Enigma2

Enigma 2 Ransomware

(шифровальщик-вымогатель)

Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ: 
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике

   Этот криптовымогатель шифрует данные с помощью алгоритма AES-128, а затем требует выкуп $200 USD в биткоинах по курсу валюты, чтобы вернуть файлы обратно. 

© Генеалогия: Enigma > Enigma 2

Зашифрованные файлы получают расширение .1txt. 
Ранняя версия Enigma добавляла расширение .enigma, отчего и получила название. 

Активность этого криптовымогателя пришлась на начало октября 2016 г.  Ориентирован на русскоязычных пользователей, т.к. записка о выкупе написана на русском языке и вебсайт для выкупа имеет русскоязычный интерфейс. 

Записки с требованием выкупа называются: enigma_info.txt

Содержание записки о выкупе:
Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи.
Файлы зашифрованны алгоритмом AES 128 (https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) с приватным ключем, который знаем только мы.
Зашифрованные файлы имеют расширение .1txt. Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.
Если хотите получить файлы обратно:
1) Установите Tor Browser http://www.torproject.org/
2) Найдите на рабочем столе ключ для доступа на сайт E_N_I_G_M_A.RSA(В ключе зашифрован пароль от ваших файлов)
3) Перейдите на сайт http://kf2uimw5omtgveu6.onion/ в тор-браузере и авторизуйтесь с помощью E_N_I_G_M_A.RSA
4) Следуйте инструкциям на сайте и скачайте дешифратор
C:\Documents and Settings\Администратор\Рабочий стол\E_N_I_G_M_A.RSA  - Путь к файлу-ключу на рабочем столе
C:\DOCUME~1\9335~1\LOCALS~1\Temp\E_N_I_G_M_A.RSA  - Путь к файлу-ключу в TMP папке

Перевод записки на английский язык:
We encrypt important files on your computer: documents, databases, photos, videos and keys.
Files encryption algorithm AES 128 (https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) with a private key that only we know.
Encrypted files have .1txt extension. It decrypts files without the private key IMPOSSIBLE.
If you want to get the files back:
1) Install the Tor Browser http://www.torproject.org/
2) Locate the desktop key to access E_N_I_G_M_A.RSA site (password is encrypted in the key of your files)
3) Go to the website http://kf2uimw5omtgveu6.onion/ into a torus-browser and log in using E_N_I_G_M_A.RSA
4) Follow the instructions on the website and download the decoder
C:\Documents and Settings\Администратор\Рабочий стол\E_N_I_G_M_A.RSA  - The path to the key file on the desktop
C:\DOCUME~1\9335~1\LOCALS~1\Temp\E_N_I_G_M_A.RSA - The path to the key file in TMP directory

Новый файл называется E_N_I_G_M_A.RSA, а на Tor-сайте оплаты название этого файла старое ENIGMA.RSA, налицо толи забывчивость вымогателей, толи лень. 

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. При открытии вредоносного файла выполняется встроенный JavaScript, который создаёт или загружает автономный файл c названием "Свидетельство....js", "Уведомление....js", "Решение суда...js" и пр. 

Список файловых расширений, подвергающихся шифрованию:
.001, .002, .1cd, .7z, .bz, .bz2, .bza, .bzip, .bzip2, .cd, .cdr, .crt, .csr, .csv, .czip, .dat, .dbf, .dif, .doc, .docb, .docm, .docx, .dwg, .gz, .gz, .gz2, .gza, .gzi, .gzip, .hdoc, .hwp, .key, .kwm, .lzma, .max, .mdb, .mdb, .mml, .odg, .odp, .ods, .odt, .odt, .otg, .otp, .ots, .ott, .pdf, .pem, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .ppt, .pptm, .pptx, .pptx, .rar, .rtf, .rtf, .slk, .sln, .sqlite, .sqx, .sqz, .srep, .stc, .std, .sti, .stw, .sxc, .sxi, .sxm, .sxw, .tar, .taz, .tbz, .tbz2, .tg, .tgz, .tlz, .tlzma, .tsk, .tx_, .txt, .txz, .tz, .uc2, .uot, .wks, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlsx, .xlt, .xltm, .xltx, .xlw, .xz, .zi, .zip, .zip, .zipx, .zix (111 расширений).

Файлы, связанные с Enigma 2 Ransomware:
Файлы, связанные с Enigma 2 Ransomware:
%USERPROFILE%\Desktop\78fb.exe
%USERPROFILE%\Desktop\enigma_info.txt
%USERPROFILE%\Desktop\E_N_I_G_M_A.RSA - файл с ключом
%TEMP%\E_N_I_G_M_A.RSA - файл с ключом
%TEMP%\enigma_info.txt - записка о выкупе
%TEMP%\pbkey.pbkey - содержит public key
%TEMP%\prkey.prkey - содержит private key
%TEMP%\falcon9.falcon
%TEMP%\backup.copy
%TEMP%\workstatistic.dat

Записи реестра, связанные с Enigma 2 Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
bfceedddae = "{Malware Path}\{Malware Filename}.exe"

Сетевые подключения:
xxxx://93.115.201.113/get.php

Степень распространённости: средняя.
Подробные сведения собираются.

Гибридный анализ >>
VirusTotal анализ >>

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 9 октября 2016:
Результаты анализов: VT + VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.6500
ALYac -> Trojan.Ransom.Enigma
Avira (no cloud) -> HEUR/AGEN.1024556
BitDefender -> Gen:Heur.Ransom.Imps.1
McAfee -> GenericRXDI-RO!452CDF665077
Microsoft -> Trojan:Win32/Skeeyah.A!rfn
Rising -> Trojan.Filecoder!8.68 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Palw


Обновление от 3 февраля 2020:
Файлы записок: hello.txt, enigma_encr.txt, enigma.hta
Специальный файл: ENIGMA_296.RSA
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.MulDrop6.41566
ALYac -> Trojan.Ransom.Enigma
Avira (no cloud) -> HEUR/AGEN.1028824
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> Win32/Filecoder.Enigma.B
McAfee -> GenericRXDJ-MU!912756788A1
Microsoft -> Ransom:Win32/EniqmaC
Rising -> Ransom.FileCryptor!8.1A7 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Hprj
TrendMicro -> Ransom.Win32.ENIGMA.SMTHBAU

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Read to links: 
Topic on BC + Write-up

 Thanks: 
 mike 1, BllepingComputer, TrendMicro
 Andrew Ivanov (author) 
***

© Amigo-A (Andrew Ivanov): All blog articles.