Довелось на днях познакомиться с очередной разновидностью вирусной гадости, которая приводит к потере всех полезных пользовательских данных. Речь пойдет о вирусе-шифровальщике, который рассылается по почте, шифрует файлы разных форматов и ставит расширение .enigma. Я расскажу о принципе его работы и о том, как бороться с подобными вирусами.
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.
Содержание:
- 1 Описание вируса шифровальщика enigma
- 2 Вирус ставит расширение enigma на doc, jpg, xls и других файлах
- 3 Как удалить вирус enigma и вылечить компьютер
- 4 Как восстановить и расшифровать файлы после вируса enigma
- 5 Касперский, drweb и другие антивирусы в борьбе с шифровальщиком enigma
- 6 Методы защиты от вируса enigma
- 7 Видео по восстановлению файлов .enigma
Описание вируса шифровальщика enigma
Этот вирус очень похож на тот, что я уже описывал - вирус-шифровальщик vault. В технические детали нового вируса enigma я не вникал, но внешне для пользователя все выглядит примерно так же.
Начинается все с того, что вам на почту приходит письмо. В моем случае содержание было следующим:
Моя мама приобрела у вас 5 назад продукцию
Ваша конторка пересчитала нас!
Прошу вас, разберитесь eще раз справку о покупкe. Жду отвeта
Отправитель ящик на mail.ru, причем настоящий.
В письме вложение счет.html. Оно представляет собой страничку html. Если ее открыть в браузере, то увидите следующее содержание:
счет_покупки.doc является гиперссылкой, по которой "скачивается" вирус. Реально он не скачивается, он уже у вас на компьютере, но его надо запустить. До этого момента он еще не запущен. Если вы нажимаете на эту ссылку, то вам предлагается "скачать" zip файл счет_покупки.zip. В нем находится файл счет_покупки(распечатка текстового документа).js, он и является непосредственно вирусом. Только после его запуска у вас начнется процесс шифрования файлов.
При этом выскочит первое окошко:
А затем второе:
Это обманные сообщения, для того, чтобы в следующем окошке:
Вы нажали Да при выводе предупреждения от системы контроля учетных записей:
На самом деле, если вы тут согласитесь на выполнение команды, то потеряете все ваши теневые копии и не сможете восстановить данные. Если у вас отключен UAC, то вирус автоматом удалит теневые копии и восстановление данных с помощью них станет невозможным.
После нескольких запросов от UAC они прекратятся. В это время вирус уже зашифровал все ваши данные, которые посчитал полезными. В моем случае это были все форматы microsoft office (xlsx, docx и др.), pdf файлы, изображения различных форматов, архивы.
В моем случае по сетевым папкам вирус не прошел. Не знаю по какой причине, либо не умеет, либо не успел. Как только на компьютере заметили вирус, сразу его выключили.
По завершении шифрования файлов вы получите сообщение примерно следующего содержания:
Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи.
Файлы зашифрованны алгоритмом AES 128(https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) с приватным ключем,который знаем только мы.
Зашифрованные файлы имеют расширение .ENIGMA . Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.
Если хотите получить файлы обратно:
1)Установите Tor Browser https://www.torproject.org/
2)Найдите на рабочем столе ключ для доступа на сайт ENIGMA_(номер вашего ключа).RSA
3)Перейдите на сайт http://f6lohswy737xq34e.onion в тор-браузере и авторизуйтесь с помощью ENIGMA_(номер вашего ключа).RSA
4)Следуйте инструкциям на сайте и скачайте дешифратор
C:\Users\user\Desktop\ENIGMA_338.RSA - Путь к файлу-ключу на рабочем столе
C:\Users\user\AppData\Local\Temp\ENIGMA_338.RSA - Путь к файлу-ключу в TMP папке
Это сообщение развернуто на весь экран без возможности закрытия без диспетчера задач:
На рабочем столе появляются 2 файла:
- ENIGMA_338.RSA
- enigma_encr.html
Первый это некий ключ, по которому вы сможете зайти на сайт злоумышленников, на основе него они вам выдадут ключ для дешифровки. Второй файл это копия информационного сообщения, приведенного выше.
