файлы зашифрованы с расширением .enigma; .1txt , enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

RSS

Сообщений: 7

Баллов: 3

Регистрация: 05.05.2016

Размещено 05.05.2016 05:17:39

Я представляю организацию ФГБНУ "ИНЦХТ".

Сотрудник открыл письмо из налоговой и все данные на сетевых дисках были зашифрованы. Чтобы расшифровать данные предлагают отправить 200$ в биткоинах на кошелек.

Прилагаю все необходимые файлы с вирусом и зашифрованными файлами.

Огромная просьба помочь в дешифровке файлов и заблокировать данный вирус.

Пароль на архив virus2016

--
С уважением, Антон Власов

--------------

для пострадавших от Enigma v 3 (1txt),
хорошая новость:
По расшифровке Enigma.1txt (а так же enigma, .{number}.enigma)
обращайтесь в техническую поддержку [email protected] при наличие лицензии на продукты ESET
Вам необходимо подготовить для антивирусной лаборатории несколько зашифрованных файлов в архиве,
ключ (E_N_I_G_M_A.RSA, или ENIGMA.RSA, или ENIGMA_NNN.RSA, в зависимости от версии шифратора)
+
лог ESET log collector

Прикрепленные файлы

vvv.rar (922.54 КБ)

Ответы

Пред. 1 ... 13 14 15 16 17 ... 28 След.

Сообщений: 6

Баллов: 3

Регистрация: 17.11.2015

Размещено 08.09.2016 12:46:04

Выражаю благодарность компании Eset, а так же модератору safety за техническую поддержку, в решении расшифровки Enigma! Несмотря на то что месяц ждали, все хорошо закончилось!

Сообщений: 6

Баллов: 3

Регистрация: 15.08.2016

Размещено 14.09.2016 15:42:44

Здравствуйте! Ситуация как у всех. Необходимые данные в саппорт отправил. Как грохнуть эту гадость? образ автозапуска вот:

Прикрепленные файлы

HOME-B34478827C_2016-09-13_23-56-50.7z (373.08 КБ)

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 14.09.2016 16:11:14

Цитата
Лутченко Игорь написал: Здравствуйте! Ситуация как у всех. Необходимые данные в саппорт отправил. Как грохнуть эту гадость? образ автозапуска вот:

шифратор уже неактивен, и скорее всего удален.

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АННА АЛЕКСЕЕВНА\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian zoo %SystemDrive%\PROGRAM FILES\7-ZIP\GUI_7ZS.EXE addsgn 92047E9A556AB0AB1CD447B766C81236ECD47BF86A0E34890E1D6897887B728F73806EC6CDF0C3E47D118581EBF4B257F0B1F87308DA3D5131C2B8DC6C588F20 8 infostealer zoo %SystemDrive%\PROGRAM FILES\7-ZIP SFX MAKER\RESOURCE HACKER\RESHACKER.EXE addsgn A7679B19919A7FB282915E09684A5105CD09380A76C9DF2DED6740FF50B28E7C479EE3DA6BA525482B80847712F6B505F69A18C8ED5FF32CC5300AD338733A19 8 Win32/CoinMiner.SX ;------------------------autoscript--------------------------- chklst delvir delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\АННА АЛЕКСЕЕВНА\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\DOCUMENTS AND SETTINGS\АННА АЛЕКСЕЕВНА\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\DOCUMENTS AND SETTINGS\АННА АЛЕКСЕЕВНА\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.19.0_0\СТАРТОВАЯ — ЯНДЕКС ; Java(TM) 6 Update 6 exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160060} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АННА АЛЕКСЕЕВНА\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian

zoo %SystemDrive%\PROGRAM FILES\7-ZIP\GUI_7ZS.EXE
addsgn 92047E9A556AB0AB1CD447B766C81236ECD47BF86A0E34890E1D6897887B728F73806EC6CDF0C3E47D118581EBF4B257F0B1F87308DA3D5131C2B8DC6C588F20 8 infostealer

zoo %SystemDrive%\PROGRAM FILES\7-ZIP SFX MAKER\RESOURCE HACKER\RESHACKER.EXE
addsgn A7679B19919A7FB282915E09684A5105CD09380A76C9DF2DED6740FF50B28E7C479EE3DA6BA525482B80847712F6B505F69A18C8ED5FF32CC5300AD338733A19 8 Win32/CoinMiner.SX

