Enigma Ransomware: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 10 май 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Шифровальщик-вымогатель Enigma Ransomware: Цель — русскоязычные пользователи

    Новый вредонос Enigma Ransomware шифрует данные с помощью алгоритма AES-128, а затем требует 0.4291 BTC (примерно $ 200 USD), чтобы вернуть файлы обратно Этот криптовымогатель, вероятно, ориентирован на русскоязычные страны, т.к. вымогательская записка написана на русском языке и страница сайта для оплаты выкупа имеет русскоязычный интерфейс. Примечательно, что этот вымогатель, хоть и должен, но не всегда удаляет тома теневых копий файлов, поэтому жертва может использовать их, чтобы восстановить свои файлы.

    enigma-note.png
    Рис.1. Русскоязычная записка о выкупе

    Enigma Ransomware распространяется через HTML-вложения, содержащие всё необходимое для создания исполняемого файла, сохранения его на жёстком диске, а затем и запуска на выполнение. При открытии HTML- вложения запустится браузер и выполнит встроенный JavaScript, который создаст автономный файл под названием "Свидетельство о регистрации частного предприятия.js".

    enigma-create-exec-from-bytes.png
    Рис.2. Создание исполняемого файла (фрагмент снимка, вверху убрал 27 нулей)

    Запущенный пользователем этот js-файл создаст исполняемый файл с именем 3b788cd6389faa6a3d14c17153f5ce86.exe , который автоматически запустится на выполнение. Этот файл создается из массива байтов, хранящихся в JavaScript-файле.

    После выполнения, исполняемый файл начинает шифрование данные на компьютере жертвы и добавляет к уже зашифрованным файлам расширение .enigma . Например, файл test.jpg примет вид test.jpg.enigma .

    Когда процесс шифрования будет завершен, он выполнит файл %USERPROFILE%\Desktop\enigma.hta , служащий для показа записки о выкупе при каждой загрузке Windows. В нем написано о том, что случилось с файлами и дана ссылка на TOR-сайт для оплаты выкупа.

    Содержимое записки о выкупе:
    В процессе шифрования создаются следующие файлы:
    %Temp%\testttt.txt - Файл отладки для решения вопроса с дескриптором и создания исполняемого файла вымогателя.
    %AppData%\testStart.txt - Файл отладки, показывающий, что шифрование началось и было успешным.
    %UserProfile%\Desktop\allfilefinds.dat - Список зашифрованных файлов.
    %UserProfile%\Desktop\enigma.hta - Файл в автозагрузке Windows, служащий для показа записки о выкупе.
    %UserProfile%\Desktop\ENIGMA_[id_number].RSA - Уникальный ключ, связанный с ПК жертвы, для входа на сайт оплаты.
    %UserProfile%\Desktop\enigma_encr.txt - Текст записки о выкупе.
    %UserProfile%\Downloads\3b788cd6389faa6a3d14c17153f5ce86.exe - Исполняемый файл вымогателя.

    Для уплаты выкупа нужно открыть специальный TOR-сайт, созданный разработчиками-вымогателями. Его адрес находится в записке с требованием выкупа и требует загрузить файл ENIGMA_[id_number].RSA для входа в систему платежа.

    enigma-decryption-site-logon.png

    Войдя в систему жертва увидит, какое количеством биткоинов нужно отправить в качестве выкупа, а также Bitcoin-адрес получателя. Этот сайт предлагает жертве расшифровать один файл бесплатно, чтобы доказать, что дешифровка действительно возможна.

    enigma-decryption-site.png

    Здесь также есть мини-чат поддержки, через который жертва может поговорить с разработчиками вредоноса. После поступления оплаты, будет показана ссылку для загрузки дешифратора.

    Файлы связанные с Enigma Ransomware:
    %Temp%\testttt.txt
    %AppData%\testStart.txt
    %UserProfile%\Desktop\allfilefinds.dat
    %UserProfile%\Desktop\enigma.hta
    %UserProfile%\Desktop\ENIGMA_807.RSA
    %UserProfile%\Desktop\enigma_encr.txt
    %UserProfile%\Downloads\3b788cd6389faa6a3d14c17153f5ce86.exe

    Записи реестра связанные с Enigma Ransomware:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MyProgram 3b788cd6389faa6a3d14c17153f5ce86.exe
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MyProgramOk %UserProfile%\Desktop\enigma.hta

    Пример детекта на VirusTotal от 4 мая 2016:
    https://www.virustotal.com/ru/file/...7e2ad2a55e9ea64d4ef24593cf44622621a/analysis/

     
    Kиpилл, orderman, Охотник и ещё 1-му нравится это.
  2. Funfactory
    Оффлайн

    Funfactory Новый пользователь

    Сообщения:
    1
    Симпатии:
    2
    Подскажите пожалуйста как восстановить файлы после Enigma Ransomware ?
     
    Охотник и SNS-amigo нравится это.
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Funfactory,
    Дешифровщика пока нет. Сведения собраны. Ждем.
    Вымогатель Enigma не всегда удаляет тома теневых копий файлов, потому есть шанс что-то оттуда вытащить. Но при использовании последних теневых копий можно также повторно заразить свой ПК. Если более ранних VSS нет, то лучше и не пытаться.
     