Вот описание принципа работы нового вируса шифровальщика enigma. Если бы мне кто-нибудь рассказал, что люди сами проделывают все описанные выше операции, я бы не поверил, если бы сам это не наблюдал. Секретарю пришло письмо и она выполнила всю последовательность описанных действий. В итоге все ее файлы на компьютере зашифровались. Не помог антивирус Kaspersky с свежими базами на день заражения. Я потом вручную просканировал все файлы, которые имеют отношение к этому вирусу, антивирус не нашел ничего подозрительного ни в одном из них. Спрашивается, какой в них смысл. В предыдущей моей встрече с шифровальщиком vault на компьютерах стоял лицензионный актуальный nod32, но он тоже не помог. После этих двух случаев я вообще считаю современные антивирусы бесполезными. Они не дают защиты от современных угроз.
Пользователи имели включенные антивирусы с последними базами, но это их нисколько не спасло от полной потери всей своей информации. Я, конечно, понимаю, что они сами себе виноваты в том, что запускают вирусы. Но тем не менее, это достаточно типичное поведение для большой группы пользователей. Почему нельзя выводить хотя бы предупреждение от антивируса о том, что у вас начался процесс шифрования файлов, мне не понятно.
Вирус ставит расширение enigma на doc, jpg, xls и других файлах
Вирус шифровальщик enigma у нас поработал и зашифровал все документы и картинки различных форматов. Все файлы теперь имеют расширение .enigma. Я на всякий случай попробовал удалить расширение enigma вручную на стандартное в надежде, что это какая-то подделка под настоящий шифровальщик. Такая надежда у меня теплилась из-за полного отсутствия реакции от антивируса. Но ожидания не оправдались. Смена расширения ни к чему не привела, файл не открывался. Судя по всему он действительно зашифрован с помощью AES-RSA.
После того, как вирус зашифрует все файлы и выведет оповещение о своей работе, шифрование прекратится. Все новые файлы, созданные после этого зашифрованы не будут. По крайней мере в той версии вируса, что попала ко мне. Я специально это проверил, создав новые файлы и перезагрузившись. Новые файлы остались не тронутыми. Вирус удаляет exe файл после окончания своей работы. Если вы еще раз не будете запускать шифровальщик, новые файлы не пострадают.
Как удалить вирус enigma и вылечить компьютер
Что делать, если вирус enigma уже у вас на компьютере? Шифровальщик enigma не очень въедливый и не представляет сложности для удаления. Чтобы вылечить компьютер, достаточно удалить остатки вируса и почистить автозагрузку, чтобы не выскакивало сообщение. Конкретно моя модификация вируса создавала в папке C:\Users\user\AppData\Local\Temp несколько файлов:
- enigma.hta
- ENIGMA_338.RSA (ключ доступа для расшифровки)
- enigma_encr.html (информационное сообщение)
- falcon9.falcon
- workstatistic.dat
Был еще исполняемый файл 6afee960284667dab3f5430f708f58ce.exe, его вирус сам подчищает после завершения работы. Файлы RSA и html дополнительно копировались на рабочий стол пользователя.
Для запуска сообщения при загрузке компьютера и для продолжения шифрования, если оно не было закончено, используются записи в реестре в ветке автозапуска:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Создаются 2 ключа:
"adfaccaffdcad"="\"C:\\Users\\user\\AppData\\Local\\Temp\\6afee960284667dab3f5430f708f58ce.exe\" " "adfaccaffdcadba"="\"C:\\Users\\user\\AppData\\Local\\Temp\\enigma.hta\" "
Их нужно удалить вместе с приведенным выше файлами. Этого достаточно для лечения компьютера и полного удаления вируса enigma.
