среда, 11 мая 2016 г.

Enigma

Enigma Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


   Этот криптовымогатель шифрует данные с помощью алгоритма AES-128, а затем требует 0.4291 BTC (около $ 200 USD), чтобы вернуть файлы обратно. Ориентирован на русскоязычные страны, т.к. записка о выкупе написана на русском языке и вебсайт для выкупа имеет русскоязычный интерфейс. Вымогатель Enigma не всегда удаляет тома теневых копий файлов, поэтому у жертв может быть шанс, чтобы восстановить свои файлы.

  Enigma Ransomware распространяется через HTML-вложения, содержащие всё необходимое для создания исполняемого файла, сохранения его на жёстком диске и запуска на выполнение. При открытии HTML- вложения запускается браузер и выполняет встроенный JavaScript, который создаёт автономный файл под названием "Свидетельство о регистрации частного предприятия.js".

  Запущенный пользователем скрипт создаёт исполняемый файл с именем 3b788cd6389faa6a3d14c17153f5ce86.exe , автоматически запускающийся на выполнение. Он создаётся из массива байтов, хранящихся в JavaScript-файле.

  После выполнения, исполняемый файл начинает шифрование данные на компьютере жертвы и добавляет к уже зашифрованным расширение .enigma . Например, файл test.jpg примет вид test.jpg.enigma .

 Когда процесс шифрования будет завершен, он выполнит файл %USERPROFILE%\Desktop\enigma.hta , служащий для показа записки о выкупе при каждой загрузке Windows. В нем написано о том, что случилось с файлами и дана ссылка на Tor-сайт для оплаты выкупа.



Содержимое записки о выкупе (на русском):

Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи.
Файлы зашифрованы алгоритмом AES 128 (Advanced Encryption Standard — Википедия) с приватным ключём, который знаем только мы.
Зашифрованные файлы имеют расширение .ENIGMA. Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.
Если хотите получить файлы обратно:
1) Установите Tor Browser Tor Project: Anonymity Online
2) Найдите на рабочем столе ключ для доступа на сайт ENIGMA_ (номер вашего ключа) .RSA
3) Перейдите на сайт хттп//f6lohswy737xq34e.onion в тор-браузере и авторизуйтесь с помощью ENIGMA_ (номер вашего ключа) .RSA
4) Следуйте инструкциям на сайте и скачайте дешифратор.

Если основной сайт будет недоступен попробуйте HTTP: хттп//ohj63tmbsod42v3d.onion/

В процессе шифрования создаются следующие файлы:

%Temp%\testttt.txt - Файл отладки для решения вопроса с дескриптором и создания исполняемого файла вымогателя.
%AppData%\testStart.txt - Файл отладки, показывающий, что шифрование началось и было успешным.
%UserProfile%\Desktop\allfilefinds.dat - Список зашифрованных файлов.
%UserProfile%\Desktop\enigma.hta - Файл в автозагрузке Windows, служащий для показа записки о выкупе.
%UserProfile%\Desktop\ENIGMA_[id_number].RSA - Уникальный ключ, связанный с ПК жертвы, для входа на сайт оплаты.
%UserProfile%\Desktop\enigma_encr.txt - Текст записки о выкупе.
%UserProfile%\Downloads\3b788cd6389faa6a3d14c17153f5ce86.exe - Исполняемый файл вымогателя.

Для уплаты выкупа нужно открыть специальный TOR-сайт, созданный разработчиками-вымогателями. Его адрес находится в записке с требованием выкупа и требует загрузить файл ENIGMA_[id_number].RSA для входа в систему платежа.

Войдя в систему жертва увидит, сколько биткоинов нужно отправить в качестве выкупа, а также Bitcoin-адрес получателя. Этот сайт предлагает жертве расшифровать один файл бесплатно, чтобы доказать, что дешифровка действительно возможна.


Здесь также есть мини-чат поддержки, через который жертва может поговорить с разработчиками вредоноса. После поступления оплаты, будет показана ссылку для загрузки дешифратора.



Файлы связанные с Enigma Ransomware:
%Temp%\testttt.txt
%AppData%\testStart.txt
%UserProfile%\Desktop\allfilefinds.dat
%UserProfile%\Desktop\enigma.hta
%UserProfile%\Desktop\ENIGMA_807.RSA
%UserProfile%\Desktop\enigma_encr.txt
%UserProfile%\Downloads\3b788cd6389faa6a3d14c17153f5ce86.exe



Записи реестра связанные с Enigma Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MyProgram 3b788cd6389faa6a3d14c17153f5ce86.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MyProgramOk %UserProfile%\Desktop\enigma.hta

Read to links:
Topic on BC


Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *