Si un message texte apparaît sur votre ordinateur indiquant que vos fichiers sont cryptés, alors ne paniquez pas. Quels sont les symptômes du cryptage de fichiers ? L'extension habituelle est changée en * .vault, * .xtbl, * [email protégé] _XO101, etc. Vous ne pouvez pas ouvrir les fichiers - vous avez besoin d'une clé, qui peut être achetée en envoyant une lettre à l'adresse indiquée dans le message.
Où avez-vous obtenu vos fichiers cryptés ?
L'ordinateur a attrapé un virus qui a bloqué l'accès aux informations. Les antivirus les ignorent souvent, car ce programme est généralement basé sur un utilitaire de cryptage gratuit et inoffensif. Vous pouvez supprimer le virus lui-même assez rapidement, mais de graves problèmes peuvent survenir avec le décryptage des informations.
Le support technique de Kaspersky Lab, Dr.Web et d'autres sociétés bien connues engagées dans le développement de logiciels antivirus, en réponse aux demandes des utilisateurs de décrypter les données, informe qu'il est impossible de le faire dans un délai raisonnable. Il existe plusieurs programmes qui peuvent récupérer le code, mais ils ne savent comment travailler qu'avec des virus précédemment étudiés. Si vous êtes confronté à une nouvelle modification, les chances de restaurer l'accès à l'information sont extrêmement faibles.
Comment un virus ransomware parvient-il à un ordinateur ?
Dans 90 % des cas, les utilisateurs eux-mêmes activent le virus sur l'ordinateur. ouvrant des lettres inconnues. Après cela, un e-mail reçoit un message avec un sujet provocateur - "Convocation au tribunal", "Arriérés de prêt", "Avis du bureau des impôts", etc. Il y a une pièce jointe à l'intérieur du faux e-mail, après le téléchargement, le ransomware parvient à l'ordinateur et commence progressivement à bloquer l'accès aux fichiers.
Le cryptage n'est pas instantané, les utilisateurs ont donc le temps de supprimer le virus avant que toutes les informations ne soient cryptées. Vous pouvez détruire un script malveillant à l'aide des utilitaires de nettoyage Dr.Web CureIt, Kaspersky Internet Security et Malwarebytes Antimalware.
Méthodes de récupération de fichiers
Si la protection du système a été activée sur l'ordinateur, même après l'action du virus ransomware, il existe des chances de ramener les fichiers à leur état normal à l'aide de clichés instantanés de fichiers. Les cryptographes essaient généralement de les supprimer, mais ils échouent parfois en raison du manque de privilèges d'administrateur.
Restaurer une version précédente :
Pour conserver les versions précédentes, vous devez activer la protection du système.
Important : la protection du système doit être activée avant que le ransomware n'apparaisse, après quoi il ne sera plus utile.
- Ouvrez les propriétés "Ordinateur".
- Dans le menu de gauche, sélectionnez "Protection du système".
- Mettez en surbrillance le lecteur C et cliquez sur Configurer.
- Choisissez de restaurer les paramètres et les versions précédentes des fichiers. Appliquez les modifications en cliquant sur "Ok".
Si vous avez pris ces mesures avant l'apparition d'un virus qui crypte les fichiers, alors après avoir vidé votre ordinateur du code malveillant, vous aurez de bonnes chances de récupérer vos informations.
Utilisation d'utilitaires spéciaux
Kaspersky Lab a préparé plusieurs utilitaires pour aider à ouvrir les fichiers cryptés après avoir supprimé le virus. Le premier décrypteur à essayer est Kaspersky RectorDecryptor.
- Téléchargez l'application sur le site officiel de Kaspersky Lab.
- Ensuite, lancez l'utilitaire et cliquez sur "Démarrer la vérification". Spécifiez le chemin d'accès à tout fichier crypté.
Si le malware n'a pas modifié l'extension des fichiers, pour les décrypter, vous devez les collecter dans un dossier séparé. Si l'utilitaire est RectorDecryptor, téléchargez deux autres programmes sur le site officiel de Kaspersky - XoristDecryptor et RakhniDecryptor. 
Le dernier utilitaire de Kaspersky Lab s'appelle Ransomware Decryptor. Il permet de décrypter les fichiers après le virus CoinVault, qui n'est pas encore très répandu sur l'Internet russe, mais pourrait bientôt remplacer d'autres chevaux de Troie.
Ransomware ransomware Enigma Ransomware: Target - Utilisateurs russophones
Le nouveau malware Enigma Ransomware crypte les données à l'aide de l'algorithme AES-128, puis nécessite 0,4291 BTC (environ 200 USD) pour renvoyer les fichiers. La note exorbitante est écrite en russe et la page du site de paiement de la rançon a une interface en russe. Il est à noter que ce ransomware, bien qu'il le devrait, ne supprime pas toujours les volumes de clichés instantanés de fichiers, de sorte que la victime peut les utiliser pour restaurer ses fichiers.
