Страницы: 1 2 3 4 5 ... 25 След.
RSS
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
 
Я представляю организацию ФГБНУ "ИНЦХТ".


Сотрудник  открыл письмо из налоговой и все данные на сетевых дисках были  зашифрованы. Чтобы расшифровать данные предлагают отправить 200$ в  биткоинах на кошелек.


Прилагаю все необходимые файлы с вирусом и зашифрованными файлами.


Огромная просьба помочь в дешифровке файлов и заблокировать данный вирус.


Пароль на архив virus2016


--
С уважением, Антон Власов

--------------

для пострадавших от Enigma v 3 (1txt),
хорошая новость:
По расшифровке Enigma.1txt (а так же enigma, .{number}.enigma)
обращайтесь в техническую поддержку support@esetnod32.ru при наличие лицензии на продукты ESET
Вам необходимо подготовить для антивирусной лаборатории  несколько зашифрованных файлов в архиве,
ключ (E_N_I_G_M_A.RSA, или ENIGMA.RSA, или ENIGMA_NNN.RSA, в зависимости от версии шифратора)
+
лог ESET log collector
 
Антон, судя по детектированию зашифрованного файла, расширению и записке о выкупе (в ID Ransomware) - это новый шифратор coverton
Цитата
Этот вымогатель еще пока изучается.

Изучите топик для дополнительной информации. Образцы зашифрованных и  подозрительных файлов понадобятся для дальнейшего изучения.   Опознан как
  • ransomnote_filename: enigma_encr.txt
  • sample_extension: .enigma
Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.   Опознан как
  • sample_extension: .enigma
Кликните тут для подробностей о Coverton
детект исполняемого файла здесь
https://www.virustotal.com/ru/file/2ff9c98d49fa495842de6fd4e6300b756558a7dd6fbb9c0b­00d3a4875a75c686/...

если сохранилось письмо с вредоносным скриптом - перешлите в почту safety@chklst.ru с паролем infected
+
если локализован комп, на котором был запущен шифратор, добавьте образ автозапуска системы.
Изменено: santy - 05.05.2016 05:51:31
 
Письмо переслал вложение html, почта говорит что вирусов нет
 
т.е. исходное вложение в сообщении было в формате html?

(по поводу детектирования шифратора как coverton, возможно здесь может быть и совпадение расширений зашифрованных файлов)
Изменено: santy - 05.05.2016 06:13:45
 
Отправил вложение в архиве с паролем infected+
 
как минимум, надо проводить работу с сотрудниками (ликбез по безопасности), чтобы не доступали таких вещей:
запускаем вложение из почты в формате html, сохраняем исполняемый файл *.js, и затем запускаем скаченный файл.

воистину, народ вообще не имеет представление о расширениях файлов, для них существует только название документа.

 
Цитата
Антон Власов написал:
Отправил вложение в архиве с паролем infected+
спасибо, уже посмотрел на VM, как это работает
желательно все таки проверить образ автозапуска компа, с которого был запуск скрипта.

и при наличие лицензии на антивирус ESET отправить архив с вложением в техподдержку support@esetnod32.ru для анализа шифратора, и возможности расшифровки файлов.
 
Лицензия есть на ИНЦХТ, запросы на почту уже отправляли неоднократно, молчание ...

 Имя пользователя (логин):   EAV-0154257983  
 Количество пользователей:   147  
 Дата окончания действия лицензии:   18/02/17
 
добавляю образ
 
по очистке системы выполните скрипт
(остался еще ключ шифратора в автозапуске, хотя сам файл видимо удален уже)


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNM...

delref 3B788CD6389FAA6A3D14C17153F5CE86.EXE

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов напишите в support@esetnod32.ru, тем более, что у вас наверняка корпоративный ESET Endpoit установлен.
Изменено: santy - 05.05.2016 07:06:29
Страницы: 1 2 3 4 5 ... 25 След.
Читают тему (гостей: 2)