похоже, новый шифратор *.enigma использует в качестве вредоносного вложения html файл, при запуске которого извлекается js скрипт. js предлагается открыть из папки "загрузки".
т.е. процесс получения сообщения в электронной почте завершается шифрованием документов, то пользователь не иначе как пребывает в состоянии гипнотического сна.

[IMG WIDTH=800 HEIGHT=223]http://s017.radikal.ru/i443/1605/b4/f251efeb9b64.jpg[/IMG]

имею ввиду, ключ автозапуска, в который прописан был запуск исполняемого тела шифратора 3B788CD6389FAA6A3D14C17153F5CE86.EXE.
полный путь на этот файл не указан в реестре, возможно ошибка вирусописателей, по идее после перезагрузки, это тело уже не запустится,

вот этот ключ в реестре[QUOTE]Полное имя 3B788CD6389FAA6A3D14C17153F5CE86.EXE
Имя файла                   3B788CD6389FAA6A3D14C17153F5CE86.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                           
Ссылки на объект            
[B]Ссылка HKLM\mwgwfxopw\Software\Microsoft\Windows\CurrentVersion\Run\MyProgram[/B]
MyProgram                   3b788cd6389faa6a3d14c17153f5ce86.exe[/QUOTE]
                           
------------------
вообще можно с winpe&uVS поработать, тогда  могу переписать скрипт, и выдать его вам  в виде файла.

+
судя по зашифрованным файлам - последние 16 байт одинаковы у всех файлов в каждом случае шифрования.

по очистке системы выполните скрипт
(остался еще ключ шифратора в автозапуске, хотя сам файл видимо удален уже)


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNM...

delref 3B788CD6389FAA6A3D14C17153F5CE86.EXE

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов напишите в [URL=mailto:[email protected]][email protected][/URL], тем более, что у вас наверняка корпоративный ESET Endpoit установлен.

[QUOTE]Антон Власов написал:
Отправил вложение в архиве с паролем infected+[/QUOTE]
спасибо, уже посмотрел на VM, как это работает
желательно все таки проверить образ автозапуска компа, с которого был запуск скрипта.

и при наличие лицензии на антивирус ESET отправить архив с вложением в техподдержку [URL=mailto:[email protected]][email protected][/URL] для анализа шифратора, и возможности расшифровки файлов.

как минимум, надо проводить работу с сотрудниками (ликбез по безопасности), чтобы не доступали таких вещей:
запускаем вложение из почты в формате html, сохраняем исполняемый файл *.js, и затем запускаем скаченный файл.

воистину, народ вообще не имеет представление о расширениях файлов, для них существует только название документа.

[IMG WIDTH=800 HEIGHT=223]http://s017.radikal.ru/i443/1605/b4/f251efeb9b64.jpg[/IMG]

т.е. исходное вложение в сообщении было в формате html?

(по поводу детектирования шифратора как coverton, возможно здесь может быть и совпадение расширений зашифрованных файлов)

Антон, судя по детектированию зашифрованного файла, расширению и записке о выкупе (в ID Ransomware) - это новый шифратор coverton
[QUOTE]Этот вымогатель еще пока изучается.

Изучите топик для дополнительной информации. Образцы зашифрованных и  подозрительных файлов понадобятся для дальнейшего изучения.   Опознан как [LIST]
[*]ransomnote_filename: enigma_encr.txt
[*]sample_extension: .enigma
[/LIST]
Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.   Опознан как [LIST]
[*]sample_extension: .enigma
[/LIST] [URL=http://www.bleepingcomputer.com/forums/t/608802/coverton-ransomware-infection-support-and-help-topic-warning-html/] Кликните тут для подробностей о Coverton [/URL][/QUOTE]
детект исполняемого файла здесь
[URL=https://www.virustotal.com/ru/file/2ff9c98d49fa495842de6fd4e6300b756558a7dd6fbb9c0b00d3a4875a75c686/analysis/]https://www.virustotal.com/ru/file/2ff9c98d49fa495842de6fd4e6300b756558a7dd6fbb9c0b00d3a4875a75c686/...[/URL]

если сохранилось письмо с вредоносным скриптом - перешлите в почту [URL=mailto:[email protected]][email protected][/URL] с паролем infected
+
если локализован комп, на котором был запущен шифратор, добавьте образ автозапуска системы.

@Dodger,
добавьте образ автозапуска системы.
как это сделать - смотрите в инструкции из подписи.

Михаил,
добавьте образ автозапуска системы, где было запущено шифрование. (возможно, шифратор  до сих пор в автозапуске)
если сохранилось в почте сообщение с вредоносным вложением,
пришлите в почту [URL=mailto:[email protected]][email protected][/URL]
вложение можно добавить в архив с паролем infected

если это опция HIPS, то экспериментировать с тестами, думаю можно при отключенной  защите файловой системы, главное, чтобы HIPS был включен.