Home » Осторожно, вирус! » Как расшифровать файл с расширением .enigma после вируса шифровальщика

Как расшифровать файл с расширением .enigma после вируса шифровальщика

Довелось на днях познакомиться с очередной разновидностью вирусной гадости, которая приводит к потере всех полезных пользовательских данных. Речь пойдет о вирусе-шифровальщике, который рассылается по почте, шифрует файлы разных форматов и ставит расширение .enigma. Я расскажу о принципе его работы и о том, как бороться с подобными вирусами.

Углубленный онлайн-курс по MikroTik

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном онлайн-курcе по администрированию MikroTik. Автор курcа – сертифицированный тренер MikroTik Дмитрий Скоромнов. Более 40 лабораторных работ по которым дается обратная связь. В три раза больше информации, чем в MTCNA.

Рекомендую после прочтения этой статьи посмотреть на лечение и расшифровку файлов после вируса da_vinci_code. Там более подробно описан сам процесс восстановления файлов. Приведены конкретные программы и показано, в том числе на видео, как ими пользоваться.

Описание вируса шифровальщика enigma

Этот вирус очень похож на тот, что я уже описывал - вирус-шифровальщик vault. В технические детали нового вируса enigma я не вникал, но внешне для пользователя все выглядит примерно так же.

Начинается все с того, что вам на почту приходит письмо. В моем случае содержание было следующим:

Моя мама приобрела у вас 5 назад продукцию
Ваша конторка пересчитала нас!
Прошу вас, разберитесь eще раз справку о покупкe. Жду отвeта

Отправитель ящик на mail.ru, причем настоящий.

Письма с вирусом enigma

В письме вложение счет.html. Оно представляет собой страничку html. Если ее открыть в браузере, то увидите следующее содержание:

html страница с вирусом

счет_покупки.doc является гиперссылкой, по которой "скачивается" вирус. Реально он не скачивается, он уже у вас на компьютере, но его надо запустить. До этого момента он еще не запущен. Если вы нажимаете на эту ссылку, то вам предлагается "скачать" zip файл счет_покупки.zip. В нем находится файл счет_покупки(распечатка текстового документа).js, он и является непосредственно вирусом. Только после его запуска у вас начнется процесс шифрования файлов.

При этом выскочит первое окошко:

File not support

А затем второе:

Windows

Это обманные сообщения, для того, чтобы в следующем окошке:

virus-enigma-05

Вы нажали Да при выводе предупреждения от системы контроля учетных записей:

Контроль учетных записей

На самом деле, если вы тут согласитесь на выполнение команды, то потеряете все ваши теневые копии и не сможете восстановить данные. Если у вас отключен UAC, то вирус автоматом удалит теневые копии и восстановление данных с помощью них станет невозможным.

После нескольких запросов от UAC они прекратятся. В это время вирус уже зашифровал все ваши данные, которые посчитал полезными. В моем случае это были все форматы microsoft office (xlsx, docx и др.), pdf файлы, изображения различных форматов, архивы.

В моем случае по сетевым папкам вирус не прошел. Не знаю по какой причине, либо не умеет, либо не успел. Как только на компьютере заметили вирус, сразу его выключили.

По завершении шифрования файлов вы получите сообщение примерно следующего содержания:

Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи.
Файлы зашифрованны алгоритмом AES 128(https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) с приватным ключем,который знаем только мы.
Зашифрованные файлы имеют расширение .ENIGMA . Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.

Если хотите получить файлы обратно:

1)Установите Tor Browser https://www.torproject.org/
2)Найдите на рабочем столе ключ для доступа на сайт ENIGMA_(номер вашего ключа).RSA
3)Перейдите на сайт http://f6lohswy737xq34e.onion в тор-браузере и авторизуйтесь с помощью ENIGMA_(номер вашего ключа).RSA
4)Следуйте инструкциям на сайте и скачайте дешифратор

C:\Users\user\Desktop\ENIGMA_338.RSA - Путь к файлу-ключу на рабочем столе
C:\Users\user\AppData\Local\Temp\ENIGMA_338.RSA - Путь к файлу-ключу в TMP папке

Это сообщение развернуто на весь экран без возможности закрытия без диспетчера задач:

Сообщение от вируса шифровальщика Enigma

На рабочем столе появляются 2 файла:

  • ENIGMA_338.RSA
  • enigma_encr.html

Первый это некий ключ, по которому вы сможете зайти на сайт злоумышленников, на основе него они вам выдадут ключ для дешифровки. Второй файл это копия информационного сообщения, приведенного выше.

