Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Открыли письмо с ENIGMA

wildman123
 Поделиться

Рекомендуемые сообщения

wildman123

wildman123

Опубликовано
Опубликовано

Добрый день! открыли письмо якобы от ФНС с html фалом и запустили его. В результате офисные файлы, pdf и базы 1С зашифрованы с расширением .enigma

Логи прилагаю.

CollectionLog-2016.06.29-14.09.zip

mike 1

mike 1

Опубликовано
Опубликовано
Логи собирайте строго через консоль, а не через RDP!

 

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
mike 1

mike 1

Опубликовано
Опубликовано
Вижу, что второй раз наступаете на одни и те же грабли. Печально, что никаких выводов так и не сделали. 

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

HKLM-x32\...\Run: [] => [X]

HKLM-x32\...\Run: [gmsd_ru_91] => [X]

GroupPolicyScripts: Restriction <======= ATTENTION

CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

CHR HKU\S-1-5-21-282000379-18365224-3012209582-1002\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419342126&from=cor&uid=ST500DM002-1BD142_Z2AS96MKXXXXZ2AS96MK&q={searchTerms}

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419342126&from=cor&uid=ST500DM002-1BD142_Z2AS96MKXXXXZ2AS96MK&q={searchTerms}

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419342126&from=cor&uid=ST500DM002-1BD142_Z2AS96MKXXXXZ2AS96MK&q={searchTerms}

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419342126&from=cor&uid=ST500DM002-1BD142_Z2AS96MKXXXXZ2AS96MK&q={searchTerms}

S2 serversu; no ImagePath

S4 BDSGRTP; no ImagePath

S1 bd0001; system32\DRIVERS\bd0001.sys [X]

S1 bd0002; system32\DRIVERS\bd0002.sys [X]

S1 BDMWrench_x64; system32\DRIVERS\BDMWrench_x64.sys [X]

2015-10-14 16:39 - 2015-10-14 16:39 - 0927422 _____ () C:\Program Files (x86)\desk.bmp

2015-10-14 16:39 - 2015-10-14 16:39 - 0149120 _____ () C:\Program Files (x86)\desk.jpg

2015-10-14 15:47 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\FUVLZMKAGW.BJY

2015-10-14 14:46 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\PCEZFBHGJA.UTR

Task: {845F2373-ECAC-4BEA-ADBD-310E9B964CBF} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION

Task: {8CC337D8-FBC9-4AE1-AFFE-F0A54F7F9EE4} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION

Task: {96B7244E-D974-4B7F-8E7D-E4FE3D48733E} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION

Task: {97E162DC-3C13-47AA-9FE5-6DE9828402D1} - \chrome5_logon -> No File <==== ATTENTION

Task: {EE176AE7-72EA-4E99-B01F-9B5AF640C4B9} - \chrome5 -> No File <==== ATTENTION

Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION

Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION

Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Перезагрузите сервер


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

wildman123

wildman123

Опубликовано
  • Автор
Опубликовано

Про грабли это RDP? Я точно через консоль сижу, комп физически сейчас не подключен к сети.

 

Fixlog.txt

mike 1

mike 1

Опубликовано
Опубликовано

 

 

2015-10-14 16:39 - 2015-10-14 16:39 - 0927422 _____ () C:\Program Files (x86)\desk.bmp

2015-10-14 16:39 - 2015-10-14 16:39 - 0149120 _____ () C:\Program Files (x86)\desk.jpg

2015-10-14 15:47 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\FUVLZMKAGW.BJY

2015-10-14 14:46 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\PCEZFBHGJA.UTR

Может и через письмо поймали. Это файлы от шифровальщика Cryakl. Заражение было 14 октября 2015 года. 

wildman123

wildman123

Опубликовано
  • Автор
Опубликовано (изменено)

 

 

 

2015-10-14 16:39 - 2015-10-14 16:39 - 0927422 _____ () C:\Program Files (x86)\desk.bmp

2015-10-14 16:39 - 2015-10-14 16:39 - 0149120 _____ () C:\Program Files (x86)\desk.jpg

2015-10-14 15:47 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\FUVLZMKAGW.BJY

2015-10-14 14:46 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\PCEZFBHGJA.UTR

Может и через письмо поймали. Это файлы от шифровальщика Cryakl. Заражение было 14 октября 2015 года. 

 

Было дело, это видимо старый мусор остался.

 

А, я понял про грабли. Да я тут без году неделя :) Это не мой косяк :)

А с .enigma что-то получится? В смысле расшифровать?

Изменено пользователем wildman123

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • remontcompovspb
      шифровальщик 1txt, расшифровка файлов
      Автор remontcompovspb
      сотрудник открыл письмо на почте, после обновления системы на компьютере все текстовые и графические файлы приобрели формат .1txt 
      Требуется расшифровка файлов
    • beg3mot
      Помощь в расшифровке Enigma.
      Автор beg3mot
      Здравствуйте.
      Помогите пожалуйста расшифровать файлы, зашифрованные Enigma.
      Пойман еще три недели назад из "письма из ФНС".
      На момент заражения антивирусных продуктов Касперского установлено не было.
      Действующая коммерческая лицензия имеется.
      Прилагаю необходимые файлы.
      CollectionLog-2016.12.21-17.13.zip
      ENIGMA_133.RSA.rar

    • LDV
      Поймали Enigma. Прошу помощи
      Автор LDV
      Добрый день коллеги. Принес мне бухгалтер ноут с зашифрованными файлами. Есть ли возможность расшифровать файлы. Больше всего интересуют базы 1с. все файлы со стандартный расширений поменялись на 1txt.  протокол во вложении. 
      CollectionLog-2016.11.24-22.15.zip
    • gusevasonya
      Зашифрованы файлы вирусом. 1.txt
      Автор gusevasonya
      Добрый день! Зашифрованы файлы вирусом. Файлы стали с 1.txt.  Прошла по письму в электронной почте. Что можно сделать. Заранее огромное спасибо!
      CollectionLog-2016.11.22-18.45.zip
    • danileon
      Вирус зашифровал все файлы в разрешение .1txt
      Автор danileon
      Доброго времени суток. По глупости поймал вирус с почты и теперь все файлы зашифрованы. По инструкции приложил zip архив протоколов. Если нужно будет могу выслать вирусный файл который собственно я запустил, также несколько файлов которые зашифровались.. Жду ответа. Спасибо
      CollectionLog-2016.11.23-09.36.zip
×
×
  • Создать...