файлы зашифрованы с расширением *.enigma; *.1txt , enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

RSS
Я представляю организацию ФГБНУ "ИНЦХТ".


Сотрудник  открыл письмо из налоговой и все данные на сетевых дисках были  зашифрованы. Чтобы расшифровать данные предлагают отправить 200$ в  биткоинах на кошелек.


Прилагаю все необходимые файлы с вирусом и зашифрованными файлами.


Огромная просьба помочь в дешифровке файлов и заблокировать данный вирус.


Пароль на архив virus2016


--
С уважением, Антон Власов

--------------

для пострадавших от Enigma v 3 (1txt),
хорошая новость:
По расшифровке Enigma.1txt (а так же enigma, .{number}.enigma)
обращайтесь в техническую поддержку support@esetnod32.ru при наличие лицензии на продукты ESET
Вам необходимо подготовить для антивирусной лаборатории  несколько зашифрованных файлов в архиве,
ключ (E_N_I_G_M_A.RSA, или ENIGMA.RSA, или ENIGMA_NNN.RSA, в зависимости от версии шифратора)
+
лог ESET log collector

Ответы

Как найти ключ шифратора в автозапуске? Скажите пожалуйста путь и ссылку на файл. Я могу попробовать восстановить файл
Работаю через загрузочную флэшку, на компе не все файлы зашифровались.
имею ввиду, ключ автозапуска, в который прописан был запуск исполняемого тела шифратора 3B788CD6389FAA6A3D14C17153F5CE86.EXE.
полный путь на этот файл не указан в реестре, возможно ошибка вирусописателей, по идее после перезагрузки, это тело уже не запустится,

вот этот ключ в реестре
Цитата
Полное имя                  3B788CD6389FAA6A3D14C17153F5CE86.EXE
Имя файла                   3B788CD6389FAA6A3D14C17153F5CE86.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                           
Ссылки на объект            
Ссылка                      HKLM\mwgwfxopw\Software\Microsoft\Windows\CurrentVersion\Run­\MyProgram
MyProgram                   3b788cd6389faa6a3d14c17153f5ce86.exe
                           
------------------
вообще можно с winpe&uVS поработать, тогда  могу переписать скрипт, и выдать его вам  в виде файла.

+
судя по зашифрованным файлам - последние 16 байт одинаковы у всех файлов в каждом случае шифрования.
Изменено: santy - 05.05.2016 09:53:02
описание Enigma добавили на BleepingComputer
http://www.bleepingcomputer.com/news/security/the-enigma-ransomware-targets-russian-speaking-users/

тема поддержки для пользователей создана на BleepingComputer
http://www.bleepingcomputer.com/forums/t/613452/enigma-ransomware-support-and-help-topic-enigma-enig...
Изменено: santy - 10.05.2016 05:15:25
Такая же фигня, вчера сотрудник получил почту html - запустил, получил .js - запустил получил .exe - запустил итог -- 3 ГБ документов с расширением .enigma.
Антивирус сработал - но потом, что делать посоветуйте.
Если надо есть оригинал письма на почте. Могу прислать.
Сергей,
вышлите полученное письмо в архиве с паролем infected в почту safety@chklst.ru
+
проверьте наличие теневых копий
Теневых копий увы нет.
Здравствуйте, я it-специалист компании ТОО Адельфи, сотрудник открыл почту, скачал файл и запустил его, после чего у файлов добавилось расширение .enigma
В архиве все что было после действий вируса. RSA ключ, какойто веб архив, исполняемый файл, и 2 зараженных файла с оригиналами. Пароль на архив Vir20166
Яков,
отправьте файлы в support@esetnod32.ru при наличие лицензии на наш антивирус.
по enigma ответа от вирлаба пока нет, файлы отправлены две недели назад.
----------
+
проверьте наличие теневых копий.
Изменено: santy - 26.05.2016 07:58:37
Я так понимаю тишина означит, что помощи в рашифровке .EnigMA не будет???  :(
Читают тему (гостей: 2)