файлы зашифрованы с расширением .enigma; .1txt , enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

RSS

Сообщений: 7

Баллов: 3

Регистрация: 05.05.2016

Размещено 05.05.2016 05:17:39

Я представляю организацию ФГБНУ "ИНЦХТ".

Сотрудник открыл письмо из налоговой и все данные на сетевых дисках были зашифрованы. Чтобы расшифровать данные предлагают отправить 200$ в биткоинах на кошелек.

Прилагаю все необходимые файлы с вирусом и зашифрованными файлами.

Огромная просьба помочь в дешифровке файлов и заблокировать данный вирус.

Пароль на архив virus2016

--
С уважением, Антон Власов

--------------

для пострадавших от Enigma v 3 (1txt),
хорошая новость:
По расшифровке Enigma.1txt (а так же enigma, .{number}.enigma)
обращайтесь в техническую поддержку [email protected] при наличие лицензии на продукты ESET
Вам необходимо подготовить для антивирусной лаборатории несколько зашифрованных файлов в архиве,
ключ (E_N_I_G_M_A.RSA, или ENIGMA.RSA, или ENIGMA_NNN.RSA, в зависимости от версии шифратора)
+
лог ESET log collector

Прикрепленные файлы

vvv.rar (922.54 КБ)

Ответы

Пред. 1 ... 7 8 9 10 11 ... 28 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 06.07.2016 17:18:14

Ольга Дергунова,

по очистке системы от остатков шифратора добавьте образ автозапуска системы.

по расшифровке документов, при наличие лицензии на продукт ESET обращайтесь в техподдержку [email protected]

от вас в техподдержку необходима следующая информация:
файл шифратора,
файл ENIGMA_NN.RSA
несколько зашифрованных файлов.

Изменено: santy - 07.07.2016 17:08:47

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 30.06.2016

Размещено 06.07.2016 18:14:27

образ автозапуска системы

Прикрепленные файлы

WORKPC_2016-07-06_22-08-31.TXT (5.19 МБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 06.07.2016 18:23:24

Ольга,
судя по образу система уже очищена от тел шифратора, за исключением ссылки на файл шифратора.

Цитата
Полное имя C:\DOCUME~1\WORK\LOCALS~1\TEMP\CBD0D7C4D3051665511BAF4E666172C9.EXE Имя файла CBD0D7C4D3051665511BAF4E666172C9.EXE Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске Удовлетворяет критериям RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)] Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Инф. о файле Не удается найти указанный файл. Цифр. подпись проверка не производилась Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов Ссылки на объект Ссылка HKEY_USERS\S-1-5-21-484763869-651377827-1417001333-1003\Software\Microsoft\Windows\CurrentVersion\Run\dedbdebfcb dedbdebfcb "C:\DOCUME~1\Work\LOCALS~1\Temp\cbd0d7c4d3051665511baf4e666172c9.exe"

Цитата

Полное имя C:\DOCUME~1\WORK\LOCALS~1\TEMP\CBD0D7C4D3051665511BAF4E666172C9.EXE
Имя файла CBD0D7C4D3051665511BAF4E666172C9.EXE
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле Не удается найти указанный файл.
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-484763869-651377827-1417001333-1003\Software\Microsoft\Windows\CurrentVersion\Run\dedbdebfcb
dedbdebfcb "C:\DOCUME~1\Work\LOCALS~1\Temp\cbd0d7c4d3051665511baf4e666172c9.exe"

---------------
поэтому вам лучше сейчас собрать необходимые файлы и отправить в техподдержку.
(если это еще не сделано)
(при наличие лицензии на продукт ESET)

если же сделано, то я могу добавить скрипт очистки от мусора в системе.

Изменено: santy - 06.07.2016 18:23:43

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 17.03.2016

Размещено 07.07.2016 15:19:22

как собрать образ для очистки системы??

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 07.07.2016 16:05:54

Цитата
Вадим Вадим написал: как собрать образ для очистки системы??

в моей подписи ссылка на тему "как создать образ автозапуска"

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 17.03.2016

Размещено 07.07.2016 16:38:00

Ораз

Прикрепленные файлы

PC1_2016-07-07_16-28-08.7z (311.55 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 07.07.2016 17:08:23

