файлы зашифрованы с расширением .enigma; .1txt , enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

RSS

Сообщений: 7

Баллов: 3

Регистрация: 05.05.2016

Размещено 05.05.2016 05:17:39

Я представляю организацию ФГБНУ "ИНЦХТ".

Сотрудник открыл письмо из налоговой и все данные на сетевых дисках были зашифрованы. Чтобы расшифровать данные предлагают отправить 200$ в биткоинах на кошелек.

Прилагаю все необходимые файлы с вирусом и зашифрованными файлами.

Огромная просьба помочь в дешифровке файлов и заблокировать данный вирус.

Пароль на архив virus2016

--
С уважением, Антон Власов

--------------

для пострадавших от Enigma v 3 (1txt),
хорошая новость:
По расшифровке Enigma.1txt (а так же enigma, .{number}.enigma)
обращайтесь в техническую поддержку [email protected] при наличие лицензии на продукты ESET
Вам необходимо подготовить для антивирусной лаборатории несколько зашифрованных файлов в архиве,
ключ (E_N_I_G_M_A.RSA, или ENIGMA.RSA, или ENIGMA_NNN.RSA, в зависимости от версии шифратора)
+
лог ESET log collector

Прикрепленные файлы

vvv.rar (922.54 КБ)

Ответы

Пред. 1 ... 3 4 5 6 7 ... 28 След.

Сообщений: 1

Регистрация: 27.06.2016

Размещено 27.06.2016 23:02:53

Установлен лицензионный ESET NOD 9 Антивирус с последними базами. Сегодня пришло письмо и все зашифровало enigma.
Каковы дальнейшие действия? Забыть про данные? Как так то...

Сообщений: 1

Регистрация: 28.06.2016

Размещено 28.06.2016 00:54:28

Здравствуйте. Та же проблема. Какое-то решение есть?

Сообщений: 4

Баллов: 2

Регистрация: 22.06.2016

Размещено 28.06.2016 03:06:54

Доброго времени суток!
Уважаемый santy, поймали шифровальщик .enigma , помогите с лечением
образ

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.06.2016 03:20:27

Цитата
сергей Кандрин написал: вот файл для примера если получится хотя бы его расшифровать , буду крайне благодарен https://yadi.sk/d/LjXB9xNisq3w3

это enigma
добавьте образ автозапуска с зашифрованной системы

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 06.10.2015

Размещено 28.06.2016 03:20:32

Вчера пришло письмо, сотрудник открыл (как у многих тут), итог, энигма. Endpoint Antivirus 5 со свежими базами не спас. Вчера же отправил запрос в ТП. Жду.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.06.2016 03:21:18

Цитата
Сергей Жидков написал: Вчера пришло письмо, сотрудник открыл (как у многих тут), итог, энигма. Endpoint Antivirus 5 со свежими базами не спас. Вчера же отправил запрос в ТП. Жду.

добавьте образ автозапуска зашифрованной системы

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 06.10.2015

Размещено 28.06.2016 03:47:00

Вот образ.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.06.2016 03:52:43

Цитата
Михаил Борисович написал: Доброго времени суток! Уважаемый santy , поймали шифровальщик .enigma , помогите с лечением образ

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGBGNHMFBCIFPKJOFOOJFPLMFKMAIADN%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\FILESMASH deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218 delref %Sys32%\DRIVERS\TSSKX64.SYS del %Sys32%\DRIVERS\TSSKX64.SYS delref %SystemDrive%\USERS\NATALIA PETROVNA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.25_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\NATALIA PETROVNA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN\4.0.25_0\ПОИСК MAIL.RU deldirex %SystemDrive%\USERS\NATALIA PETROVNA\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGBGNHMFBCIFPKJOFOOJFPLMFKMAIADN%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\FILESMASH

deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218

delref %Sys32%\DRIVERS\TSSKX64.SYS
del %Sys32%\DRIVERS\TSSKX64.SYS

delref %SystemDrive%\USERS\NATALIA PETROVNA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.25_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\NATALIA PETROVNA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN\4.0.25_0\ПОИСК MAIL.RU
deldirex %SystemDrive%\USERS\NATALIA PETROVNA\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.06.2016 03:56:45

Цитата
Сергей Жидков написал: Вот образ .

Код
;uVS v3.87.3 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE addsgn 1A92C69A5583D98CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 enigma zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\TEMP\7BCE52B52919002BBF0C3083284C3357.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\TEMP\ENIGMA.HTA delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\TEMP\ENIGMA.HTA ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
addsgn 1A92C69A5583D98CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 enigma

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\TEMP\7BCE52B52919002BBF0C3083284C3357.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\TEMP\ENIGMA.HTA
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\TEMP\ENIGMA.HTA
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 06.10.2015

Размещено 28.06.2016 04:07:49

Цитата

santy написал:

Цитата
Сергей Жидков написал: Вот образ .

по очистке системы выполните:

------------

Я буду менять WinXP на Win8. Мне главное расшифровать файлы. Полностью отключил HDD.

Пред. 1 ... 3 4 5 6 7 ... 28 След.

файлы зашифрованы с расширением *.enigma; *.1txt , enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Ответы

файлы зашифрованы с расширением .enigma; .1txt , enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/