Вот описание принципа работы нового вируса шифровальщика enigma. Если бы мне кто-нибудь рассказал, что люди сами проделывают все описанные выше операции, я бы не поверил, если бы сам это не наблюдал. Секретарю пришло письмо и она выполнила всю последовательность описанных действий. В итоге все ее файлы на компьютере зашифровались. Не помог антивирус Kaspersky с свежими базами на день заражения. Я потом вручную просканировал все файлы, которые имеют отношение к этому вирусу, антивирус не нашел ничего подозрительного ни в одном из них. Спрашивается, какой в них смысл. В предыдущей моей встрече с шифровальщиком vault на компьютерах стоял лицензионный актуальный nod32, но он тоже не помог. После этих двух случаев я вообще считаю современные антивирусы бесполезными. Они не дают защиты от современных угроз.

Пользователи имели включенные антивирусы с последними базами, но это их нисколько не спасло от полной потери всей своей информации. Я, конечно, понимаю, что они сами себе виноваты в том, что запускают вирусы. Но тем не менее, это достаточно типичное поведение для большой группы пользователей. Почему нельзя выводить хотя бы предупреждение от антивируса о том, что у вас начался процесс шифрования файлов, мне не понятно.

Вирус ставит расширение enigma на doc, jpg, xls и других файлах

Вирус шифровальщик enigma у нас поработал и зашифровал все документы и картинки различных форматов. Все файлы теперь имеют расширение .enigma. Я на всякий случай попробовал удалить расширение enigma вручную на стандартное в надежде, что это какая-то подделка под настоящий шифровальщик. Такая надежда у меня теплилась из-за полного отсутствия реакции от антивируса. Но ожидания не оправдались. Смена расширения ни к чему не привела, файл не открывался. Судя по всему он действительно зашифрован с помощью AES-RSA.

После того, как вирус зашифрует все файлы и выведет оповещение о своей работе, шифрование прекратится. Все новые файлы, созданные после этого зашифрованы не будут. По крайней мере в той версии вируса, что попала ко мне. Я специально это проверил, создав новые файлы и перезагрузившись. Новые файлы остались не тронутыми. Вирус удаляет exe файл после окончания своей работы. Если вы еще раз не будете запускать шифровальщик, новые файлы не пострадают.

Как удалить вирус enigma и вылечить компьютер

Что делать, если вирус enigma уже у вас на компьютере? Шифровальщик enigma не очень въедливый и не представляет сложности для удаления. Чтобы вылечить компьютер, достаточно удалить остатки вируса и почистить автозагрузку, чтобы не выскакивало сообщение. Конкретно моя модификация вируса создавала в папке C:\Users\user\AppData\Local\Temp несколько файлов:

  • enigma.hta
  • ENIGMA_338.RSA (ключ доступа для расшифровки)
  • enigma_encr.html (информационное сообщение)
  • falcon9.falcon
  • workstatistic.dat

Был еще исполняемый файл 6afee960284667dab3f5430f708f58ce.exe, его вирус сам подчищает после завершения работы. Файлы RSA и html дополнительно копировались на рабочий стол пользователя.

Для запуска сообщения при загрузке компьютера и для продолжения шифрования, если оно не было закончено, используются записи в реестре в ветке автозапуска:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Создаются 2 ключа:

"adfaccaffdcad"="\"C:\\Users\\user\\AppData\\Local\\Temp\\6afee960284667dab3f5430f708f58ce.exe\" "
"adfaccaffdcadba"="\"C:\\Users\\user\\AppData\\Local\\Temp\\enigma.hta\" "

Их нужно удалить вместе с приведенным выше файлами. Этого достаточно для лечения компьютера и полного удаления вируса enigma.

Как восстановить и расшифровать файлы после вируса enigma

Что делать,чтобы восстановить зашифрованные файлы? Я поискал информацию об этом вирусе в интернете. Упоминания есть, но не так много. Скорее всего эта модификация не очень популярна, но все же встречается. В тот момент, когда я первый раз столкнулся с вирусом enigma, в интернете не было информации об успешной расшифровке файлов либо о существовании дешифратора enigma.

Когда я сел писать эту статью, проверил интернет еще раз. На форуме esetnod32 появились свежие записи о том, что техподдержка может предоставить дешифратор: "Техподдержка прислала дешифратор, расшифровал все!!! Спасибо."

