Вирус шифровальщик enigma лечение. Вирус-шифровальщик – что это, чем опасен. Почему именно "попытаться расшифровать"

Если на компьютере появилось текстовое сообщение, в котором написано, что ваши файлы зашифрованы, то не спешите паниковать. Какие симптомы шифрования файлов? Привычное расширение меняется на *.vault, *.xtbl, *[email protected]_XO101 и т.д. Открыть файлы нельзя – требуется ключ, который можно приобрести, отправив письмо на указанный в сообщении адрес.

Откуда у Вас зашифрованные файлы?

Компьютер подхватил вирус, который закрыл доступ к информации. Часто антивирусы их пропускают, потому что в основе этой программы обычно лежит какая-нибудь безобидная бесплатная утилита шифрования. Сам вирус вы удалите достаточно быстро, но с расшифровкой информации могут возникнуть серьезные проблемы.

Техническая поддержка Лаборатории Касперского, Dr.Web и других известных компаний, занимающихся разработкой антивирусного ПО, в ответ на просьбы пользователей расшифровать данные сообщает, что сделать это за приемлемое время невозможно. Есть несколько программ, которые могут подобрать код, но они умеют работать только с изученными ранее вирусами. Если же вы столкнулись с новой модификацией, то шансов на восстановление доступа к информации чрезвычайно мало.

Как вирус-шифровальщик попадает на компьютер?

В 90% случаев пользователи сами активируют вирус на компьютере , открывая неизвестные письма. После на e-mail приходит послание с провокационной темой – «Повестка в суд», «Задолженность по кредиту», «Уведомление из налоговой инспекции» и т.д. Внутри фейкового письма есть вложение, после скачивания которого шифровальщик попадает на компьютер и начинает постепенно закрывать доступ к файлам.

Шифрование не происходит моментально, поэтому у пользователей есть время, чтобы удалить вирус до того, как будет зашифрована вся информация. Уничтожить вредоносный скрипт можно с помощью чистящих утилит Dr.Web CureIt, Kaspersky Internet Security и Malwarebytes Antimalware.

Способы восстановления файлов

Если на компьютере была включена защита системы, то даже после действия вируса-шифровальщика есть шансы вернуть файлы в нормальное состояние, используя теневые копии файлов. Шифровальщики обычно стараются их удалить, но иногда им не удается это сделать из-за отсутствия полномочий администратора.

Восстановление предыдущей версии:

Чтобы предыдущие версии сохранялись, нужно включить защиту системы.

Важно: защита системы должна быть включена до появления шифровальщика, после это уже не поможет.

  1. Откройте свойства «Компьютера».
  2. В меню слева выберите «Защита системы».
  3. Выделите диск C и нажмите «Настроить».
  4. Выберите восстановление параметров и предыдущих версий файлов. Примените изменения, нажав «Ок».

Если вы предприняли эти меры до появления вируса, зашифровывающего файлы, то после очистки компьютер от вредоносного кода у вас будут хорошие шансы на восстановление информации.

Использование специальных утилит

Лаборатория Касперского подготовила несколько утилит, помогающих открыть зашифрованные файлы после удаления вируса. Первый дешифратор, который стоит попробовать применить – Kaspersky RectorDecryptor .

  1. Загрузите программу с официального сайта Лаборатории Касперского.
  2. После запустите утилиту и нажмите «Начать проверку». Укажите путь к любому зашифрованному файлу.

Если вредоносная программа не изменила расширение у файлов, то для расшифровки необходимо собрать их в отдельную папку. Если утилита RectorDecryptor, загрузите с официального сайта Касперского еще две программы – XoristDecryptor и RakhniDecryptor.

Последняя утилита от Лаборатории Касперского называется Ransomware Decryptor. Она помогает расшифровать файлы после вируса CoinVault, который пока не очень распространен в Рунете, но скоро может заменить другие трояны.

Шифровальщик-вымогатель Enigma Ransomware: Цель - русскоязычные пользователи

Новый вредонос Enigma Ransomware шифрует данные с помощью алгоритма AES-128, а затем требует 0.4291 BTC (примерно $ 200 USD), чтобы вернуть файлы обратно Этот криптовымогатель, вероятно, ориентирован на русскоязычные страны, т.к. вымогательская записка написана на русском языке и страница сайта для оплаты выкупа имеет русскоязычный интерфейс. Примечательно, что этот вымогатель, хоть и должен, но не всегда удаляет тома теневых копий файлов, поэтому жертва может использовать их, чтобы восстановить свои файлы.