;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\АННА АЛЕКСЕЕВНА\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\DOCUMENTS AND SETTINGS\АННА АЛЕКСЕЕВНА\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\DOCUMENTS AND SETTINGS\АННА АЛЕКСЕЕВНА\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.19.0_0\СТАРТОВАЯ — ЯНДЕКС

; Java(TM) 6 Update 6
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160060} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке:
расшифровка по enigma есть в техподдержке, при наличие лицензии обращайтесь в [email protected]
+вопрос
когда по дате было шифрование в enigma?

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 15.08.2016

Размещено 15.09.2016 06:50:26

Цитата

santy написал:

Цитата
Лутченко Игорь написал: Здравствуйте! Ситуация как у всех. Необходимые данные в саппорт отправил. Как грохнуть эту гадость? образ автозапуска вот:

шифратор уже неактивен, и скорее всего удален.

по расшифровке:
расшифровка по enigma есть в техподдержке, при наличие лицензии обращайтесь в [email protected]
+вопрос
когда по дате было шифрование в enigma?

в саппорт уже обратился. насколько мне известно шифрование произошло 27 июня. так как меня не было, ноут законсервировали.

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 15.09.2016 06:58:16

в июне, скорее всего был еще первый вариант enigma,
в любом случае расшифровка в техподдержке есть по двум вариантам.
+
добавьте на форум несколько ваших зашифрованных файлов в архиве.

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 15.08.2016

Размещено 15.09.2016 07:12:22

Вот

Прикрепленные файлы

crypted.7z (810.06 КБ)

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 15.09.2016 07:17:26

ок.
если файл enigma.RSA был с номером, например, ENIGMA_NNN.RSA, значит это первая версия енигмы.
да и по дате шифрования видно, что это еще ранний вариант.

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 15.08.2016

Размещено 15.09.2016 07:20:23

Цитата
santy написал: ок. если файл enigma.RSA был с номером, например, ENIGMA_NNN.RSA, значит это первая версия енигмы. да и по дате шифрования видно, что это еще ранний вариант.

с номером

Сообщений: 6

Баллов: 3

Регистрация: 15.08.2016

Размещено 21.09.2016 14:19:06

Огромное спасибо модератору Santy и техподдержке за помощь в борьбе с заразой!!!

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 21.09.2016 15:26:07

Цитата
Лутченко Игорь написал: Огромное спасибо модератору Santy и техподдержке за помощь в борьбе с заразой!!!

+
конечно и вирлабу ESET.

.
и
вопрос:
я пробовал расшифровать ваши файлы (вашим ключом) двумя версиями дешифратора.
обе успешно расшифровали файлы, но первая версия не совсем правильно сформировала имя расшифрованного файла.

отсюда вопрос: откуда в зашифрованном файле появилась цифра 2 после расширения xls?
*.xls.2.enigma
это ваши исходные файлы шли с двойкой, или enigma их так шифранула?
(новая версия дешифратора уже корректно сформировала имя расшифрованного файла.)

Цитата
[2016.09.21 19:17:14.333] - INFO: Cleaning file [Лутченко\аренда кварт Фил К.xls.2.enigma] [2016.09.21 19:17:14.334] - -------------------------------------------------------------------------------- [2016.09.21 19:17:14.334] - INFO: Decrypting [Лутченко\аренда кварт Фил К.xls.2.enigma] [2016.09.21 19:17:14.337] - INFO: Cleaned

[ Как создать образ автозапуска? ]

Пред. 1 ... 13 14 15 16 17 ... 28 След.

файлы зашифрованы с расширением *.enigma; *.1txt , enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Ответы

файлы зашифрованы с расширением .enigma; .1txt , enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/