    Последнее редактирование модератором: 18 июл 2016
    Kиpилл и Охотник нравится это.
  4. АлександрСтроитель
    Оффлайн

    АлександрСтроитель Новый пользователь

    Сообщения:
    5
    Симпатии:
    2
    заражение и шифровка произошли вчера 15.08.2016.
    компьютер пока не перегружался, вирус/скрипт и письмо-виновник не удалялись (мной)
    логи прикрепить пока не могу - нет ни одной необходимой программы
    работаю ВСЕГДА под пользователем, с ограниченными правами
    чтобы установить какую-либо программу, надо перегружаться, а это я пока боюсь делать.
    антивирус "родной" - микрософт ))

    В моей ситуации помочь можно? Или готовить деньги?
    --- Объединённое сообщение, 16 авг 2016 ---
    По мне - так лучше деньги отдать помощнику, чем вымогателям
     
    Охотник нравится это.
  5. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    АлександрСтроитель, обратитесь в специальный раздел.
    Там есть специалисты по данному вопросу. Создайте новую тему, скопируйте свой рассказ. Ничего пока не удаляйте и не чистите. Удачи!
    Ссылка: http://safezone.cc/forums/decrypt_files/
     
    Охотник нравится это.
  6. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Enigma Ransomware: Версия ~2

    Засветилась новая версия криптовымогателя Enigma.
    Файлы, как и раньше, шифруются с помощью AES-128.
    Зашифрованные файлы получают расширение .1txt
    Записка о выкупе теперь называется: enigma_info.txt

    Содержание записки о выкупе:
    Все http-ешки в тексте записки я заменил на ***

    Сайт вымогателей, где требуется приложить файл ENIGMA.RSA:
    tor-rsa.jpg

    Файлы, связанные с Enigma Ransomware:
    %USERPROFILE%\desktop\78fb.exe
    %USERPROFILE%\desktop\enigma_info.txt

    Образцы переданы на идентификацию в ID Ransomware.
    Спасибо @mike 1

    Гибридный анализ >>>
    VirusTotal анализ >>>


     
    Последнее редактирование: 11 окт 2016
    Kиpилл нравится это.
  7. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.468
    Симпатии:
    863
    Я думаю расшифровка новой Энигмы возможна. На данный момент расшифровка имеется у Dr.Web, думаю вскоре подтянутся и остальные. В этот раз авторы новой Энигмы достаточно сильно постарались, чтобы образец вируса не попал к аналитикам.
     
    Последнее редактирование: 12 окт 2016
    SNS-amigo нравится это.
  8. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.468
    Симпатии:
    863
    Новая модификация Enigma. Я пока толком не смотрел ее, но есть отличия от старых версий.

    Создает 9 файлов в корне жесткого диска и на рабочем столе пользователя.

    Содержимое одного из них:

    В папке %Temp% создаются следующие файлы:

    5792.exe - сам шифровальщик
    bat39160.bat - прописывает в автозагрузку шифровальщик и вызывает завершение процесса explorer. Видимо для того, чтобы пользователь ничего не мог сделать.

    Содержимое батника:

    Код (Text):
    REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce" /V "install" /t REG_SZ /F /D "C:\Documents and Settings\Администратор\Local Settings\temp\5792.exe"
    wmic process where name="explorer.exe" call terminate
    bccffab.txt - точно пока не знаю что такое.
    in.doc - заглушка для пользователя.

    [​IMG]

    e3d6_appcompat.txt - отладочная информация какая-то.
    E_N_I_G_M_A.RSA - уникальный ключ, который был сгенерирован для этого компьютера.
    pbkey.pbkey - публичный ключ видимо.
    prkey.prkey - приватный ключ видимо.
    E_N_I_G_M_A.txt - сообщение для пользователя. Копия файла chto_s_faylami_1txt___0___messg.txt
    --- Объединённое сообщение, 24 окт 2016 ---
    Шифрует следующие типы файлов:

    Код (Text):
    docm, pdf, sxi, otp, odp, wks, xltx, xltm, xlsx, xlsm, xlsb, slk, xlw, xlt, xlm, xlc, dif, stc, sxc, ots, ods, hwp, uot, rtf, ppt, stw, sxw, ott, odt, sti, pps, pot, std, pptm, pptx, potm, potx, odg, otg, sxm, mml, docb, ppam, ppsm, csr, crt, key, doc, pem, kwm, ppsx, txt, hdoc, docx, xls, xlsx, ppt, pptx, sqlite, 1cd, cd, csv, mdb, dwg, dbf, cdr, rtf, odt, mdb, sln, max, sql, sqlite, sqlite3, sqlitedb, php, asp, aspx, html, psd, 2d, 3dc, cad, java, asp, vbs, asm, php, pas, cpp, MYI, MYD, sqlitedb, ms11(Security copy), tbk, zi, zip, zipx, zix, zip, 7z, 001, 002, bz, bz2, bza, bzip, bzip2, czip, gz, gz2, gza, gzi, gzip, gz, rar, sqx, sqz, srep, tar, lzma, xz, taz, tbz, tbz2, tg, tgz, tlz, tlzma, tsk, tx_, txz, tz, uc2, jpg, avi, mpeg, mpg, fla, wmv, swf, djv, djvu, bmp, gif, png, jpeg, tif, tiff, mkv, mov, vdi, aes, sb, ks, slk, xlt, dif, ps, wm
     
     
    Последнее редактирование: 24 окт 2016
    Kиpилл нравится это.

Поделиться этой страницей