Если вы не видите здесь изображений, то используйте VPN.

суббота, 8 октября 2016 г.

Enigma2

Enigma 2 Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


   Этот криптовымогатель шифрует данные с помощью алгоритма AES-128, а затем требует выкуп $200 USD в биткоинах по курсу валюты, чтобы вернуть файлы обратно. 

© Генеалогия: Enigma > Enigma 2

Зашифрованные файлы получают расширение .1txt
Ранняя версия Enigma добавляла расширение .enigma, отчего и получила название. 

Активность этого криптовымогателя пришлась на начало октября 2016 г.  Ориентирован на русскоязычных пользователей, т.к. записка о выкупе написана на русском языке и вебсайт для выкупа имеет русскоязычный интерфейс. 

Записки с требованием выкупа называются: enigma_info.txt
Enigma 2 Ransomware

Содержание записки о выкупе:
Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи.
Файлы зашифрованны алгоритмом AES 128 (https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) с приватным ключем, который знаем только мы.
Зашифрованные файлы имеют расширение .1txt. Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.
Если хотите получить файлы обратно:
1) Установите Tor Browser http://www.torproject.org/
2) Найдите на рабочем столе ключ для доступа на сайт E_N_I_G_M_A.RSA(В ключе зашифрован пароль от ваших файлов)
3) Перейдите на сайт http://kf2uimw5omtgveu6.onion/ в тор-браузере и авторизуйтесь с помощью E_N_I_G_M_A.RSA
4) Следуйте инструкциям на сайте и скачайте дешифратор
C:\Documents and Settings\Администратор\Рабочий стол\E_N_I_G_M_A.RSA  - Путь к файлу-ключу на рабочем столе
C:\DOCUME~1\9335~1\LOCALS~1\Temp\E_N_I_G_M_A.RSA  - Путь к файлу-ключу в TMP папке

Перевод записки на английский язык:
We encrypt important files on your computer: documents, databases, photos, videos and keys.
Files encryption algorithm AES 128 (https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) with a private key that only we know.
Encrypted files have .1txt extension. It decrypts files without the private key IMPOSSIBLE.
If you want to get the files back:
1) Install the Tor Browser http://www.torproject.org/
2) Locate the desktop key to access E_N_I_G_M_A.RSA site (password is encrypted in the key of your files)
3) Go to the website http://kf2uimw5omtgveu6.onion/ into a torus-browser and log in using E_N_I_G_M_A.RSA
4) Follow the instructions on the website and download the decoder
C:\Documents and Settings\Администратор\Рабочий стол\E_N_I_G_M_A.RSA  - The path to the key file on the desktop
C:\DOCUME~1\9335~1\LOCALS~1\Temp\E_N_I_G_M_A.RSA - The path to the key file in TMP directory


Новый файл называется E_N_I_G_M_A.RSA, а на Tor-сайте оплаты название этого файла старое ENIGMA.RSA, налицо толи забывчивость вымогателей, толи лень. 

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. При открытии вредоносного файла выполняется встроенный JavaScript, который создаёт или загружает автономный файл c названием "Свидетельство....js", "Уведомление....js", "Решение суда...js" и пр. 

Список файловых расширений, подвергающихся шифрованию:

.001, .002, .1cd, .7z, .bz, .bz2, .bza, .bzip, .bzip2, .cd, .cdr, .crt, .csr, .csv, .czip, .dat, .dbf, .dif, .doc, .docb, .docm, .docx, .dwg, .gz, .gz, .gz2, .gza, .gzi, .gzip, .hdoc, .hwp, .key, .kwm, .lzma, .max, .mdb, .mdb, .mml, .odg, .odp, .ods, .odt, .odt, .otg, .otp, .ots, .ott, .pdf, .pem, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .ppt, .pptm, .pptx, .pptx, .rar, .rtf, .rtf, .slk, .sln, .sqlite, .sqx, .sqz, .srep, .stc, .std, .sti, .stw, .sxc, .sxi, .sxm, .sxw, .tar, .taz, .tbz, .tbz2, .tg, .tgz, .tlz, .tlzma, .tsk, .tx_, .txt, .txz, .tz, .uc2, .uot, .wks, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlsx, .xlt, .xltm, .xltx, .xlw, .xz, .zi, .zip, .zip, .zipx, .zix (111 расширений).

Файлы, связанные с Enigma 2 Ransomware:
Файлы, связанные с Enigma 2 Ransomware:
%USERPROFILE%\Desktop\78fb.exe
%USERPROFILE%\Desktop\enigma_info.txt
%USERPROFILE%\Desktop\E_N_I_G_M_A.RSA - файл с ключом
%TEMP%\E_N_I_G_M_A.RSA - файл с ключом
%TEMP%\enigma_info.txt - записка о выкупе
%TEMP%\pbkey.pbkey - содержит public key
%TEMP%\prkey.prkey - содержит private key
%TEMP%\falcon9.falcon
%TEMP%\backup.copy
%TEMP%\workstatistic.dat

Записи реестра, связанные с Enigma 2 Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
bfceedddae = "{Malware Path}\{Malware Filename}.exe"

Сетевые подключения:
xxxx://93.115.201.113/get.php

Степень распространённости: средняя.
Подробные сведения собираются.

Гибридный анализ >>
VirusTotal анализ >>



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 9 октября 2016:
Результаты анализов: VT + VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.6500
ALYac -> Trojan.Ransom.Enigma
Avira (no cloud) -> HEUR/AGEN.1024556
BitDefender -> Gen:Heur.Ransom.Imps.1
McAfee -> GenericRXDI-RO!452CDF665077
Microsoft -> Trojan:Win32/Skeeyah.A!rfn
Rising -> Trojan.Filecoder!8.68 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Palw


Обновление от 3 февраля 2020:
Файлы записок: hello.txt, enigma_encr.txt, enigma.hta
Специальный файл: ENIGMA_296.RSA
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.MulDrop6.41566
ALYac -> Trojan.Ransom.Enigma
Avira (no cloud) -> HEUR/AGEN.1028824
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> Win32/Filecoder.Enigma.B
McAfee -> GenericRXDJ-MU!912756788A1
Microsoft -> Ransom:Win32/EniqmaC
Rising -> Ransom.FileCryptor!8.1A7 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Hprj
TrendMicro -> Ransom.Win32.ENIGMA.SMTHBAU




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: 
Topic on BC + Write-up
 Thanks: 
 mike 1, BllepingComputer, TrendMicro
 Andrew Ivanov (author) 
***

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии проверяются. Всё, кроме спама, вскоре будет опубликовано. Для написания комментария вам нужен Google аккаунт.

ATTENTION!!!
Your new comment will be moderated. Please do not repeat. The spam will be removed. To post a comment here, you must have a Google account.

Примечание. Отправлять комментарии могут только участники этого блога.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *