santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.06.2016 15:43:49

Юрий,
выполните скрипт очистки системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\MOVCHANIV\LOCAL SETTINGS\TEMP\ENIGMA.HTA delall %SystemDrive%\DOCUMENTS AND SETTINGS\MOVCHANIV\LOCAL SETTINGS\TEMP\ENIGMA.HTA ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\DOCUME~1\MOVCHA~1\LOCALS~1\TEMP\2BB571E62A0EFC8F5C053C7CC432B65C.EXE deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\MOVCHANIV\LOCAL SETTINGS\TEMP\ENIGMA.HTA
delall %SystemDrive%\DOCUMENTS AND SETTINGS\MOVCHANIV\LOCAL SETTINGS\TEMP\ENIGMA.HTA
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\DOCUME~1\MOVCHA~1\LOCALS~1\TEMP\2BB571E62A0EFC8F5C053C7CC432B65C.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.06.2016 10:46:23

Цитата
Михаил Борисович написал: santy ,Спасибо за помощь! Подскажите, а есть ли возможность расшифровать файлы? читал в этой теме что Eset ведет работы над дешифратором.

надежнее всего сейчас не доводить дело до шифрования: локальные политики (запрет на запуск исполняемых из архивов), + регулярное создание архивных копий.

+
добавьте в список URl для блокирования:
(и периодически обновляйте его у ваших клиентов)

update:

Цитата
eurotecnicaservice.it evacuator-vao.ru euniversesystems.com clover-d.com centraljokmobil.com rfsud.tk faithbrowns.com dolzhnik.tk eisakubun.net dwn.fdbgroup.su teddyandalex.com bit.ly/ is.gd/ skuawill.com koopkernkieldrecht.be boxdecoblog.com ab-cdn-1.waw.pl rulondon.ru waveiscomingsoon.com revault.me vpscoke.com icedullroar.ru mercer-designs.com celiklerkuruyemis.com vanderputten.fr chanasociety.com hellobit.co anglersparadise.info meetfeli.net oruzhkov.net xn--e1aji5e.xn--p1ai/ янке.рф/ mbellrealty.com askbasim.com creative-metal.lv polybutylenecarolina.com attach.com attached-email.com* download-attach.com* letter-attachment.com* jordinas.com* deesidescouts.org.uk subqmail.com unibk.com integres.com jimail.ru kimail.ru llmaill.ru integraled.com qyzc8.com biz-sales.net 2theloo.co hellobit.co procyanide.com twitterkeybtc.com hukport.com

Цитата

*eurotecnicaservice.it*
*evacuator-vao.ru*
*euniversesystems.com*
*clover-d.com*
*centraljokmobil.com*
*rfsud.tk*
*faithbrowns.com*
*dolzhnik.tk*
*eisakubun.net*
*dwn.fdbgroup.su*
*teddyandalex.com*
*bit.ly/*
*is.gd/*
*skuawill.com*
*koopkernkieldrecht.be*
*boxdecoblog.com*
*ab-cdn-1.waw.pl*
*rulondon.ru*
*waveiscomingsoon.com*
*revault.me*
*vpscoke.com*
*icedullroar.ru*
*mercer-designs.com*
*celiklerkuruyemis.com*
*vanderputten.fr*
*chanasociety.com*
*hellobit.co*
*anglersparadise.info*
*meetfeli.net*
*oruzhkov.net*
*xn--e1aji5e.xn--p1ai/*
*янке.рф/*
*mbellrealty.com*
*askbasim.com*
*creative-metal.lv*
*polybutylenecarolina.com*
attach*.com*
attached-email.com*
download-attach.com*
letter-attachment.com*
jordinas.com*
deesidescouts*.org.uk*
*subqmail.com*
*unibk.com*
*integres.com*
*jimail.ru*
*kimail.ru*
*llmaill.ru*
*integraled.com*
*qyzc8.com*
*biz-sales.net*
*2theloo.co*
*hellobit.co*
*procyanide.com*
*twitterkeybtc.com*
*hukport.com*

Изменено: santy - 29.06.2016 05:02:15

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.06.2016 04:20:36

как только будет решение по расшифровки enigma, мы сообщим об этом на форуме.

Изменено: santy - 28.06.2016 10:20:41

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.06.2016 03:56:45

Цитата
Сергей Жидков написал: Вот образ .

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.3 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE addsgn 1A92C69A5583D98CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 enigma zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\TEMP\7BCE52B52919002BBF0C3083284C3357.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\TEMP\ENIGMA.HTA delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\TEMP\ENIGMA.HTA ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
addsgn 1A92C69A5583D98CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 enigma

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\TEMP\7BCE52B52919002BBF0C3083284C3357.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\TEMP\ENIGMA.HTA
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\TEMP\ENIGMA.HTA
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.06.2016 03:52:43

Цитата
Михаил Борисович написал: Доброго времени суток! Уважаемый santy , поймали шифровальщик .enigma , помогите с лечением образ

Код
;uVS v3.87.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGBGNHMFBCIFPKJOFOOJFPLMFKMAIADN%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\FILESMASH deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218 delref %Sys32%\DRIVERS\TSSKX64.SYS del %Sys32%\DRIVERS\TSSKX64.SYS delref %SystemDrive%\USERS\NATALIA PETROVNA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.25_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\NATALIA PETROVNA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN\4.0.25_0\ПОИСК MAIL.RU deldirex %SystemDrive%\USERS\NATALIA PETROVNA\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGBGNHMFBCIFPKJOFOOJFPLMFKMAIADN%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\FILESMASH

deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218

delref %Sys32%\DRIVERS\TSSKX64.SYS
del %Sys32%\DRIVERS\TSSKX64.SYS

delref %SystemDrive%\USERS\NATALIA PETROVNA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.25_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\NATALIA PETROVNA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN\4.0.25_0\ПОИСК MAIL.RU
deldirex %SystemDrive%\USERS\NATALIA PETROVNA\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.06.2016 03:21:18

Цитата
Сергей Жидков написал: Вчера пришло письмо, сотрудник открыл (как у многих тут), итог, энигма. Endpoint Antivirus 5 со свежими базами не спас. Вчера же отправил запрос в ТП. Жду.

добавьте образ автозапуска зашифрованной системы

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.06.2016 03:20:27

Цитата
сергей Кандрин написал: вот файл для примера если получится хотя бы его расшифровать , буду крайне благодарен https://yadi.sk/d/LjXB9xNisq3w3

это enigma
добавьте образ автозапуска с зашифрованной системы

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.06.2016 18:43:48

Макс Коцур,
если сохранились копии зашифрованных файлов, выложите несколько файлов на форум. для проверки работы дешифратора.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.06.2016 17:16:28

Serdyuk Sergey,
пришлите в почту [email protected] в архиве с паролем infected, я проверю, может быть другой вариант.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.06.2016 14:45:58

сегодня видимо очередная активность enigma
https://www.virustotal.com/en/file/b75582b68116d873939a1c01f701db794c1a8d99c2a919bec7bb5e5790ae15a2/analysis/

в рассылке документ js с добавленным в тело js закодированным, исполняемым шифратором.
сам исполняемый файл детектируется антивирусом, так что скорее всего со свежими базами пользователи ESET будут защищены от данного шифратора.

Цитата
Время;Модуль сканирования;Тип объекта;Oбъeкт;Bиpуc;Дeйcтвиe;Пoльзoвaтeль;Информация;Хэш 27.06.2016 18:47:51;Защита в режиме реального времени;файл;X:\viruses\shifr\encoder\исследовать\2100\ифнс_плановая_проверка\9fe6c7d4ab4b537066d36a2f62fd2fc5.exe;Win32/Filecoder.Enigma.E троянская программа;очищен удалением;***;Событие произошло в новом файле, созданном следующим приложением: C:\Program Files (x86)\Total Commander\TOTALCMD64.EXE (3B98508B0225B7636E31F42F8D01A0ACD95D76E3).;3034C102A2B6A4AABEB9ECC9C54BB4E4A515ACE9

Цитата

Время;Модуль сканирования;Тип объекта;Oбъeкт;Bиpуc;Дeйcтвиe;Пoльзoвaтeль;Информация;Хэш
27.06.2016 18:47:51;Защита в режиме реального времени;файл;X:\viruses\shifr\encoder\исследовать\2100\ифнс_плановая_проверка\9fe6c7d4ab4b537066d36a2f62fd2fc5.exe;Win32/Filecoder.Enigma.E троянская программа;очищен удалением;***;Событие произошло в новом файле, созданном следующим приложением: C:\Program Files (x86)\Total Commander\TOTALCMD64.EXE (3B98508B0225B7636E31F42F8D01A0ACD95D76E3).;3034C102A2B6A4AABEB9ECC9C54BB4E4A515ACE9

Изменено: santy - 27.06.2016 14:50:00

[ Как создать образ автозапуска? ]

Перейти