Fig. 1. Note de rançon en langue russe
Enigma Ransomware se propage via des pièces jointes HTML contenant tout ce dont vous avez besoin pour créer un fichier exécutable, enregistrez-le sur votre disque dur, puis exécutez-le pour exécution. L'ouverture de la pièce jointe HTML lancera un navigateur et exécutera JavaScript en ligne, qui créera un fichier autonome appelé Private Enterprise Registration Certificate.js.
En entrant dans le système, la victime verra combien de bitcoins doivent être envoyés en rançon, ainsi que l'adresse Bitcoin du destinataire. Ce site propose à la victime de décrypter un fichier gratuitement pour prouver que le décryptage est bien possible.
Il existe également un mini-chat d'assistance ici, à travers lequel la victime peut parler aux développeurs de logiciels malveillants. Une fois le paiement reçu, un lien pour télécharger le décodeur s'affichera.
Fichiers liés à Enigma Ransomware :
% Temp% \ testttt.txt
% AppData% \ testStart.txt
% UserProfile% \ Desktop \ allfilefinds.dat
% UserProfile% \ Desktop \ enigma.hta
% UserProfile% \ Bureau \ ENIGMA_807.RSA
% UserProfile% \ Desktop \ enigma_encr.txt
% UserProfile% \ Téléchargements \.exe
Entrées de registre associées à Enigma Ransomware :
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ MyProgram.exe
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ MyProgramOk% UserProfile% \ Desktop \ enigma.hta
L'autre jour, il m'est arrivé de faire la connaissance d'un autre type de merde virale, ce qui entraîne la perte de toutes les données utilisateur utiles. Nous parlons d'un virus ransomware qui est envoyé par courrier, crypte des fichiers de différents formats et met l'extension .enigma. Je vais parler de son fonctionnement et de la façon de lutter contre de tels virus.
Décryptage de fichiers garanti après le virus ransomware - dr.shifro.ru... Les détails du travail et le schéma d'interaction avec le client sont ci-dessous dans l'article dans la section correspondante sous le numéro 7 dans le sommaire.
Description de enigma ransomware virus
Ce virus est très similaire à celui que j'ai déjà décrit -. Dans les détails techniques du nouveau virus énigme Je ne l'ai pas approfondi, mais extérieurement, pour l'utilisateur, tout se ressemble.
Tout commence par le fait que vous recevez une lettre dans votre courrier. Dans mon cas, le contenu était le suivant :
Ma mère a acheté un produit chez vous il y a 5 ans
Votre bureau nous a compté !
Veuillez trier à nouveau les informations d'achat. Attendre une réponse
L'expéditeur est une boîte aux lettres sur mail.ru, et une vraie.
Dans la pièce jointe facture.html... C'est une page html. Si vous l'ouvrez dans un navigateur, vous verrez le contenu suivant :
achat_compte.doc est un lien hypertexte qui "télécharge" le virus. En réalité, il n'est pas téléchargé, il est déjà sur votre ordinateur, mais vous devez l'exécuter. Jusqu'à présent, il n'a pas encore été lancé. Si vous cliquez sur ce lien, il vous est alors proposé de "télécharger" le fichier zip achat_compte.zip... Il contient le fichier Purchase_account (impression du document texte) .js, c'est lui-même un virus. Ce n'est qu'après l'avoir lancé que vous lancerez le processus de cryptage des fichiers.
En même temps, la première fenêtre apparaîtra :
Et puis le deuxième :
Ce sont des messages trompeurs afin de voir la fenêtre suivante :
Vous avez cliqué sur Oui lorsque vous y êtes invité par l'avertissement Contrôle de compte d'utilisateur :
En fait, si vous acceptez d'exécuter la commande ici, vous perdrez tous vos clichés instantanés et ne pourrez pas récupérer les données. Si vous avez désactivé l'UAC, le virus supprimera automatiquement les clichés instantanés et la récupération de données en les utilisant deviendra impossible.
Après quelques demandes de l'UAC, ils s'arrêteront. A ce stade, le virus a déjà crypté toutes vos données, qu'il juge utiles. Dans mon cas, il s'agissait de tous les formats Microsoft Office (xlsx, docx, etc.), de fichiers pdf, d'images de divers formats, d'archives.
Dans mon cas, le virus n'a pas traversé les dossiers réseau. Je ne sais pas pour quelle raison, soit il ne sait pas comment, soit il n'a pas eu le temps. Dès qu'un virus était détecté sur l'ordinateur, il était immédiatement désactivé.
Une fois le cryptage du fichier terminé, vous recevrez un message semblable au suivant :
Nous avons crypté des fichiers importants sur votre ordinateur : documents, bases de données, photos, vidéos, clés.
Les fichiers sont cryptés avec l'algorithme AES 128 (https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) avec une clé privée que nous seuls connaissons.
Les fichiers cryptés ont l'extension .ENIGMA. Il est IMPOSSIBLE de décrypter des fichiers sans clé privée.