Рис.1. Русскоязычная записка о выкупе

Enigma Ransomware распространяется через HTML-вложения , содержащие всё необходимое для создания исполняемого файла, сохранения его на жёстком диске, а затем и запуска на выполнение. При открытии HTML- вложения запустится браузер и выполнит встроенный JavaScript, который создаст автономный файл под названием "Свидетельство о регистрации частного предприятия.js".

Войдя в систему жертва увидит, какое количеством биткоинов нужно отправить в качестве выкупа, а также Bitcoin-адрес получателя. Этот сайт предлагает жертве расшифровать один файл бесплатно, чтобы доказать, что дешифровка действительно возможна.

Здесь также есть мини-чат поддержки, через который жертва может поговорить с разработчиками вредоноса. После поступления оплаты, будет показана ссылку для загрузки дешифратора.

Файлы связанные с Enigma Ransomware:
%Temp%\testttt.txt
%AppData%\testStart.txt
%UserProfile%\Desktop\allfilefinds.dat
%UserProfile%\Desktop\enigma.hta
%UserProfile%\Desktop\ENIGMA_807.RSA
%UserProfile%\Desktop\enigma_encr.txt
%UserProfile%\Downloads\3b788cd6389faa6a3d14c17153f5ce86.exe

Записи реестра связанные с Enigma Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MyProgram.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MyProgramOk %UserProfile%\Desktop\enigma.hta

Довелось на днях познакомиться с очередной разновидностью вирусной гадости, которая приводит к потере всех полезных пользовательских данных. Речь пойдет о вирусе-шифровальщике, который рассылается по почте, шифрует файлы разных форматов и ставит расширение.enigma. Я расскажу о принципе его работы и о том, как бороться с подобными вирусами.

Гарантированная расшифровка файлов после вируса шифровальщика — dr.shifro.ru. Подробности работы и схема взаимодействия с заказчиком ниже в статье в соответствующем разделе под номером 7 в Содержании.

Описание вируса шифровальщика enigma

Этот вирус очень похож на тот, что я уже описывал — . В технические детали нового вируса enigma я не вникал, но внешне для пользователя все выглядит примерно так же.

Начинается все с того, что вам на почту приходит письмо. В моем случае содержание было следующим:

Моя мама приобрела у вас 5 назад продукцию
Ваша конторка пересчитала нас!
Прошу вас, разберитесь eще раз справку о покупкe. Жду отвeта

Отправитель ящик на mail.ru, причем настоящий.

В письме вложение счет.html . Оно представляет собой страничку html. Если ее открыть в браузере, то увидите следующее содержание:

счет_покупки.doc является гиперссылкой, по которой «скачивается» вирус. Реально он не скачивается, он уже у вас на компьютере, но его надо запустить. До этого момента он еще не запущен. Если вы нажимаете на эту ссылку, то вам предлагается «скачать» zip файл счет_покупки.zip . В нем находится файл счет_покупки(распечатка текстового документа).js , он и является непосредственно вирусом. Только после его запуска у вас начнется процесс шифрования файлов.

При этом выскочит первое окошко:

А затем второе:

Это обманные сообщения, для того, чтобы в следующем окошке:

Вы нажали Да при выводе предупреждения от системы контроля учетных записей:

На самом деле, если вы тут согласитесь на выполнение команды, то потеряете все ваши теневые копии и не сможете восстановить данные. Если у вас отключен UAC, то вирус автоматом удалит теневые копии и восстановление данных с помощью них станет невозможным.

После нескольких запросов от UAC они прекратятся. В это время вирус уже зашифровал все ваши данные, которые посчитал полезными. В моем случае это были все форматы microsoft office (xlsx, docx и др.), pdf файлы, изображения различных форматов, архивы.

В моем случае по сетевым папкам вирус не прошел. Не знаю по какой причине, либо не умеет, либо не успел. Как только на компьютере заметили вирус, сразу его выключили.

По завершении шифрования файлов вы получите сообщение примерно следующего содержания:

Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи.
Файлы зашифрованны алгоритмом AES 128(https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) с приватным ключем,который знаем только мы.
Зашифрованные файлы имеют расширение.ENIGMA . Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.

