Enigma Ransomware: Описание и вариации

[SNS-amigo]

Шифровальщик-вымогатель Enigma Ransomware: Цель — русскоязычные пользователи

Новый вредонос Enigma Ransomware шифрует данные с помощью алгоритма AES-128, а затем требует 0.4291 BTC (примерно $ 200 USD), чтобы вернуть файлы обратно Этот криптовымогатель, вероятно, ориентирован на русскоязычные страны, т.к. вымогательская записка написана на русском языке и страница сайта для оплаты выкупа имеет русскоязычный интерфейс. Примечательно, что этот вымогатель, хоть и должен, но не всегда удаляет тома теневых копий файлов, поэтому жертва может использовать их, чтобы восстановить свои файлы.


Рис.1. Русскоязычная записка о выкупе

Enigma Ransomware распространяется через HTML-вложения, содержащие всё необходимое для создания исполняемого файла, сохранения его на жёстком диске, а затем и запуска на выполнение. При открытии HTML- вложения запустится браузер и выполнит встроенный JavaScript, который создаст автономный файл под названием "Свидетельство о регистрации частного предприятия.js".


Рис.2. Создание исполняемого файла (фрагмент снимка, вверху убрал 27 нулей)

Запущенный пользователем этот js-файл создаст исполняемый файл с именем 3b788cd6389faa6a3d14c17153f5ce86.exe , который автоматически запустится на выполнение. Этот файл создается из массива байтов, хранящихся в JavaScript-файле.

После выполнения, исполняемый файл начинает шифрование данные на компьютере жертвы и добавляет к уже зашифрованным файлам расширение .enigma . Например, файл test.jpg примет вид test.jpg.enigma .

Когда процесс шифрования будет завершен, он выполнит файл %USERPROFILE%\Desktop\enigma.hta , служащий для показа записки о выкупе при каждой загрузке Windows. В нем написано о том, что случилось с файлами и дана ссылка на TOR-сайт для оплаты выкупа.

Содержимое записки о выкупе:

Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи.
Файлы зашифрованы алгоритмом AES 128 (Advanced Encryption Standard — Википедия) с приватным ключём, который знаем только мы.
Зашифрованные файлы имеют расширение .ENIGMA. Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.

Если хотите получить файлы обратно:
1) Установите Tor Browser Tor Project: Anonymity Online
2) Найдите на рабочем столе ключ для доступа на сайт ENIGMA_ (номер вашего ключа) .RSA
3) Перейдите на сайт хттп//f6lohswy737xq34e.onion в тор-браузере и авторизуйтесь с помощью ENIGMA_ (номер вашего ключа) .RSA
4) Следуйте инструкциям на сайте и скачайте дешифратор.

Если основной сайт будет недоступен попробуйте HTTP: хттп//ohj63tmbsod42v3d.onion/

В процессе шифрования создаются следующие файлы:
%Temp%\testttt.txt - Файл отладки для решения вопроса с дескриптором и создания исполняемого файла вымогателя.
%AppData%\testStart.txt - Файл отладки, показывающий, что шифрование началось и было успешным.
%UserProfile%\Desktop\allfilefinds.dat - Список зашифрованных файлов.
%UserProfile%\Desktop\enigma.hta - Файл в автозагрузке Windows, служащий для показа записки о выкупе.
%UserProfile%\Desktop\ENIGMA_[id_number].RSA - Уникальный ключ, связанный с ПК жертвы, для входа на сайт оплаты.
%UserProfile%\Desktop\enigma_encr.txt - Текст записки о выкупе.
%UserProfile%\Downloads\3b788cd6389faa6a3d14c17153f5ce86.exe - Исполняемый файл вымогателя.

Для уплаты выкупа нужно открыть специальный TOR-сайт, созданный разработчиками-вымогателями. Его адрес находится в записке с требованием выкупа и требует загрузить файл ENIGMA_[id_number].RSA для входа в систему платежа.



