вторник, 11 октября 2016 г.

Enigma2

Enigma 2 Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


   Этот криптовымогатель шифрует данные с помощью алгоритма AES-128, а затем требует выкуп $200 USD в биткоинах по курсу валюты, чтобы вернуть файлы обратно. 

© Генеалогия: Enigma > Enigma 2

Зашифрованные файлы получают расширение .1txt. Ранняя версия Enigma добавляла расширение .enigma, отчего и получила название. 

Активность этого криптовымогателя пришлась на начало октября 2016 г.  Ориентирован на русскоязычных пользователей, т.к. записка о выкупе написана на русском языке и вебсайт для выкупа имеет русскоязычный интерфейс. 

Записки с требованием выкупа называются: enigma_info.txt
Enigma 2 Ransomware

Содержание записки о выкупе:
Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи.
Файлы зашифрованны алгоритмом AES 128 (https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) с приватным ключем, который знаем только мы.
Зашифрованные файлы имеют расширение .1txt. Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.
Если хотите получить файлы обратно:
1) Установите Tor Browser http://www.torproject.org/
2) Найдите на рабочем столе ключ для доступа на сайт E_N_I_G_M_A.RSA(В ключе зашифрован пароль от ваших файлов)
3) Перейдите на сайт http://kf2uimw5omtgveu6.onion/ в тор-браузере и авторизуйтесь с помощью E_N_I_G_M_A.RSA
4) Следуйте инструкциям на сайте и скачайте дешифратор
C:\Documents and Settings\Администратор\Рабочий стол\E_N_I_G_M_A.RSA  - Путь к файлу-ключу на рабочем столе
C:\DOCUME~1\9335~1\LOCALS~1\Temp\E_N_I_G_M_A.RSA  - Путь к файлу-ключу в TMP папке

Перевод записки на английский язык:
We encrypt important files on your computer: documents, databases, photos, videos and keys.
Files encryption algorithm AES 128 (https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) with a private key that only we know.
Encrypted files have .1txt extension. It decrypts files without the private key IMPOSSIBLE.
If you want to get the files back:
1) Install the Tor Browser http://www.torproject.org/
2) Locate the desktop key to access E_N_I_G_M_A.RSA site (password is encrypted in the key of your files)
3) Go to the website http://kf2uimw5omtgveu6.onion/ into a torus-browser and log in using E_N_I_G_M_A.RSA
4) Follow the instructions on the website and download the decoder
C:\Documents and Settings\Администратор\Рабочий стол\E_N_I_G_M_A.RSA  - The path to the key file on the desktop
C:\DOCUME~1\9335~1\LOCALS~1\Temp\E_N_I_G_M_A.RSA - The path to the key file in TMP directory


Новый файл называется E_N_I_G_M_A.RSA, а на Tor-сайте оплаты название этого файла старое ENIGMA.RSA, налицо толи забывчивость вымогателей, толи лень. 

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. При открытии вредоносного файла выполняется встроенный JavaScript, который создаёт или загружает автономный файл c названием "Свидетельство....js", "Уведомление....js", "Решение суда...js" и пр. 

Список файловых расширений, подвергающихся шифрованию:

.001, .002, .1cd, .7z, .bz, .bz2, .bza, .bzip, .bzip2, .cd, .cdr, .crt, .csr, .csv, .czip, .dat, .dbf, .dif, .doc, .docb, .docm, .docx, .dwg, .gz, .gz, .gz2, .gza, .gzi, .gzip, .hdoc, .hwp, .key, .kwm, .lzma, .max, .mdb, .mdb, .mml, .odg, .odp, .ods, .odt, .odt, .otg, .otp, .ots, .ott, .pdf, .pem, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .ppt, .pptm, .pptx, .pptx, .rar, .rtf, .rtf, .slk, .sln, .sqlite, .sqx, .sqz, .srep, .stc, .std, .sti, .stw, .sxc, .sxi, .sxm, .sxw, .tar, .taz, .tbz, .tbz2, .tg, .tgz, .tlz, .tlzma, .tsk, .tx_, .txt, .txz, .tz, .uc2, .uot, .wks, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlsx, .xlt, .xltm, .xltx, .xlw, .xz, .zi, .zip, .zip, .zipx, .zix (111 расширений).

Файлы, связанные с Enigma 2 Ransomware:
Файлы, связанные с Enigma 2 Ransomware:
%USERPROFILE%\Desktop\78fb.exe
%USERPROFILE%\Desktop\enigma_info.txt
%USERPROFILE%\Desktop\E_N_I_G_M_A.RSA - файл с ключом
%TEMP%\E_N_I_G_M_A.RSA - файл с ключом
%TEMP%\enigma_info.txt - записка о выкупе
%TEMP%\pbkey.pbkey - содержит public key
%TEMP%\prkey.prkey - содержит private key
%TEMP%\falcon9.falcon
%TEMP%\backup.copy
%TEMP%\workstatistic.dat

Записи реестра, связанные с Enigma 2 Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
bfceedddae = "{Malware Path}\{Malware Filename}.exe"

Сетевые подключения:
xxxx://93.115.201.113/get.php

Степень распространённости: средняя.
Подробные сведения собираются.

Гибридный анализ >>
VirusTotal анализ >>

Read to links: 
Topic on BC + Write-up
 Thanks: 
 mike 1
 TrendMicro
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton