Enigma. Зашифрованные данные. Есть тело вируса и образцы исходных файлов.

**poa** · 12.08.2016, 09:10

Доброго дня.
Обратилась ко мне с просьбой о помощи одна женщина - словила по почте вирус enigma. Сообразила не сразу, что что-то не так - куча данных оказалось зашифровано. Вирус я деактивировал, но как расшифровать данные не знаю. Прошу помощи.

Есть тело вируса (exe), есть html-файл, которые был в письме из которого был сохранён и запущен вирус. Есть "enigma.rsa" и "enigma_encr.html".
Есть также образцы исходных файлов для некоторых из зашифрованных.

При попытке выполнить пункт первый из инструкции (№3 "Скрипт лечения/карантина и сбора информации для раздела "Помогите!") AVZ завершается с ошибкой (пробовал дважды, антивирус отключен), поэтому первого файла нет. Прилагаю второй и третий файлы.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 12.08.2016, 09:11

Уважаемый(ая) poa, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 12.08.2016, 13:17

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 QuarantineFile('C:\Users\User\AppData\Local\Temp\20d850aaad53e3b93354018574711e47.exe','');
 DeleteFile('C:\Users\User\AppData\Local\Temp\20d850aaad53e3b93354018574711e47.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','feccbfb');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','feccbfbba');
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

**poa** · 12.08.2016, 14:16

Выполнил скрипты.
Загрузил карантин. Взял на себя смелость добавить в карантин исходный html из письма и js, который сохранялся из hdml.

- - - - -Добавлено - - - - -

На всякий случай прилагаю несколько закодированных и исходных файлов, может как-нибудь будет полезно.

**mike 1** · 12.08.2016, 16:11

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**poa** · 15.08.2016, 06:39

Файлы отчёта Farbar

**mike 1** · 15.08.2016, 11:38

Не знаю я что с вами делать с таким антивирусом. Если лицензия на Касперского или Dr.Web есть, то обращайтесь в их техподдержку. Мы здесь помочь с расшифровкой вам не сможем.

**poa** · 16.08.2016, 14:52

Обратился в Dr.Web в их сервис по расшифровке. Они смогли расшифровать. Обошлось в 5300 рублей за Dr.Web Rescue Pack. Это гораздо лучше, чем 400$ с негарантированным результатом у злоумышленников.

Спасибо за содействие!
Тема закрыта

Enigma. Зашифрованные данные. Есть тело вируса и образцы исходных файлов. (заявка № 202969)

Опции темы