Войдя в систему жертва увидит, какое количеством биткоинов нужно отправить в качестве выкупа, а также Bitcoin-адрес получателя. Этот сайт предлагает жертве расшифровать один файл бесплатно, чтобы доказать, что дешифровка действительно возможна.



Здесь также есть мини-чат поддержки, через который жертва может поговорить с разработчиками вредоноса. После поступления оплаты, будет показана ссылку для загрузки дешифратора.

Файлы связанные с Enigma Ransomware:
%Temp%\testttt.txt
%AppData%\testStart.txt
%UserProfile%\Desktop\allfilefinds.dat
%UserProfile%\Desktop\enigma.hta
%UserProfile%\Desktop\ENIGMA_807.RSA
%UserProfile%\Desktop\enigma_encr.txt
%UserProfile%\Downloads\3b788cd6389faa6a3d14c17153f5ce86.exe

Записи реестра связанные с Enigma Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MyProgram 3b788cd6389faa6a3d14c17153f5ce86.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MyProgramOk %UserProfile%\Desktop\enigma.hta

Пример детекта на VirusTotal от 4 мая 2016:
https://www.virustotal.com/ru/file/...7e2ad2a55e9ea64d4ef24593cf44622621a/analysis/

Спойлер: Источники. © Автор перевода SNS-amigo

The Enigma Ransomware targets Russian Speaking Users
Шифровальщик-вымогатель Enigma Ransomware

 

[Funfactory]

Enigma Ransomware

Подскажите пожалуйста как восстановить файлы после Enigma Ransomware ?

 

[SNS-amigo]

Funfactory,
Дешифровщика пока нет. Сведения собраны. Ждем.
Вымогатель Enigma не всегда удаляет тома теневых копий файлов, потому есть шанс что-то оттуда вытащить. Но при использовании последних теневых копий можно также повторно заразить свой ПК. Если более ранних VSS нет, то лучше и не пытаться.

 

[АлександрСтроитель]

заражение и шифровка произошли вчера 15.08.2016.
компьютер пока не перегружался, вирус/скрипт и письмо-виновник не удалялись (мной)
логи прикрепить пока не могу - нет ни одной необходимой программы
работаю ВСЕГДА под пользователем, с ограниченными правами
чтобы установить какую-либо программу, надо перегружаться, а это я пока боюсь делать.
антивирус "родной" - микрософт ))

В моей ситуации помочь можно? Или готовить деньги?
По мне - так лучше деньги отдать помощнику, чем вымогателям

 

[SNS-amigo]

АлександрСтроитель, обратитесь в специальный раздел.
Там есть специалисты по данному вопросу. Создайте новую тему, скопируйте свой рассказ. Ничего пока не удаляйте и не чистите. Удачи!
Ссылка: https://safezone.cc/forums/decrypt_files/

 

[SNS-amigo]

Enigma Ransomware: Версия ~2

Засветилась новая версия криптовымогателя Enigma.
Файлы, как и раньше, шифруются с помощью AES-128.
Зашифрованные файлы получают расширение .1txt
Записка о выкупе теперь называется: enigma_info.txt

Содержание записки о выкупе:

Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи.
Файлы зашифрованны алгоритмом AES 128(***ru.wikipedia.org/wiki/Advanced_Encryption_Standard) с приватным ключем,который знаем только мы.
Зашифрованные файлы имеют расширение .1txt . Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.
Если хотите получить файлы обратно:
1)Установите Tor Browser ***torproject.org/
2)Найдите на рабочем столе ключ для доступа на сайт E_N_I_G_M_A.RSA(В ключе зашифрован пароль от ваших файлов)
3)Перейдите на сайт ***kf2uimw5omtgveu6.onion/ в тор-браузере и авторизуйтесь с помощью E_N_I_G_M_A.RSA
4)Следуйте инструкциям на сайте и скачайте дешифратор
C:\Users\я\Desktop\\E_N_I_G_M_A.RSA - Путь к файлу-ключу на рабочем столе
C:\Users\E0F1~1\AppData\Local\Temp\E_N_I_G_M_A.RSA - Путь к файлу-ключу в TMP папке

