файлы зашифрованы с расширением *.enigma; *.1txt , enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

RSS
Я представляю организацию ФГБНУ "ИНЦХТ".


Сотрудник  открыл письмо из налоговой и все данные на сетевых дисках были  зашифрованы. Чтобы расшифровать данные предлагают отправить 200$ в  биткоинах на кошелек.


Прилагаю все необходимые файлы с вирусом и зашифрованными файлами.


Огромная просьба помочь в дешифровке файлов и заблокировать данный вирус.


Пароль на архив virus2016


--
С уважением, Антон Власов

--------------

для пострадавших от Enigma v 3 (1txt),
хорошая новость:
По расшифровке Enigma.1txt (а так же enigma, .{number}.enigma)
обращайтесь в техническую поддержку support@esetnod32.ru при наличие лицензии на продукты ESET
Вам необходимо подготовить для антивирусной лаборатории  несколько зашифрованных файлов в архиве,
ключ (E_N_I_G_M_A.RSA, или ENIGMA.RSA, или ENIGMA_NNN.RSA, в зависимости от версии шифратора)
+
лог ESET log collector

Ответы

Пред. 1 ... 7 8 9 10 11 ... 25 След.
Ольга Дергунова,

по очистке системы от остатков шифратора добавьте образ автозапуска системы.

по расшифровке документов, при наличие лицензии на продукт ESET обращайтесь в техподдержку support@esetnod32.ru

от вас в техподдержку необходима следующая информация:
файл шифратора,
файл ENIGMA_NN.RSA
несколько зашифрованных файлов.
Изменено: santy - 07.07.2016 17:08:47
образ автозапуска системы
Ольга,
судя по образу система уже очищена от тел шифратора, за исключением ссылки на файл шифратора.

Цитата
Полное имя                  C:\DOCUME~1\WORK\LOCALS~1\TEMP\CBD0D7C4D3051665511BAF4E666172C­9.EXE
Имя файла                   CBD0D7C4D3051665511BAF4E666172C9.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-484763869-651377827-1417001333-1003\Software\Microsoft\Windows\CurrentVersion\Run\dedbdebfc­b
dedbdebfcb                  "C:\DOCUME~1\Work\LOCALS~1\Temp\cbd0d7c4d3051665511baf4e666172c­9.exe"
---------------
поэтому вам лучше сейчас собрать необходимые файлы и отправить в техподдержку.
(если это еще не сделано)
(при наличие лицензии на продукт ESET)

если же сделано, то я могу добавить скрипт очистки от мусора в системе.
Изменено: santy - 06.07.2016 18:23:43
как собрать образ для очистки системы??
Цитата
Вадим Вадим написал:
как собрать образ для очистки системы??
в моей подписи ссылка на тему "как создать образ автозапуска"
Ораз
Вадим,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %Sys32%\NETUPDSRV.EXE
addsgn 1AA3E79A5583D98CF42B254E3143FE86C9AA77B381AC48128D9A7B84B49771C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 NetworkUpdate.mbam

zoo %Sys32%\NETHTSRV.EXE
addsgn 1ABC099A5583D98CF42B254E3143FE86C9AA77B381AC48128D9A7B04549471C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 NetworkUpdate.mbam

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\APPLICATION DATA\E53B8451-81DA-4AA3-D1C3-DA5710C770D5\E53B8451-81DA-4AA3-D1C3-DA5710C770D5.EXE
addsgn 9252772A106AC1CC0BB4544E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 14 Adware.Downware.1528 [DrWeb]

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\LOCAL SETTINGS\TEMP\ENIGMA.HTA
;------------------------autoscript---------------------------

chklst
delvir

setdns Подключение по локальной сети\4\{194E91AA-07FC-4B37-A19D-D588E524F1AC}\8.8.8.8,8.8.4.4
deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER

delref HTTPS://ESTANOS.COM/INFORM/RECORD.RGB

delref %SystemDrive%\DOCUME~1\7B5C~1\LOCALS~1\TEMP\A0C4A2A7605A88EDFAE1D9292AF3EDAE.EXE

; OffersWizard Network System Driver
exec C:\Program Files\Common Files\Config\uninstinethnfd.exe
; Weatherbar
exec MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360} /quiet
; etranslator
exec C:\Documents and Settings\Владелец\Application Data\etranslator\etranslator.exe" /uninstall
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов, при наличие лицензии на продукт ESET обращайтесь в техподдержку support@esetnod32.ru

от вас в техподдержку необходима следующая информация:
файл шифратора,
файл ENIGMA_NN.RSA
несколько зашифрованных файлов.
Тоже подхватили ENIGMA. Спасибо команде ЕSET,
подобрали дешифратор. Все восстановилось включая бухгалтерские программы. Правда на компьютере осталось много мусора (копии файлов с расширением .ENIGMA). Подскажите, как их можно удалить одним махом.  
Виктория,
что конкретно вы ходите удалить?
копии файлов *.enigma.backup_by_eset
которые остались после работы дешифратора?

можно применить такой скрипт:

Код
@ECHO OFF

FOR %%f IN (C D E ) DO call :del_copy_enigma %%f
goto eof
:del_copy_enigma

dir /B "%1:\"&& for /r "%1:\" %%i in (*.enigma.*) do (
echo "%%~fi" >>enigma1.txt
del /f /q "%%~fi"
)
:eof
ECHO.
ECHO FINISHED!


здесь C D E в командной строке IN (C D E) - это список дисков, локальных и сетевых, на которых вы хотите удалить копии файлов с расширением *.enigma.*
строки кода сохраните в файл del_copy_enigma.bat и запустите его.
Изменено: santy - 10.07.2016 03:01:24
Здравствуйте, тоже подхватили эту вирусню Энигма. Подскажите что и как мне надо сделать чтобы вы помогли мне и расшифровали все файлы?
Пред. 1 ... 7 8 9 10 11 ... 25 След.
Читают тему (гостей: 2)