файлы зашифрованы с расширением .enigma; .1txt , enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

RSS

Сообщений: 7

Баллов: 3

Регистрация: 05.05.2016

Размещено 05.05.2016 05:17:39

Я представляю организацию ФГБНУ "ИНЦХТ".

Сотрудник открыл письмо из налоговой и все данные на сетевых дисках были зашифрованы. Чтобы расшифровать данные предлагают отправить 200$ в биткоинах на кошелек.

Прилагаю все необходимые файлы с вирусом и зашифрованными файлами.

Огромная просьба помочь в дешифровке файлов и заблокировать данный вирус.

Пароль на архив virus2016

--
С уважением, Антон Власов

--------------

для пострадавших от Enigma v 3 (1txt),
хорошая новость:
По расшифровке Enigma.1txt (а так же enigma, .{number}.enigma)
обращайтесь в техническую поддержку [email protected] при наличие лицензии на продукты ESET
Вам необходимо подготовить для антивирусной лаборатории несколько зашифрованных файлов в архиве,
ключ (E_N_I_G_M_A.RSA, или ENIGMA.RSA, или ENIGMA_NNN.RSA, в зависимости от версии шифратора)
+
лог ESET log collector

Прикрепленные файлы

vvv.rar (922.54 КБ)

Ответы

Пред. 1 ... 10 11 12 13 14 ... 28 След.

Сообщений: 3

Баллов: 1

Регистрация: 11.08.2016

Размещено 11.08.2016 10:29:38

Цитата
santy написал: Виктор, по расшифровке документов обращайтесь в техподдержку [email protected] при наличие лицензии на антивирус ESET

Спасибо большое

Сообщений: 6

Баллов: 3

Регистрация: 17.11.2015

Размещено 11.08.2016 13:05:11

Здравствуйте! Зашифровал файлы шифратор Енигма! Создал образ автозапуска!! Напишите скрипт для его очистки если он есть! Ну подскажите когда ждать дешифратор, и какая вероятность что он поможет ?

Прикрепленные файлы

1234.txt (4.4 КБ)
KOMPROMISS_2016-08-11_16-27-49.7z (753.75 КБ)

Изменено: Женя Хан - 11.08.2016 13:33:06

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 11.08.2016 13:09:27

Женя,
нужен полный образ автозапуска, не список.
смотри все по инструкции как его сделать.

[ Как создать образ автозапуска? ]

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 11.08.2016 15:06:02

Цитата
Женя Хан написал: Здравствуйте! Зашифровал файлы шифратор Енигма! Создал образ автозапуска!! Напишите скрипт для его очистки если он есть! Ну подскажите когда ждать дешифратор, и какая вероятность что он поможет ?

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.2 OFFSGNSAVE zoo %SystemDrive%\USERS\KOMPROMISS.LS\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian ;------------------------autoscript--------------------------- chklst delvir deldirex %SystemDrive%\USERS\KOMPROMISS.LS\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC regt 28 regt 29 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
OFFSGNSAVE
zoo %SystemDrive%\USERS\KOMPROMISS.LS\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian

;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\KOMPROMISS.LS\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке ждем вердикта вирлаба.

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 10.08.2016

Размещено 11.08.2016 15:38:11

Цитата

Алексей Белоглазов написал:

Цитата

santy написал:
Алексей,
по расшифровке обращайтесь в [email protected] при наличие лицензии на антивирус ESET,
расшифровка должна быть в техподдержке.

Цитата
от вас в техподдержку необходима следующая информация: файл шифратора, файл ENIGMA_NN.RSA несколько зашифрованных файлов.

если нужна помощь в очистке системы добавьте образ автозапуска.
как это сделать - смотрите по ссылке в подписи.
-----------
файл вируса удалите из вашего сообщения. на форуме он не нужен.

Залил образ можете посмотреть?

Не получил ответа

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 11.08.2016 15:47:47

Цитата
Алексей Белоглазов написал: Не получил ответа

102 сообщение
http://forum.esetnod32.ru/messages/forum35/topic13206/message94332/#message94332

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 11.08.2016

Размещено 11.08.2016 18:18:00

Добрый день.
Так же столкнулись с этой проблемой. Пользователь получил письмо, запустил файл из вложения. Теперь все документы с расширением enigma.
Прикрепляю образ автозагрузки.
Заранее благодарны.

Прикрепленные файлы

AZS2_2016-08-11_20-03-22.7z (553.01 КБ)

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 12.08.2016 04:25:12

Цитата
Vadim Stadnik написал: Добрый день. Так же столкнулись с этой проблемой. Пользователь получил письмо, запустил файл из вложения. Теперь все документы с расширением enigma. Прикрепляю образ автозагрузки. Заранее благодарны.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\USERS\AZS2\APPDATA\LOCAL\TEMP\ENIGMA.HTA del %SystemDrive%\USERS\AZS2\APPDATA\LOCAL\TEMP\ENIGMA.HTA ;------------------------autoscript--------------------------- chklst delvir delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHAMJANPIBKCCDMPOEKJIGJA%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\AZS2\APPDATA\LOCAL\TEMP\72C77E7E635F0B28BB8EC8E523DE479E.EXE deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\AZS2\APPDATA\LOCAL\TEMP\ENIGMA.HTA
del %SystemDrive%\USERS\AZS2\APPDATA\LOCAL\TEMP\ENIGMA.HTA
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHAMJANPIBKCCDMPOEKJIGJA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\AZS2\APPDATA\LOCAL\TEMP\72C77E7E635F0B28BB8EC8E523DE479E.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

Изменено: santy - 12.08.2016 04:26:25

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 13.08.2016

Размещено 13.08.2016 14:24:04

Здравствуйте, повторюсь , у меня такая же проблема, файлы зашифрованы с расширением .enigma
Помогите пожалуйста, файлик с автозагрузкой прилагаю
Зарание спасибо !!!

Прикрепленные файлы

PC_2016-08-13_20-08-18.7z (733.51 КБ)

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 13.08.2016 14:38:28

Леонид Я,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.14.0_0\СТАРТОВАЯ — ЯНДЕКС delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\94F65869FF743083262902133ED60AB0.EXE del %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\94F65869FF743083262902133ED60AB0.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\ENIGMA.HTA del %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\ENIGMA.HTA deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.14.0_0\СТАРТОВАЯ — ЯНДЕКС
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\94F65869FF743083262902133ED60AB0.EXE
del %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\94F65869FF743083262902133ED60AB0.EXE

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\ENIGMA.HTA
del %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\ENIGMA.HTA

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Пред. 1 ... 10 11 12 13 14 ... 28 След.

файлы зашифрованы с расширением *.enigma; *.1txt , enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Ответы

файлы зашифрованы с расширением .enigma; .1txt , enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/