Все http-ешки в тексте записки я заменил на ***

Сайт вымогателей, где требуется приложить файл ENIGMA.RSA:


Файлы, связанные с Enigma Ransomware:
%USERPROFILE%\desktop\78fb.exe
%USERPROFILE%\desktop\enigma_info.txt

Образцы переданы на идентификацию в ID Ransomware.
Спасибо @mike 1

Гибридный анализ >>>
VirusTotal анализ >>>

 

[mike 1]

Я думаю расшифровка новой Энигмы возможна. На данный момент расшифровка имеется у Dr.Web, думаю вскоре подтянутся и остальные. В этот раз авторы новой Энигмы достаточно сильно постарались, чтобы образец вируса не попал к аналитикам.

 

[mike 1]

Новая модификация Enigma. Я пока толком не смотрел ее, но есть отличия от старых версий.

Создает 9 файлов в корне жесткого диска и на рабочем столе пользователя.

* Creates file C:\chto_s_faylami_1txt___0___messg.txt
* Creates file C:\chto_s_faylami_1txt___1___messg.txt
* Creates file C:\chto_s_faylami_1txt___2___messg.txt
* Creates file C:\chto_s_faylami_1txt___3___messg.txt
* Creates file C:\chto_s_faylami_1txt___4___messg.txt
* Creates file C:\chto_s_faylami_1txt___5___messg.txt
* Creates file C:\chto_s_faylami_1txt___6___messg.txt
* Creates file C:\chto_s_faylami_1txt___7___messg.txt
* Creates file C:\chto_s_faylami_1txt___8___messg.txt
* Creates file C:\chto_s_faylami_1txt___9___messg.txt
* Creates file C:\Documents and Settings\<Учетная запись пользователя>\Рабочий стол\chto_s_faylami_1txt___0___messg.txt
* Creates file C:\Documents and Settings\<Учетная запись пользователя>\Рабочий стол\chto_s_faylami_1txt___1___messg.txt
* Creates file C:\Documents and Settings\<Учетная запись пользователя>\Рабочий стол\chto_s_faylami_1txt___2___messg.txt
* Creates file C:\Documents and Settings\<Учетная запись пользователя>\Рабочий стол\chto_s_faylami_1txt___3___messg.txt
* Creates file C:\Documents and Settings\<Учетная запись пользователя>\Рабочий стол\chto_s_faylami_1txt___4___messg.txt
* Creates file C:\Documents and Settings\<Учетная запись пользователя>\Рабочий стол\chto_s_faylami_1txt___5___messg.txt
* Creates file C:\Documents and Settings\<Учетная запись пользователя>\Рабочий стол\chto_s_faylami_1txt___6___messg.txt
* Creates file C:\Documents and Settings\<Учетная запись пользователя>\Рабочий стол\chto_s_faylami_1txt___7___messg.txt
* Creates file C:\Documents and Settings\<Учетная запись пользователя>\Рабочий стол\chto_s_faylami_1txt___8___messg.txt
* Creates file C:\Documents and Settings\<Учетная запись пользователя>\Рабочий стол\chto_s_faylami_1txt___9___messg.txt

Содержимое одного из них:

Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи.
Файлы зашифрованны алгоритмом AES 128(Advanced Encryption Standard — Википедия) с приватным ключем,который знаем только мы.
Зашифрованные файлы имеют расширение .1txt . Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.