Как восстановить и расшифровать файлы после вируса enigma
Что делать,чтобы восстановить зашифрованные файлы? Я поискал информацию об этом вирусе в интернете. Упоминания есть, но не так много. Скорее всего эта модификация не очень популярна, но все же встречается. В тот момент, когда я первый раз столкнулся с вирусом enigma, в интернете не было информации об успешной расшифровке файлов либо о существовании дешифратора enigma.
Когда я сел писать эту статью, проверил интернет еще раз. На форуме esetnod32 появились свежие записи о том, что техподдержка может предоставить дешифратор: "Техподдержка прислала дешифратор, расшифровал все!!! Спасибо."
Можно попробовать купить этот антивирус и написать в техподдержку с просьбой расшифровать файлы с расширением .enigma. Но не факт, что конкретно в вашем случае это поможет. Сейчас такое количество этих шифровальщиков с одними и теми же названиями, что гарантировать расшифровку невозможно.
Самостоятельно расшифровать файлы не получится. На помощь могут прийти только архивные копии, сделанные либо вручную, либо автоматически с помощью теневых копий windows. Узнать, включены ли у вас теневые копии можно в свойствах компьютера, в разделе "Защита системы".
Если у вас защита включена, тогда можете попытаться вручную восстановить файл с расширением .enigma. Для этого вам нужно самим поменять расширение файла, удалив у него приставку .enigma. Если этого не сделать, то система посчитает, что это совершенно другой файл и не предложит его предыдущие версии, хотя реально они будут существовать. Меняете сами расширение фала, выбираете файл и жмете правой кнопкой мышки по нему, выбирая последний пункт "свойства". Далее выбираете вкладку "Предыдущие версии"
Если у файла есть предыдущие версии, то выбираете последнюю и восстанавливаете.
Других вариантов восстановить файлы у вас нет, если вы не делали резервных копий на другой компьютер, внешний диск или флешку. Крайний вариант - обратиться к злоумышленникам за расшифровкой. Чаще всего они дают реально работающий дешифратор, я знаю несколько таких примеров.Обращаться или нет - решать вам в зависимости от степени важности зашифрованных файлов.
Касперский, drweb и другие антивирусы в борьбе с шифровальщиком enigma
Что же предлагают современные антивирусы в борьбе против вируса-шифровальщика enigma? У всех антивирусов рекомендации стандартные - если у вас есть лицензионная версия программы, то вы можете обратиться в техподдержку и ждать ответа. На момент написания статьи я видел только от антивируса eset nod32 информацию о том, что они могу расшифровать файлы.
На форуме drweb есть информация, что они в подавляющем большинстве случаев расшифровывают файлы.
Судя по датам, это тот же вирус, что и у меня.
На форуме Касперского я не нашел информации о enigma, кроме одного топика в англоязычном разделе. Ничего полезного и содержательного там не было. Можно создать запрос на расшифровку файлов, по ссылке подробно описано как это сделать.
Методы защиты от вируса enigma
Ничего нового и оригинального по защите от вирусов шифровальщиков я не посоветую. Enigma принципиально не отличается от всех остальных шифровальщиков, которые лавинообразно атакуют пользователей интернета. Все примеры шифровальщиков, которые я видел, проникали на компьютер пользователя через почту и при этом пользователь сам запускал шифрование.
Обязательно делайте резервные копии важной информации и не храните эти копии на том же компьютере, за которым работаете. Заведите для этого отдельную флешку и внешний жесткий диск и периодически подключайте их к компьютеру, копируйте информацию и отключайте. Отключать нужно обязательно!!! Я знаю пример, когда для резервного копирования использовалась флешка, которая в рабочее время была воткнута в компьютер. вирус зашифровал все документы на компьютере и НА ФЛЕШКЕ!!!
Видео по восстановлению файлов .enigma
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.
добрый день. А разве теневые копии не под админом моно удалить?