Если хотите получить файлы обратно:

1)Установите Tor Browser https://www.torproject.org/
2)Найдите на рабочем столе ключ для доступа на сайт ENIGMA_(номер вашего ключа).RSA
3)Перейдите на сайт http://f6lohswy737xq34e.onion в тор-браузере и авторизуйтесь с помощью ENIGMA_(номер вашего ключа).RSA
4)Следуйте инструкциям на сайте и скачайте дешифратор

C:\Users\user\Desktop\ENIGMA_338.RSA — Путь к файлу-ключу на рабочем столе
C:\Users\user\AppData\Local\Temp\ENIGMA_338.RSA — Путь к файлу-ключу в TMP папке

Это сообщение развернуто на весь экран без возможности закрытия без диспетчера задач:

На рабочем столе появляются 2 файла:

  • ENIGMA_338.RSA
  • enigma_encr.html

Первый это некий ключ, по которому вы сможете зайти на сайт злоумышленников, на основе него они вам выдадут ключ для дешифровки. Второй файл это копия информационного сообщения, приведенного выше.

Вот описание принципа работы нового вируса шифровальщика enigma. Если бы мне кто-нибудь рассказал, что люди сами проделывают все описанные выше операции, я бы не поверил, если бы сам это не наблюдал. Секретарю пришло письмо и она выполнила всю последовательность описанных действий. В итоге все ее файлы на компьютере зашифровались. Не помог антивирус Kaspersky с свежими базами на день заражения. Я потом вручную просканировал все файлы, которые имеют отношение к этому вирусу, антивирус не нашел ничего подозрительного ни в одном из них. Спрашивается, какой в них смысл. В предыдущей моей встрече с шифровальщиком vault на компьютерах стоял лицензионный актуальный nod32, но он тоже не помог. После этих двух случаев я вообще считаю современные антивирусы бесполезными. Они не дают защиты от современных угроз.

Пользователи имели включенные антивирусы с последними базами, но это их нисколько не спасло от полной потери всей своей информации. Я, конечно, понимаю, что они сами себе виноваты в том, что запускают вирусы. Но тем не менее, это достаточно типичное поведение для большой группы пользователей. Почему нельзя выводить хотя бы предупреждение от антивируса о том, что у вас начался процесс шифрования файлов, мне не понятно.

Вирус ставит расширение enigma на doc, jpg, xls и других файлах

Вирус шифровальщик enigma у нас поработал и зашифровал все документы и картинки различных форматов. Все файлы теперь имеют расширение.enigma. Я на всякий случай попробовал удалить расширение enigma вручную на стандартное в надежде, что это какая-то подделка под настоящий шифровальщик. Такая надежда у меня теплилась из-за полного отсутствия реакции от антивируса. Но ожидания не оправдались. Смена расширения ни к чему не привела, файл не открывался. Судя по всему он действительно зашифрован с помощью AES-RSA.

После того, как вирус зашифрует все файлы и выведет оповещение о своей работе, шифрование прекратится. Все новые файлы, созданные после этого зашифрованы не будут. По крайней мере в той версии вируса, что попала ко мне. Я специально это проверил, создав новые файлы и перезагрузившись. Новые файлы остались не тронутыми. Вирус удаляет exe файл после окончания своей работы. Если вы еще раз не будете запускать шифровальщик, новые файлы не пострадают.

Как удалить вирус enigma и вылечить компьютер

Что делать, если вирус enigma уже у вас на компьютере? Шифровальщик enigma не очень въедливый и не представляет сложности для удаления. Чтобы вылечить компьютер, достаточно удалить остатки вируса и почистить автозагрузку, чтобы не выскакивало сообщение. Конкретно моя модификация вируса создавала в папке C:\Users\user\AppData\Local\Temp несколько файлов:

  • enigma.hta
  • ENIGMA_338.RSA (ключ доступа для расшифровки)
  • enigma_encr.html (информационное сообщение)
  • falcon9.falcon
  • workstatistic.dat

Был еще исполняемый файл 6afee960284667dab3f5430f708f58ce.exe , его вирус сам подчищает после завершения работы. Файлы RSA и html дополнительно копировались на рабочий стол пользователя.

Для запуска сообщения при загрузке компьютера и для продолжения шифрования, если оно не было закончено, используются записи в реестре в ветке автозапуска:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Создаются 2 ключа:

"adfaccaffdcad"="\"C:\\Users\\user\\AppData\\Local\\Temp\\6afee960284667dab3f5430f708f58ce.exe\" " "adfaccaffdcadba"="\"C:\\Users\\user\\AppData\\Local\\Temp\\enigma.hta\" "

Их нужно удалить вместе с приведенным выше файлами. Этого достаточно для лечения компьютера и полного удаления вируса enigma.