Если хотите получить файлы обратно:

1)Установите Tor Browser Tor Project: Anonymity Online
2)Найдите на рабочем столе ключ для доступа на сайт E_N_I_G_M_A.RSA(В ключе зашифрован пароль от ваших файлов)
3)Перейдите на сайт http://75phevehanjt7cwa.onion в тор-браузере и авторизуйтесь с помощью E_N_I_G_M_A.RSA
4)Следуйте инструкциям на сайте и скачайте дешифратор

C:\Documents and Settings\Администратор\Рабочий стол\\E_N_I_G_M_A.RSA - Путь к файлу-ключу на рабочем столе
C:\DOCUME~1\9335~1\LOCALS~1\Temp\E_N_I_G_M_A.RSA - Путь к файлу-ключу в TMP папке

В папке %Temp% создаются следующие файлы:

* Creates file C:\Documents and Settings\Администратор\Local Settings\temp\5792.exe
* Creates file C:\Documents and Settings\Администратор\Local Settings\temp\bat39160.bat
* Creates file C:\Documents and Settings\Администратор\Local Settings\temp\bccffab.txt
* Creates file C:\Documents and Settings\Администратор\Local Settings\temp\e3d6_appcompat.txt
* Creates file C:\Documents and Settings\Администратор\Local Settings\temp\E_N_I_G_M_A.RSA
* Creates file C:\Documents and Settings\Администратор\Local Settings\temp\E_N_I_G_M_A.txt
* Creates file C:\Documents and Settings\Администратор\Local Settings\temp\in.doc
* Creates file C:\Documents and Settings\Администратор\Local Settings\temp\pbkey.pbkey
* Creates file C:\Documents and Settings\Администратор\Local Settings\temp\prkey.prkey

5792.exe - сам шифровальщик
bat39160.bat - прописывает в автозагрузку шифровальщик и вызывает завершение процесса explorer. Видимо для того, чтобы пользователь ничего не мог сделать.

Содержимое батника:

REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce" /V "install" /t REG_SZ /F /D "C:\Documents and Settings\Администратор\Local Settings\temp\5792.exe"
wmic process where name="explorer.exe" call terminate

bccffab.txt - точно пока не знаю что такое.
in.doc - заглушка для пользователя.

e3d6_appcompat.txt - отладочная информация какая-то.
E_N_I_G_M_A.RSA - уникальный ключ, который был сгенерирован для этого компьютера.
pbkey.pbkey - публичный ключ видимо.
prkey.prkey - приватный ключ видимо.
E_N_I_G_M_A.txt - сообщение для пользователя. Копия файла chto_s_faylami_1txt___0___messg.txt
Шифрует следующие типы файлов:

docm, pdf, sxi, otp, odp, wks, xltx, xltm, xlsx, xlsm, xlsb, slk, xlw, xlt, xlm, xlc, dif, stc, sxc, ots, ods, hwp, uot, rtf, ppt, stw, sxw, ott, odt, sti, pps, pot, std, pptm, pptx, potm, potx, odg, otg, sxm, mml, docb, ppam, ppsm, csr, crt, key, doc, pem, kwm, ppsx, txt, hdoc, docx, xls, xlsx, ppt, pptx, sqlite, 1cd, cd, csv, mdb, dwg, dbf, cdr, rtf, odt, mdb, sln, max, sql, sqlite, sqlite3, sqlitedb, php, asp, aspx, html, psd, 2d, 3dc, cad, java, asp, vbs, asm, php, pas, cpp, MYI, MYD, sqlitedb, ms11(Security copy), tbk, zi, zip, zipx, zix, zip, 7z, 001, 002, bz, bz2, bza, bzip, bzip2, czip, gz, gz2, gza, gzi, gzip, gz, rar, sqx, sqz, srep, tar, lzma, xz, taz, tbz, tbz2, tg, tgz, tlz, tlzma, tsk, tx_, txz, tz, uc2, jpg, avi, mpeg, mpg, fla, wmv, swf, djv, djvu, bmp, gif, png, jpeg, tif, tiff, mkv, mov, vdi, aes, sb, ks, slk, xlt, dif, ps, wm