Enigma Ransomware Опис та варіації - Форум з інформаційної безпеки
SNS System Watch Freelance reporter
Шифрувальник-вимагачEnigma Ransomware: Мета — українськомовні користувачі
Новий шкідливість Enigma Ransomware шифрує дані за допомогою алгоритму AES-128, а потім вимагає 0.4291 BTC (приблизно $200 USD), щоб повернути файли назад здирницька записка написана українською мовою та сторінка сайту для оплати викупу має українськомовний інтерфейс. Примітно, що цей здирник, хоч і повинен, але не завжди видаляє томи тіньових копій файлів, тому жертва може використовувати їх, щоб відновити свої файли.
Рис.1. українськомовна записка про викуп
Після виконання, виконуваний файл починає шифрування даних на комп'ютері жертви і додає до вже зашифрованих файлів розширення.enigma. Наприклад, файлtest.jpgнабуде виглядуtest.jpg.enigma.
Вміст записки про викуп:
Якщо основний сайт буде недоступний, спробуйте HTTP: хттп//ohj63tmbsod42v3d.onion/
У процесі шифрування створюються такі файли: %Temp%\testttt.txt- Файл налагодження для вирішення питання з дескриптором та створення виконуваного файлу здирника. %AppData%\testStart.txt- Файл налагодження, що показує, що шифрування почалося і було успішним. %UserProfile%\Desktop\allfilefinds.dat- Список зашифрованих файлів. %UserProfile%\Desktop\enigma.hta- Файл автозавантаження Windows, який служить для показу записки про викуп. %UserProfile%\Desktop\ENIGMA_[id_number].RSA- Унікальний ключ, пов'язаний з ПК жертви, для входу на сайт оплати. %UserProfile%\Desktop\enigma_encr.txt- Текст записки про викуп. %UserProfile%\Downloads\3b788cd6389faa6a3d14c17153f5ce86.exe- Виконуваний файл здирника.
Тут також є міні-чат підтримки, через який жертва може поговорити із розробниками шкідливих даних. Після надходження оплати буде показано посилання для завантаження дешифратора.