В конце апреля аналитики AVG столкнулись с новым вариантом вымогателя, атакующего преимущественно русскоязычных пользователей. Зловред был обнаружен экспертом Якубом Крустеком (Jakub Kroustek) и получил название Enigma.

Создатели используют для шифрования файлов AES и требуют выкуп в биткойнах в размере, эквивалентном $200.

Зловред имеет некоторые любопытные особенности. Например, его загрузчик написан на HTML/JS и имеет внедренный исполняемый файл. Enigma, как показал анализ, пытается удалить файлы Shadow Volume Copies, но не всегда удачно, поэтому зашифрованные файлы возможно восстановить без уплаты выкупа.

Enigma распространяется через вредоносные HTML-вложения в спам-сообщениях. Оказавшись в компьютере, зловред создает исполняемый файл, а затем сохраняет его на жестком диске и запускает. При открытии зараженного HTML-файла он запускается в браузере по умолчанию и исполняет внедренный JS-код. Последний генерирует файл «Свидетельство о регистрации частного предприятия.js», маскирующийся под легитимный документ. Открыв его, пользователь создает исполняемый файл 3b788cd6389faa6a3d14c17153f5ce86.exe, запускаемый автоматически, и тогда последний зашифровывает данные на инфицированном компьютере, добавляя к их названию расширение .enigma. Сделав дело, зловред исполняет файл %UserProfile%\Desktop\enigma.hta, чтобы продемонстрировать жертве текст требования о выкупе (орфография сохранена):

Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи. 
Файлы зашифрованны алгоритмом AES 128(https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) с приватным ключем, который знаем только мы.
Зашифрованные файлы имеют расширение .ENIGMA . Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.

Если хотите получить файлы обратно:

1)Установите Tor Browser https://www.torproject.org/
2)Найдите на рабочем столе ключ для доступа на сайт ENIGMA_(номер вашего ключа).RSA
3)Перейдите на сайт http://f6lohswy737xq34e.onion в тор-браузере и авторизуйтесь с помощью ENIGMA_(номер вашего ключа).RSA
4)Следуйте инструкциям на сайте и скачайте дешифратор
Если основной сайт будет недоступен попробуйте http://ohj63tmbsod42v3d.onion/ 

Следуя инструкциям, жертва попадает в сеть Tor, где ей нужно зарегистрироваться на сайте дешифратора для оплаты и получения ключа. Один файл злоумышленники позволяют расшифровать бесплатно, чтобы убедиться в том, что ключ работает. Для помощи при оплате и дешифровке хакеры используют веб-чат. Уплатив сумму в биткойнах, пользователь получает ссылку на дешифратор.

decryption-site

Как отмечают аналитики, этот год можно считать ренессансом программ-вымогателей: хакеры адаптируют модель монетизации таким образом, чтобы предоставлять вымогатель как сервис; даже начинающий киберпреступник может за относительно скромную сумму приобрести исходный код для разработки собственного варианта зловреда, а также пакет инструкций и услуг поддержки.

Согласно последнему квартальному отчету «Лаборатории Касперского», за квартал количество обнаруженных модификаций шифровальщиков возросло с 2549 до 2900, а общее количество шифровальщиков в базах «Лаборатории Касперского» составляет уже около 15 тыс. За последнее время от вымогателей пострадали несколько больниц и государственных учреждений.

Категории: Аналитика, Вредоносные программы