файлы зашифрованы с расширением .enigma; .1txt , enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

RSS

Сообщений: 7

Баллов: 3

Регистрация: 05.05.2016

Размещено 05.05.2016 05:17:39

Я представляю организацию ФГБНУ "ИНЦХТ".

Сотрудник открыл письмо из налоговой и все данные на сетевых дисках были зашифрованы. Чтобы расшифровать данные предлагают отправить 200$ в биткоинах на кошелек.

Прилагаю все необходимые файлы с вирусом и зашифрованными файлами.

Огромная просьба помочь в дешифровке файлов и заблокировать данный вирус.

Пароль на архив virus2016

--
С уважением, Антон Власов

--------------

для пострадавших от Enigma v 3 (1txt),
хорошая новость:
По расшифровке Enigma.1txt (а так же enigma, .{number}.enigma)
обращайтесь в техническую поддержку [email protected] при наличие лицензии на продукты ESET
Вам необходимо подготовить для антивирусной лаборатории несколько зашифрованных файлов в архиве,
ключ (E_N_I_G_M_A.RSA, или ENIGMA.RSA, или ENIGMA_NNN.RSA, в зависимости от версии шифратора)
+
лог ESET log collector

Прикрепленные файлы

vvv.rar (922.54 КБ)

Ответы

Пред. 1 ... 11 12 13 14 15 ... 28 След.

Сообщений: 7

Баллов: 3

Регистрация: 13.08.2016

Размещено 14.08.2016 08:46:39

Цитата

santy написал:
Леонид Я,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код

 
;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.14.0_0\СТАРТОВАЯ — ЯНДЕКС
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\94F65869FF743083262902133ED60AB0.EXE
del %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\94F65869FF743083262902133ED60AB0.EXE

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\ENIGMA.HTA
del %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\ENIGMA.HTA

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

Доброго времени суток вам !Спасибо за помощь, старые проблемы : остались расшерения файлов типа"ОТЧЕТ ПЛАН 04.08.16-10.08.2016docx.docx.enigma" Файлы все открывает экселем но там кракозябры типа"T>є0txCб®–дС"
Новых пока не обнаружено.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.08.2016 16:36:35

Цитата
александр Венков написал: Помогите расшифровать мои документы , вот исходник "Счёт" КАСТРОФА

добавьте образ автозапуска зашифрованной системы

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 15.08.2016

Размещено 15.08.2016 17:00:40

образ автозапуска

Прикрепленные файлы

DESKTOP-NSR97VP_2016-08-15_16-55-54.7z (741.54 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.08.2016 17:12:15

Александр,
судя по образу система уже очищена от файлов шифратора.
когда было шифрование enigma?

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 15.08.2016

Размещено 15.08.2016 17:13:46

сегодня , я откатил версию системы

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.08.2016 17:43:59

Александр,
по расшифровке документов обращайтесь в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 10.08.2016

Размещено 17.08.2016 08:18:37

Подскажите, когда ожидается выход дешифровщика?

Сообщений: 2

Баллов: 1

Регистрация: 18.08.2016

Размещено 18.08.2016 19:53:41

Здравствуйте

Просим помощи в борьбе с шифровальщиком

образ приложен

Прикрепленные файлы

MICROSOF-E4E823_2016-08-18_19-35-40.7z (464.71 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.08.2016 02:15:41

Роман,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ИЛЬЯС\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian delref HTTP://WWW.22FIND.COM/NEWTAB?UTM_SOURCE=B&UTM_MEDIUM=HANP&FROM=HANP&UID=ST9250827AS_5RG0WA6DXXXX5RG0WA6D&TS=1359472358 ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\PROGRAM FILES\REAL\REALUPGRADE\REALUPGRADE.EXE delref {5C255C8A-E604-49B4-9D64-90988571CECB}\[CLSID] delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FMFNFNPMHCLLOKMKEPFFNDFLPNADJMMA\3.9.4.9_0\DEALPLY BRAZIL delref HTTP:\\WWW.22FIND.COM\?UTM_SOURCE=B&UTM_MEDIUM=HANP&FROM=HANP&UID=ST9250827AS_5RG0WA6DXXXX5RG0WA6D&TS=1359472349 deldirex %SystemDrive%\PROGRAM FILES\DEALPLY deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ИЛЬЯС\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\DEALPLY delref HTTP:\\WWW.22FIND.COM\?UTM_SOURCE=B&UTM_MEDIUM=HANP&FROM=HANP&UID=ST9250827AS_5RG0WA6DXXXX5RG0WA6D&TS=1359472361&TYPE=DESKTOPICON ; McAfee Security Scan Plus exec C:\Program Files\McAfee Security Scan\uninstall.exe ; superpromokody 1.1 exec C:\Program Files\DolkaRuIePlugin\uninst.exe ; Java(TM) 6 Update 38 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216038FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ИЛЬЯС\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

delref HTTP://WWW.22FIND.COM/NEWTAB?UTM_SOURCE=B&UTM_MEDIUM=HANP&FROM=HANP&UID=ST9250827AS_5RG0WA6DXXXX5RG0WA6D&TS=1359472358
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES\REAL\REALUPGRADE\REALUPGRADE.EXE

delref {5C255C8A-E604-49B4-9D64-90988571CECB}\[CLSID]

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FMFNFNPMHCLLOKMKEPFFNDFLPNADJMMA\3.9.4.9_0\DEALPLY BRAZIL

delref HTTP:\\WWW.22FIND.COM\?UTM_SOURCE=B&UTM_MEDIUM=HANP&FROM=HANP&UID=ST9250827AS_5RG0WA6DXXXX5RG0WA6D&TS=1359472349

deldirex %SystemDrive%\PROGRAM FILES\DEALPLY

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ИЛЬЯС\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\DEALPLY

delref HTTP:\\WWW.22FIND.COM\?UTM_SOURCE=B&UTM_MEDIUM=HANP&FROM=HANP&UID=ST9250827AS_5RG0WA6DXXXX5RG0WA6D&TS=1359472361&TYPE=DESKTOPICON

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
; superpromokody 1.1
exec C:\Program Files\DolkaRuIePlugin\uninst.exe
; Java(TM) 6 Update 38
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216038FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 18.08.2016

Размещено 19.08.2016 09:58:41

скрипт выполнен, но проблема не решена
шифратор работает - новые файлы продолжает шифровать =(
что делать?

Изменено: Роман Чистяков - 19.08.2016 09:58:58

Пред. 1 ... 11 12 13 14 15 ... 28 След.

файлы зашифрованы с расширением *.enigma; *.1txt , enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Ответы

файлы зашифрованы с расширением .enigma; .1txt , enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/