kenzo Опубликовано 10 августа, 2016 Опубликовано 10 августа, 2016 Здравствуйте. По электронной почте получили письмо с вложением файла с расширением .html Открыли и в итоге на рабочем столе: Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи.Файлы зашифрованны алгоритмом AES 128(https://ru.wikipedia...yption_Standard) с приватным ключем,который знаем только мы. Зашифрованные файлы имеют расширение .ENIGMA . Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.Если хотите получить файлы обратно:1)Установите Tor Browser https://www.torproject.org/2)Найдите на рабочем столе ключ для доступа на сайт ENIGMA_(номер вашего ключа).RSA3)Перейдите на сайт http://f6lohswy737xq34e.onionв тор-браузере и авторизуйтесь с помощью ENIGMA_(номер вашего ключа).RSA 4)Следуйте инструкциям на сайте и скачайте дешифраторЕсли основной сайт будет недоступен попробуйте http://ohj63tmbsod42v3d.onion/ Все файлы зашифрованы. Работать не можем. Пожалуйста помогите дешифровать файлы. С уважением Госжилинспекция Республики Мордовия. CollectionLog-2016.08.10-15.25.zip
thyrex Опубликовано 10 августа, 2016 Опубликовано 10 августа, 2016 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\System32\Drivers\BeTwinSystemVS.sys',''); QuarantineFile('c:\users\пользователь\appdata\local\temp\630613A4-A3138BC4-133B41C-7B9C53FC\P0RFcJjU.exe',''); SetServiceStart('BeTwinService', 4); DeleteService('BeTwinService'); TerminateProcessByName('c:\windows\system32\betwinservicevs.exe'); QuarantineFile('c:\windows\system32\betwinservicevs.exe',''); DeleteFile('c:\windows\system32\betwinservicevs.exe','32'); DeleteFile('C:\Program Files\SmartTweak Software\SpeedUpMyComputer\SpeedUpMyComputer.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SpeedUpMyComputer'); DeleteFile('c:\users\пользователь\appdata\local\temp\630613A4-A3138BC4-133B41C-7B9C53FC\P0RFcJjU.exe','32'); DeleteFile('C:\Windows\system32\Tasks\MailRuUpdater','32'); DeleteFile('C:\Windows\system32\Tasks\MailRuUpdateTask','32'); DeleteFile('C:\Windows\System32\Drivers\BeTwinSystemVS.sys','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
kenzo Опубликовано 11 августа, 2016 Автор Опубликовано 11 августа, 2016 [KLAN-4815697942] Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru" Какой пароль от архива я не знаю, что бы повторно заархивировать файлы и переслать. Лог, после выполнения скрипта в AVZ/ CollectionLog-2016.08.11-10.06.zip
thyrex Опубликовано 11 августа, 2016 Опубликовано 11 августа, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
kenzo Опубликовано 11 августа, 2016 Автор Опубликовано 11 августа, 2016 Файлы после сканирования. Desktop.rar
thyrex Опубликовано 11 августа, 2016 Опубликовано 11 августа, 2016 C:\Users\Пользователь\AppData\Local\Temp\532cc812e9d85ccbf50f24d67a257c0a.exe заархивируйте с паролем virus, выложите на Яндекс диск и пришлите ссылку мне в личные сообщения Нехило прошлась ENIGMA по диску С. 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File Toolbar: HKU\S-1-5-21-4217657453-4292982366-274589870-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File Toolbar: HKU\S-1-5-21-4217657453-4292982366-274589870-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF Extension: No Name - C:\Users\Пользователь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\dmbarff@westbyte.com [2013-10-30] [not signed] CHR HKLM\...\Chrome\Extension: [bgknpfancpeamejmcooedljjnaddldhg] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [bgomnbpelpcdicbnicimghcecemjpbef] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [cegdomhocaeoedbdpfolmgjkjaijfomo] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [clpdgmdkdnijjbgmnajolnbnjejoeogm] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [dhngkpgdbpbkopndlpkicfaiffphdkbo] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [gndaciceccgapjhpniecknjlmmlanaem] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [kppacdmmddediahklmcgkgdhhoojemmd] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [lanabbpahpjnaljebnpgkjemcbkepiak] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [odkmedfomghphdnmmemhkpoanggcfbbe] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - hxxps://clients2.google.com/service/update2/crx S3 BeTwinProxy; C:\Windows\System32\BeTwinProxyVS.exe [97856 2013-09-06] (ThinSoft Pte Ltd.) C:\Windows\System32\BeTwinProxyVS.exe C:\Users\Пользователь\AppData\Local\Temp\532cc812e9d85ccbf50f24d67a257c0a.exe C:\Users\Пользователь\AppData\Local\Temp\amigoBrowser.exe AlternateDataStreams: C:\Users\Пользователь\Local Settings:wa [146] AlternateDataStreams: C:\Users\Пользователь\AppData\Local:wa [146] AlternateDataStreams: C:\Users\Пользователь\AppData\Local\Application Data:wa [146] Task: {BF3C41DB-C5F3-4B2E-AAB9-E39ED0563BC1} - \MailRuUpdateTask -> No File <==== ATTENTION Task: {5B9B3103-84B8-4DD8-840F-584496854181} - \MailRuUpdater -> No File <==== ATTENTION Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера.
thyrex Опубликовано 17 августа, 2016 Опубликовано 17 августа, 2016 Чистка мусора завершена Пишите запрос в ТП http://forum.kasperskyclub.ru/index.php?showtopic=48525 К запросу приложите образцы шифрованных файлов и файл ENIGMA.RSA с Рабочего стола
DGladyshev Опубликовано 18 августа, 2016 Опубликовано 18 августа, 2016 Полученный файл Добрый день файлы получилось расшифровать ???
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти