Enigma Ransomware Описание и вариации - Форум за киберсигурност

SNS System Watch Репортер на свободна практика

RansomwareEnigma Ransomware: Насочен към българоговорящи потребители

Новият рансъмуер Enigma криптира данни с помощта на алгоритъма AES-128 и след това изисква 0,4291 BTC (приблизително $200 USD), за да върне файловете обратно. бележката за изнудване е написана на български език, а страницата за плащане на откуп има български интерфейс. Трябва да се отбележи, че този ransomware, въпреки че трябва, не винаги изтрива обеми от скрити копия на файлове, така че жертвата може да ги използва, за да възстанови своите файлове.

Фиг.1. Бележка за откуп на български език

След изпълнение изпълнимият файл започва да криптира данните на компютъра на жертвата и добавя разширението.enigmaкъм вече криптираните файлове. Например файлътtest.jpgставаtest.jpg.enigma.

Съдържание на бележката за откупа:

Ако основният сайт не е достъпен, опитайте HTTP: http//ohj63tmbsod42v3d.onion/

Следните файлове се генерират по време на процеса на шифроване: %Temp%\testttt.txt- Файл за отстраняване на грешки за разрешаване на проблема с манипулатора и създаване на изпълним файл за рансъмуер. %AppData%\testStart.txt- Файл за отстраняване на грешки, показващ, че криптирането е започнало и е успешно. %UserProfile%\Desktop\allfilefinds.dat- Списък с криптирани файлове. %UserProfile%\Desktop\enigma.hta- Файл при стартиране на Windows, който служи за показване на бележка за откуп. %UserProfile%\Desktop\ENIGMA_[id_number].RSA- Уникален ключ, свързан с компютъра на жертвата за влизане в сайта за плащане. %UserProfile%\Desktop\enigma_encr.txt- Текстът на бележката за откуп. %UserProfile%\Downloads\3b788cd6389faa6a3d14c17153f5ce86.exe- изпълним файл за рансъмуер.

вариации

ransomware

Има и мини чат за поддръжка, чрез който жертвата може да говори с разработчиците на зловреден софтуер. След получаване на плащането ще се покаже връзка за изтегляне на декодера.