вторник, 11 октября 2016 г.

Enigma2, 1txt

Enigma 2 Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


   Этот криптовымогатель шифрует данные с помощью алгоритма AES-128, а затем требует выкуп $200 USD в биткоинах по курсу валюты, чтобы вернуть файлы обратно. Зашифрованные файлы получают расширение .1txt. Ранняя версия Enigma добавляла расширение .enigma, отчего и получила название. 

Активность этого криптовымогателя пришлась на начало октября 2016 г.  Ориентирован на русскоязычных пользователей, т.к. записка о выкупе написана на русском языке и вебсайт для выкупа имеет русскоязычный интерфейс. 

Записки с требованием выкупа называются: enigma_info.txt

Содержание записки о выкупе:
Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи.
Файлы зашифрованны алгоритмом AES 128 (https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) с приватным ключем, который знаем только мы.
Зашифрованные файлы имеют расширение .1txt. Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.
Если хотите получить файлы обратно:
1) Установите Tor Browser http://www.torproject.org/
2) Найдите на рабочем столе ключ для доступа на сайт E_N_I_G_M_A.RSA(В ключе зашифрован пароль от ваших файлов)
3) Перейдите на сайт http://kf2uimw5omtgveu6.onion/ в тор-браузере и авторизуйтесь с помощью E_N_I_G_M_A.RSA
4) Следуйте инструкциям на сайте и скачайте дешифратор
C:\Documents and Settings\Администратор\Рабочий стол\E_N_I_G_M_A.RSA  - Путь к файлу-ключу на рабочем столе
C:\DOCUME~1\9335~1\LOCALS~1\Temp\E_N_I_G_M_A.RSA  - Путь к файлу-ключу в TMP папке

Перевод записки на английский язык:
We encrypt important files on your computer: documents, databases, photos, videos and keys.
Files encryption algorithm AES 128 (https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) with a private key that only we know.
Encrypted files have .1txt extension. It decrypts files without the private key IMPOSSIBLE.
If you want to get the files back:
1) Install the Tor Browser http://www.torproject.org/
2) Locate the desktop key to access E_N_I_G_M_A.RSA site (password is encrypted in the key of your files)
3) Go to the website http://kf2uimw5omtgveu6.onion/ into a torus-browser and log in using E_N_I_G_M_A.RSA
4) Follow the instructions on the website and download the decoder
C:\Documents and Settings\Администратор\Рабочий стол\E_N_I_G_M_A.RSA  - The path to the key file on the desktop
C:\DOCUME~1\9335~1\LOCALS~1\Temp\E_N_I_G_M_A.RSA - The path to the key file in TMP directory


Новый файл называется E_N_I_G_M_A.RSA, а на Tor-сайте оплаты название этого файла старое ENIGMA.RSA, налицо толи забывчивость вымогателей, толи лень. 

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. При открытии вредоносного файла выполняется встроенный JavaScript, который создаёт или загружает автономный файл c названием "Свидетельство....js", "Уведомление....js", "Решение суда...js" и пр. 

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с Enigma 2 Ransomware:
%USERPROFILE%\Desktop\78fb.exe
%USERPROFILE%\Desktop\enigma_info.txt
%USERPROFILE%\Desktop\E_N_I_G_M_A.RSA
%TEMP%\E_N_I_G_M_A.RSA
%TEMP%\enigma_info.txt
%TEMP%\prkey.prkey
%TEMP%\falcon9.falcon
%TEMP%\backup.copy

Записи реестра, связанные с Enigma 2 Ransomware:
***
Сетевые подключения:
хттп://93.115.201.113/get.php

Степень распространённости: средняя.
Подробные сведения собираются.

Гибридный анализ >>
VirusTotal анализ >>

Read to links: 
Topic on BC
 Thanks: 
 mike 1
 
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *