай, взломала) ко всем данным на личных устройствах второго супруга и в этих данных есть подробные доказательства супружеской неверности. Для получения более подробной информации и архива со скачанными данными предлагается пройти по ссылке. Разумеется, на самом деле у злоумышленников нет никаких данных, кроме имен и адресов e-mail двух супругов, а по ссылке можно только расстаться со своими деньгами.
       
      View the full article
    • lowsport
    • pokrac
      От pokrac
      Давал ребенкоу поиграть в компьютер, что то скачивал, по итогу ночью открываю компьютер, а у меня все файлы с префиксом Lock. ничего не открывается, ну и смена обоев, с тг аккаунтом для решения вопроса
    • Magisky
      От Magisky
      Когда подцепил вирус я скачал kaspersky total security, запустил полную проверку и обнаружил 1500+ вирусов, затем я увидел, что каждые 5 минут мне приходит уведомление и пишет что хрому запрещен доступ к камере (я запретил доступ ко всем программам), затем игре запрещен доступ, затем программе для общения которая закрыта. Я переустановил windows и после перезагрузки я вижу 5+- окон которые открылись и закрылись быстро, я снова скачиваю kaspersky, также приходят уведомления о доступе к камере, но проблема еще в том, что kaspersky разрешает доступ к микрофону, и это нельзя запретить. Прошу помочь. Логи ниже:
       
×
×
  • Создать...