Прошу помочь расшифровать файлы .enigma

[kenzo]

Здравствуйте.

По электронной почте получили письмо с вложением файла  с расширением .html

 

Открыли и в итоге на рабочем столе:

 

 

Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи.
Файлы зашифрованны алгоритмом AES 128(https://ru.wikipedia...yption_Standard) с приватным ключем,который знаем только мы. 
Зашифрованные файлы имеют расширение .ENIGMA . Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.

Если хотите получить файлы обратно:

1)Установите Tor Browser https://www.torproject.org/
2)Найдите на рабочем столе ключ для доступа на сайт ENIGMA_(номер вашего ключа).RSA
3)Перейдите на сайт http://f6lohswy737xq34e.onionв тор-браузере и авторизуйтесь с помощью ENIGMA_(номер вашего ключа).RSA 
4)Следуйте инструкциям на сайте и скачайте дешифратор


Если основной сайт будет недоступен попробуйте http://ohj63tmbsod42v3d.onion/  

 

 

Все файлы зашифрованы. Работать не можем. Пожалуйста помогите дешифровать файлы.

С уважением Госжилинспекция Республики Мордовия.

 

CollectionLog-2016.08.10-15.25.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\System32\Drivers\BeTwinSystemVS.sys','');
 QuarantineFile('c:\users\пользователь\appdata\local\temp\630613A4-A3138BC4-133B41C-7B9C53FC\P0RFcJjU.exe','');
 SetServiceStart('BeTwinService', 4);
 DeleteService('BeTwinService');
 TerminateProcessByName('c:\windows\system32\betwinservicevs.exe');
 QuarantineFile('c:\windows\system32\betwinservicevs.exe','');
 DeleteFile('c:\windows\system32\betwinservicevs.exe','32');
 DeleteFile('C:\Program Files\SmartTweak Software\SpeedUpMyComputer\SpeedUpMyComputer.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SpeedUpMyComputer');
 DeleteFile('c:\users\пользователь\appdata\local\temp\630613A4-A3138BC4-133B41C-7B9C53FC\P0RFcJjU.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\MailRuUpdater','32');
 DeleteFile('C:\Windows\system32\Tasks\MailRuUpdateTask','32');
 DeleteFile('C:\Windows\System32\Drivers\BeTwinSystemVS.sys','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

[kenzo]

[KLAN-4815697942]

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   

В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ru http://www.viruslist.ru"

 

 

Какой пароль от архива я не знаю, что бы повторно заархивировать файлы и переслать.

 

 

 

Лог, после выполнения скрипта в  AVZ/

CollectionLog-2016.08.11-10.06.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[kenzo]

Файлы после сканирования. 

Desktop.rar

[thyrex]

C:\Users\Пользователь\AppData\Local\Temp\532cc812e9d85ccbf50f24d67a257c0a.exe заархивируйте с паролем virus, выложите на Яндекс диск и пришлите ссылку мне в личные сообщения

 

Нехило прошлась ENIGMA по диску С.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-4217657453-4292982366-274589870-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-4217657453-4292982366-274589870-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
FF Extension: No Name - C:\Users\Пользователь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\dmbarff@westbyte.com [2013-10-30] [not signed]
CHR HKLM\...\Chrome\Extension: [bgknpfancpeamejmcooedljjnaddldhg] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [bgomnbpelpcdicbnicimghcecemjpbef] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [cegdomhocaeoedbdpfolmgjkjaijfomo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [clpdgmdkdnijjbgmnajolnbnjejoeogm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [dhngkpgdbpbkopndlpkicfaiffphdkbo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gndaciceccgapjhpniecknjlmmlanaem] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [kppacdmmddediahklmcgkgdhhoojemmd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lanabbpahpjnaljebnpgkjemcbkepiak] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [odkmedfomghphdnmmemhkpoanggcfbbe] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - hxxps://clients2.google.com/service/update2/crx
S3 BeTwinProxy; C:\Windows\System32\BeTwinProxyVS.exe [97856 2013-09-06] (ThinSoft Pte Ltd.)
C:\Windows\System32\BeTwinProxyVS.exe
C:\Users\Пользователь\AppData\Local\Temp\532cc812e9d85ccbf50f24d67a257c0a.exe
C:\Users\Пользователь\AppData\Local\Temp\amigoBrowser.exe
AlternateDataStreams: C:\Users\Пользователь\Local Settings:wa [146]
AlternateDataStreams: C:\Users\Пользователь\AppData\Local:wa [146]
AlternateDataStreams: C:\Users\Пользователь\AppData\Local\Application Data:wa [146]
Task: {BF3C41DB-C5F3-4B2E-AAB9-E39ED0563BC1} - \MailRuUpdateTask -> No File <==== ATTENTION
Task: {5B9B3103-84B8-4DD8-840F-584496854181} - \MailRuUpdater -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[kenzo]

Полученный файл

Fixlog.txt

[thyrex]

Чистка мусора завершена

 

Пишите запрос в ТП http://forum.kasperskyclub.ru/index.php?showtopic=48525

К запросу приложите образцы шифрованных файлов и файл ENIGMA.RSA с Рабочего стола

[DGladyshev]

Полученный файл

Добрый день файлы получилось расшифровать ???