Как восстановить и расшифровать файлы после вируса enigma

Что делать,чтобы восстановить зашифрованные файлы? Я поискал информацию об этом вирусе в интернете. Упоминания есть, но не так много. Скорее всего эта модификация не очень популярна, но все же встречается. В тот момент, когда я первый раз столкнулся с вирусом enigma, в интернете не было информации об успешной расшифровке файлов либо о существовании дешифратора enigma.

Когда я сел писать эту статью, проверил интернет еще раз. На форуме esetnod32 появились свежие записи о том, что техподдержка может предоставить дешифратор: «Техподдержка прислала дешифратор, расшифровал все!!! Спасибо. «

Можно попробовать купить этот антивирус и написать в техподдержку с просьбой расшифровать файлы с расширением.enigma. Но не факт, что конкретно в вашем случае это поможет. Сейчас такое количество этих шифровальщиков с одними и теми же названиями, что гарантировать расшифровку невозможно.

Самостоятельно расшифровать файлы не получится. На помощь могут прийти только архивные копии, сделанные либо вручную, либо автоматически с помощью теневых копий windows. Узнать, включены ли у вас теневые копии можно в свойствах компьютера, в разделе «Защита системы».

Если у вас защита включена, тогда можете попытаться вручную восстановить файл с расширением.enigma. Для этого вам нужно самим поменять расширение файла, удалив у него приставку.enigma. Если этого не сделать, то система посчитает, что это совершенно другой файл и не предложит его предыдущие версии, хотя реально они будут существовать. Меняете сами расширение фала, выбираете файл и жмете правой кнопкой мышки по нему, выбирая последний пункт «свойства». Далее выбираете вкладку «Предыдущие версии»

Если у файла есть предыдущие версии, то выбираете последнюю и восстанавливаете.

Других вариантов восстановить файлы у вас нет, если вы не делали резервных копий на другой компьютер, внешний диск или флешку. Крайний вариант — обратиться к злоумышленникам за расшифровкой. Чаще всего они дают реально работающий дешифратор, я знаю несколько таких примеров.Обращаться или нет — решать вам в зависимости от степени важности зашифрованных файлов.

Касперский, drweb и другие антивирусы в борьбе с шифровальщиком enigma

Что же предлагают современные антивирусы в борьбе против вируса-шифровальщика enigma? У всех антивирусов рекомендации стандартные — если у вас есть лицензионная версия программы, то вы можете обратиться в техподдержку и ждать ответа. На момент написания статьи я видел только от антивируса eset nod32 информацию о том, что они могу расшифровать файлы.

Судя по датам, это тот же вирус, что и у меня.

На форуме Касперского я не нашел информации о enigma, кроме одного топика в англоязычном разделе. Ничего полезного и содержательного там не было. Можно создать запрос на расшифровку файлов , по ссылке подробно описано как это сделать.

Куда еще обратиться за гарантированной расшифровкой

Мне довелось познакомиться с одной компанией, которая реально расшифровывает данные после работы различных вирусов-шифровальщиков, в том числе enigma. Их адрес — http://www.dr-shifro.ru . Оплата только после полной расшифровки и вашей проверки. Вот примерная схема работы:

  1. Специалист компании подъезжает к вам в офис или на дом, и подписывает с вами договор, в котором фиксирует стоимость работ.
  2. Запускает дешифратор и расшифровывает все файлы.
  3. Вы убеждаетесь в том, что все файлы открываются, и подписываете акт сдачи/приемки выполненных работ.
  4. Оплата исключительно по факту успешного результата дешифрации.

Подробнее о схеме работы- http://www.dr-shifro.ru/11_blog-details.html
Скажу честно, я не знаю, как они это делают, но вы ничем не рискуете. Оплата только после демонстрации работы дешифратора. Просьба написать отзыв об опыте взаимодействия с этой компанией.

Методы защиты от вируса enigma

Ничего нового и оригинального по защите от вирусов шифровальщиков я не посоветую. Enigma принципиально не отличается от всех остальных шифровальщиков, которые лавинообразно атакуют пользователей интернета. Все примеры шифровальщиков, которые я видел, проникали на компьютер пользователя через почту и при этом пользователь сам запускал шифрование.