Техподдержка eset nod32

Можно попробовать купить этот антивирус и написать в техподдержку с просьбой расшифровать файлы с расширением .enigma. Но не факт, что конкретно в вашем случае это поможет. Сейчас такое количество этих шифровальщиков с одними и теми же названиями, что гарантировать расшифровку невозможно.

Самостоятельно расшифровать файлы не получится. На помощь могут прийти только архивные копии, сделанные либо вручную, либо автоматически с помощью теневых копий windows. Узнать, включены ли у вас теневые копии можно в свойствах компьютера, в разделе "Защита системы".

Защита системы windows с помощью теневых копий

Если у вас защита включена, тогда можете попытаться вручную восстановить файл с расширением .enigma. Для этого вам нужно самим поменять расширение файла, удалив у него приставку .enigma. Если этого не сделать, то система посчитает, что это совершенно другой файл и не предложит его предыдущие версии, хотя реально они будут существовать. Меняете сами расширение фала, выбираете файл и жмете правой кнопкой мышки по нему, выбирая последний пункт "свойства". Далее выбираете вкладку "Предыдущие версии"

Восстановление файлов после шифровальщика enigma

Если у файла есть предыдущие версии, то выбираете последнюю и восстанавливаете.

Других вариантов восстановить файлы у вас нет, если вы не делали резервных копий на другой компьютер, внешний диск или флешку. Крайний вариант - обратиться к злоумышленникам за расшифровкой. Чаще всего они дают реально работающий дешифратор, я знаю несколько таких примеров.Обращаться или нет - решать вам в зависимости от степени важности зашифрованных файлов.

Касперский, drweb и другие антивирусы в борьбе с шифровальщиком enigma

Что же предлагают современные антивирусы в борьбе против вируса-шифровальщика enigma? У всех антивирусов рекомендации стандартные - если у вас есть лицензионная версия программы, то вы можете обратиться в техподдержку и ждать ответа. На момент написания статьи я видел только от антивируса eset nod32 информацию о том, что они могу расшифровать файлы.

На форуме drweb есть информация, что они в подавляющем большинстве случаев расшифровывают файлы.

Техподдержка drweb

Судя по датам, это тот же вирус, что и у меня.

На форуме Касперского я не нашел информации о enigma, кроме одного топика в англоязычном разделе. Ничего полезного и содержательного там не было. Можно создать запрос на расшифровку файлов, по ссылке подробно описано как это сделать.

Методы защиты от вируса enigma

Ничего нового и оригинального по защите от вирусов шифровальщиков я не посоветую. Enigma принципиально не отличается от всех остальных шифровальщиков, которые лавинообразно атакуют пользователей интернета. Все примеры шифровальщиков, которые я видел, проникали на компьютер пользователя через почту и при этом пользователь сам запускал шифрование.

Главная рекомендация по защите от вирусов шифровальщиков - внимательно смотрите письма, которые получаете по электронной почте. Не запускайте сомнительные вложения. Шифровальщиков прекрасно видно, они отличаются от обычных документов, нужно просто внимательнее смотреть.

Обязательно делайте резервные копии важной информации и не храните эти копии на том же компьютере, за которым работаете. Заведите для этого отдельную флешку и внешний жесткий диск и периодически подключайте их к компьютеру, копируйте информацию и отключайте. Отключать нужно обязательно!!! Я знаю пример, когда для резервного копирования использовалась флешка, которая в рабочее время была воткнута в компьютер. вирус зашифровал все документы на компьютере и НА ФЛЕШКЕ!!!

Видео по восстановлению файлов .enigma

Углубленный онлайн-курс по MikroTik.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном онлайн-курcе по администрированию MikroTik. Автор курcа – сертифицированный тренер MikroTik Дмитрий Скоромнов. Более 40 лабораторных работ по которым дается обратная связь. В три раза больше информации, чем в MTCNA.

Помогла статья? Подписывайся на telegram канал автора

Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

Автор Zerox

Владимир, системный администратор, автор сайта. Люблю настраивать сервера, изучать что-то новое, делиться знаниями, писать интересные и полезные статьи. Открыт к диалогу и сотрудничеству. Если вам интересно узнать обо мне побольше, то можете послушать интервью. Запись на моем канале - https://t.me/srv_admin/425 или на сайте в контактах.

Один комментарий

  1. Сергей

    добрый день. А разве теневые копии не под админом моно удалить?

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Нажимая кнопку "Отправить комментарий" Я даю согласие на обработку персональных данных.
Используешь Telegram? Подпишись на канал автора →
This is default text for notification bar