Вадим,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %Sys32%\NETUPDSRV.EXE addsgn 1AA3E79A5583D98CF42B254E3143FE86C9AA77B381AC48128D9A7B84B49771C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 NetworkUpdate.mbam zoo %Sys32%\NETHTSRV.EXE addsgn 1ABC099A5583D98CF42B254E3143FE86C9AA77B381AC48128D9A7B04549471C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 NetworkUpdate.mbam zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\APPLICATION DATA\E53B8451-81DA-4AA3-D1C3-DA5710C770D5\E53B8451-81DA-4AA3-D1C3-DA5710C770D5.EXE addsgn 9252772A106AC1CC0BB4544E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 14 Adware.Downware.1528 [DrWeb] delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\LOCAL SETTINGS\TEMP\ENIGMA.HTA ;------------------------autoscript--------------------------- chklst delvir setdns Подключение по локальной сети\4\{194E91AA-07FC-4B37-A19D-D588E524F1AC}\8.8.8.8,8.8.4.4 deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER delref HTTPS://ESTANOS.COM/INFORM/RECORD.RGB delref %SystemDrive%\DOCUME~1\7B5C~1\LOCALS~1\TEMP\A0C4A2A7605A88EDFAE1D9292AF3EDAE.EXE ; OffersWizard Network System Driver exec C:\Program Files\Common Files\Config\uninstinethnfd.exe ; Weatherbar exec MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360} /quiet ; etranslator exec C:\Documents and Settings\Владелец\Application Data\etranslator\etranslator.exe" /uninstall deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %Sys32%\NETUPDSRV.EXE
addsgn 1AA3E79A5583D98CF42B254E3143FE86C9AA77B381AC48128D9A7B84B49771C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 NetworkUpdate.mbam

zoo %Sys32%\NETHTSRV.EXE
addsgn 1ABC099A5583D98CF42B254E3143FE86C9AA77B381AC48128D9A7B04549471C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 NetworkUpdate.mbam

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\APPLICATION DATA\E53B8451-81DA-4AA3-D1C3-DA5710C770D5\E53B8451-81DA-4AA3-D1C3-DA5710C770D5.EXE
addsgn 9252772A106AC1CC0BB4544E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 14 Adware.Downware.1528 [DrWeb]

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\LOCAL SETTINGS\TEMP\ENIGMA.HTA
;------------------------autoscript---------------------------

chklst
delvir

setdns Подключение по локальной сети\4\{194E91AA-07FC-4B37-A19D-D588E524F1AC}\8.8.8.8,8.8.4.4
deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER

delref HTTPS://ESTANOS.COM/INFORM/RECORD.RGB

delref %SystemDrive%\DOCUME~1\7B5C~1\LOCALS~1\TEMP\A0C4A2A7605A88EDFAE1D9292AF3EDAE.EXE

; OffersWizard Network System Driver
exec C:\Program Files\Common Files\Config\uninstinethnfd.exe
; Weatherbar
exec MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360} /quiet
; etranslator
exec C:\Documents and Settings\Владелец\Application Data\etranslator\etranslator.exe" /uninstall
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов, при наличие лицензии на продукт ESET обращайтесь в техподдержку [email protected]

от вас в техподдержку необходима следующая информация:
файл шифратора,
файл ENIGMA_NN.RSA
несколько зашифрованных файлов.

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 10.07.2016

Размещено 10.07.2016 01:02:54

Тоже подхватили ENIGMA. Спасибо команде ЕSET,
подобрали дешифратор. Все восстановилось включая бухгалтерские программы. Правда на компьютере осталось много мусора (копии файлов с расширением .ENIGMA). Подскажите, как их можно удалить одним махом.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 10.07.2016 02:40:37

Виктория,
что конкретно вы ходите удалить?
копии файлов *.enigma.backup_by_eset
которые остались после работы дешифратора?

можно применить такой скрипт:

Код
@ECHO OFF FOR %%f IN (C D E ) DO call :del_copy_enigma %%f goto eof :del_copy_enigma dir /B "%1:\"&& for /r "%1:\" %%i in (.enigma.) do ( echo "%%~fi" >>enigma1.txt del /f /q "%%~fi" ) :eof ECHO. ECHO FINISHED!

Код

@ECHO OFF

FOR %%f IN (C D E ) DO call :del_copy_enigma %%f
goto eof
:del_copy_enigma

dir /B "%1:\"&& for /r "%1:\" %%i in (*.enigma.*) do (
echo "%%~fi" >>enigma1.txt
del /f /q "%%~fi"
)
:eof
ECHO.
ECHO FINISHED!

здесь C D E в командной строке IN (C D E) - это список дисков, локальных и сетевых, на которых вы хотите удалить копии файлов с расширением *.enigma.*
строки кода сохраните в файл del_copy_enigma.bat и запустите его.

Изменено: santy - 10.07.2016 03:01:24

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 13.07.2016

Размещено 13.07.2016 11:11:09

Здравствуйте, тоже подхватили эту вирусню Энигма. Подскажите что и как мне надо сделать чтобы вы помогли мне и расшифровали все файлы?

Пред. 1 ... 7 8 9 10 11 ... 28 След.

файлы зашифрованы с расширением *.enigma; *.1txt , enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Ответы

файлы зашифрованы с расширением .enigma; .1txt , enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/