Главная рекомендация по защите от вирусов шифровальщиков — внимательно смотрите письма, которые получаете по электронной почте. Не запускайте сомнительные вложения. Шифровальщиков прекрасно видно, они отличаются от обычных документов, нужно просто внимательнее смотреть.

Обязательно делайте резервные копии важной информации и не храните эти копии на том же компьютере, за которым работаете. Заведите для этого отдельную флешку и внешний жесткий диск и периодически подключайте их к компьютеру, копируйте информацию и отключайте. Отключать нужно обязательно!!! Я знаю пример, когда для резервного копирования использовалась флешка, которая в рабочее время была воткнута в компьютер. вирус зашифровал все документы на компьютере и НА ФЛЕШКЕ!!!

Enigma (также известный как вирус Enigma) представляет собой вирус, что всплывающие окна предупреждение на экране вашего компьютера и просит заплатить определенную сумму, чтобы расшифровать все заблокированные файлы. Enigma - имя обнаружения вредоносного по, которое блокирует компьютер и шифрует файлы в нем. Затем он назначит закрытый ключ, необходимый для расшифровки всех файлов.

Enigma инфекция часто называют как вымогателей экспертами по безопасности. Он может отображать заблуждение сообщение о том, что все, что вам сделать, чтобы удалить вирус может привести к разрушению вашего закрытого ключа. Без этого ключа расшифровки файлов будет невозможно.

Пользователи компьютеров должны знать, что Enigma и большую часть своего рода были разработаны онлайн преступниками, чтобы заработать прибыль через мошенничество. Как правило вымогателей являются программы, которые будут блокировать доступ к файлам, программам и компьютер для сбора оплаты от жертв. Отправка денег к такого рода злоумышленник аналогичным образом дает им шанс заработать легко прибыль через Интернет мошенников. Следовательно эта деятельность никогда не остановится. Другие разработчики вредоносных программ, видя успех через эту схему могут осуществлять же атака скоро.

Для того, чтобы остановить деятельность вымогателей, включая Enigma вируса, лучше удалить угрозы, вирус или вредоносное по, который бросил его в компьютер. Далее вам нужно иметь дело с зашифрованными файлами, используя действительный инструменты от известных безопасности поставщика. Один из упомянутых инструментов, которые мы использовали на удаление руководства на этой странице может помочь разблокировать файлы, которые были зашифрованы при Enigma вредоносных программ.

поведение Enigma

  • Устанавливает себя без разрешений
  • Enigma деактивирует установленного программного обеспечения.
  • Изменение рабочего стола и параметры браузера.
  • Enigma показывает коммерческой рекламы
  • Интегрируется в веб-браузере через расширение браузера Enigma
  • Enigma подключается к сети Интернет без вашего разрешения
  • Общее поведение Enigma и некоторые другие текст emplaining som информация связанные с поведением
  • Распределяет через платить за установку или в комплекте с программным обеспечением сторонних производителей.

Enigma осуществляется версий ОС Windows

  • Windows 8 29%
  • Windows 7 29%
  • Windows Vista 12%
  • Windows XP 30%

Предупреждение, множественные антивирусные сканеры обнаружили возможные вредоносные программы в Enigma.

Антивирусное программное обеспечение Версия Обнаружение
McAfee-GW-Edition 2013
VIPRE Antivirus 22224 MalSign.Generic
Kingsoft AntiVirus 2013.4.9.267 Win32.Troj.Generic.a.(kcloud)
McAfee 5.600.0.1067 Win32.Application.OptimizerPro.E
NANO AntiVirus 0.26.0.55366 Trojan.Win32.Searcher.bpjlwd
Malwarebytes 1.75.0.1 PUP.Optional.Wajam.A
Malwarebytes v2013.10.29.10 PUP.Optional.MalSign.Generic
Dr.Web Adware.Searcher.2467
VIPRE Antivirus 22702 Wajam (fs)
ESET-NOD32 8894 Win32/Wajam.A
Baidu-International 3.5.1.41473 Trojan.Win32.Agent.peo

География Enigma

Удалить из Windows Enigma

Удалите Enigma из Windows XP:

Удалить Enigma с Windows Vista или Windows 7:


Удалите Enigma из Windows 8:


Удалите из вашего браузеров Enigma

Удалить Enigma из Internet Explorer


Удалить Enigma из Mozilla Firefox


Прекратить Enigma от Chrome