Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением *.enigma; *.1txt , enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

1 2 3 4 5 ... 28 След.
RSS
 
Антон Власов
Антон Власов
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 05.05.2016
Размещено 05.05.2016 05:17:39
Я представляю организацию ФГБНУ "ИНЦХТ".


Сотрудник  открыл письмо из налоговой и все данные на сетевых дисках были  зашифрованы. Чтобы расшифровать данные предлагают отправить 200$ в  биткоинах на кошелек.


Прилагаю все необходимые файлы с вирусом и зашифрованными файлами.


Огромная просьба помочь в дешифровке файлов и заблокировать данный вирус.


Пароль на архив virus2016


--
С уважением, Антон Власов

--------------

для пострадавших от Enigma v 3 (1txt),
хорошая новость:
По расшифровке Enigma.1txt (а так же enigma, .{number}.enigma)
обращайтесь в техническую поддержку [email protected] при наличие лицензии на продукты ESET
Вам необходимо подготовить для антивирусной лаборатории  несколько зашифрованных файлов в архиве,
ключ (E_N_I_G_M_A.RSA, или ENIGMA.RSA, или ENIGMA_NNN.RSA, в зависимости от версии шифратора)
+
лог ESET log collector
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 05.05.2016 05:33:43
Антон, судя по детектированию зашифрованного файла, расширению и записке о выкупе (в ID Ransomware) - это новый шифратор coverton
Цитата
Этот вымогатель еще пока изучается.

Изучите топик для дополнительной информации. Образцы зашифрованных и  подозрительных файлов понадобятся для дальнейшего изучения.   Опознан как
  • ransomnote_filename: enigma_encr.txt
  • sample_extension: .enigma
Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.   Опознан как
  • sample_extension: .enigma
Кликните тут для подробностей о Coverton
детект исполняемого файла здесь
https://www.virustotal.com/ru/file/2ff9c98d49fa495842de6fd4e6300b756558a7dd6fbb9c0b­00d3a4875a75c686/...

если сохранилось письмо с вредоносным скриптом - перешлите в почту [email protected] с паролем infected
+
если локализован комп, на котором был запущен шифратор, добавьте образ автозапуска системы.
Изменено: santy - 05.05.2016 05:51:31
[ Как создать образ автозапуска? ]
 
Антон Власов
Антон Власов
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 05.05.2016
Размещено 05.05.2016 06:04:18
Письмо переслал вложение html, почта говорит что вирусов нет
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 05.05.2016 06:11:31
т.е. исходное вложение в сообщении было в формате html?

(по поводу детектирования шифратора как coverton, возможно здесь может быть и совпадение расширений зашифрованных файлов)
Изменено: santy - 05.05.2016 06:13:45
[ Как создать образ автозапуска? ]
 
Антон Власов
Антон Власов
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 05.05.2016
Размещено 05.05.2016 06:34:13
Отправил вложение в архиве с паролем infected+
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 05.05.2016 06:35:06
как минимум, надо проводить работу с сотрудниками (ликбез по безопасности), чтобы не доступали таких вещей:
запускаем вложение из почты в формате html, сохраняем исполняемый файл *.js, и затем запускаем скаченный файл.

воистину, народ вообще не имеет представление о расширениях файлов, для них существует только название документа.

[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 05.05.2016 06:38:03
Цитата
Антон Власов написал:
Отправил вложение в архиве с паролем infected+
спасибо, уже посмотрел на VM, как это работает
желательно все таки проверить образ автозапуска компа, с которого был запуск скрипта.

и при наличие лицензии на антивирус ESET отправить архив с вложением в техподдержку [email protected] для анализа шифратора, и возможности расшифровки файлов.
[ Как создать образ автозапуска? ]
 
Антон Власов
Антон Власов
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 05.05.2016
Размещено 05.05.2016 06:49:00
Лицензия есть на ИНЦХТ, запросы на почту уже отправляли неоднократно, молчание ...

 Имя пользователя (логин):   EAV-0154257983  
 Количество пользователей:   147  
 Дата окончания действия лицензии:   18/02/17
 
Антон Власов
Антон Власов
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 05.05.2016
Размещено 05.05.2016 06:52:18
добавляю образ
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 05.05.2016 07:05:58
по очистке системы выполните скрипт
(остался еще ключ шифратора в автозапуске, хотя сам файл видимо удален уже)


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNM...

delref 3B788CD6389FAA6A3D14C17153F5CE86.EXE

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов напишите в [email protected], тем более, что у вас наверняка корпоративный ESET Endpoit установлен.
Изменено: santy - 05.05.2016 07:06:29
[ Как создать образ автозапуска? ]
 
1 2 3 4 5 ... 28 След.
Читают тему