Si vous souhaitez récupérer les fichiers :
1) Installez le navigateur Tor https://www.torproject.org/
2) Trouvez sur le bureau la clé pour accéder au site ENIGMA_ (votre numéro de clé) .RSA
3) Allez sur le site http://f6lohswy737xq34e.onion dans un navigateur tor et connectez-vous avec ENIGMA_ (votre numéro de clé) .RSA
4) Suivez les instructions sur le site Web et téléchargez le décrypteur
C: \ Users \ user \ Desktop \ ENIGMA_338.RSA - Chemin d'accès au fichier de clé sur le bureau
C: \ Users \ user \ AppData \ Local \ Temp \ ENIGMA_338.RSA - Chemin d'accès au fichier de clé dans le dossier TMP
Ce message est développé en plein écran sans option de fermeture sans le gestionnaire de tâches :
2 fichiers apparaissent sur le bureau :
- ENIGMA_338.RSA
- enigma_encr.html
La première est une certaine clé par laquelle vous pouvez entrer sur le site des attaquants, sur la base de laquelle ils vous donneront une clé de déchiffrement. Le deuxième fichier est une copie du message d'information ci-dessus.
Voici une description du fonctionnement du nouveau virus ransomware Enigma. Si quelqu'un m'avait dit que les gens effectuaient eux-mêmes toutes les opérations décrites ci-dessus, je ne l'aurais pas cru si je ne l'avais pas observé moi-même. La secrétaire a reçu une lettre et elle a suivi toute la séquence des actions décrites. En conséquence, tous ses fichiers sur son ordinateur ont été cryptés. L'antivirus Kaspersky n'a pas aidé avec de nouvelles bases de données le jour de l'infection. Ensuite, j'ai scanné manuellement tous les fichiers liés à ce virus, l'antivirus n'a rien trouvé de suspect dans aucun d'entre eux. La question est de savoir quel est leur intérêt. Lors de ma précédente réunion avec le ransomware Vault, il y avait un nod32 actuel sous licence sur les ordinateurs, mais cela n'a pas aidé non plus. Après ces deux cas, je considère généralement les antivirus modernes inutiles. Ils n'offrent pas de protection contre les menaces modernes.
Les utilisateurs avaient des antivirus activés avec les dernières bases de données, mais cela ne les a pas épargné le moins du monde de la perte complète de toutes leurs informations. Je comprends bien sûr qu'ils sont eux-mêmes à blâmer pour le lancement de virus. Néanmoins, il s'agit d'un comportement assez typique pour un grand groupe d'utilisateurs. Pourquoi il est impossible d'afficher au moins un avertissement de l'antivirus indiquant que vous avez lancé le processus de cryptage des fichiers, je ne comprends pas.
Le virus met l'extension enigma sur doc, jpg, xls et autres fichiers
Le virus enigma ransomware a fonctionné pour nous et a crypté tous les documents et images de différents formats. Tous les fichiers ont maintenant l'extension .enigma. Juste au cas où, j'ai essayé de supprimer manuellement l'extension enigma vers l'extension standard dans l'espoir qu'il s'agisse d'une sorte de faux pour un vrai ransomware. J'avais un tel espoir à cause de l'absence totale de réponse de l'antivirus. Mais les attentes n'ont pas été satisfaites. Changer l'extension n'a rien donné, le fichier ne s'est pas ouvert. Apparemment, il est en effet crypté en utilisant AES-RSA.
Une fois que le virus a crypté tous les fichiers et affiché une notification sur son travail, le cryptage s'arrêtera. Tous les nouveaux fichiers créés après cela ne seront pas cryptés. Du moins dans la version du virus qui m'est venue. J'ai vérifié cela exprès en créant de nouveaux fichiers et en redémarrant. Les nouveaux fichiers sont restés intacts. Le virus supprime le fichier exe après avoir terminé son travail. Si vous n'exécutez pas à nouveau le ransomware, les nouveaux fichiers ne seront pas endommagés.
Comment supprimer le virus Enigma et guérir votre ordinateur
Et si le virus Enigma était déjà sur votre ordinateur ? Le ransomware enigma n'est pas très intrusif et n'est pas difficile à supprimer. Pour guérir l'ordinateur, il suffit de supprimer les restes du virus et de nettoyer le démarrage pour que le message ne s'affiche pas. Concrètement, ma modification du virus créé dans le dossier C: \ Users \ user \ AppData \ Local \ Temp plusieurs fichiers :
- énigme.hta
- ENIGMA_338.RSA (clé d'accès de déchiffrement)
- enigma_encr.html (message d'information)
- faucon9.falcon
- workstatistic.dat
Il y avait aussi un fichier exécutable 6afee960284667dab3f5430f708f58ce.exe, le virus lui-même se nettoie une fois le travail terminé. Les fichiers RSA et html ont également été copiés sur le bureau de l'utilisateur.
Les entrées de registre dans la branche autorun sont utilisées pour démarrer le message au démarrage de l'ordinateur et pour continuer le chiffrement s'il n'est pas terminé :
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
2 clés sont créées :
"adfaccaffdcad" = "\" C: \\ Users \\ user \\ AppData \\ Local \\ Temp \\.exe \ "" "adfaccaffdcadba" = "\" C: \\ Users \\ user \\ AppData \\ Local \\ Temp \\ enigma.hta \ ""
Ils doivent être supprimés avec les fichiers ci-dessus. C'est suffisant pour guérir l'ordinateur et supprimer complètement le virus Enigma.
Comment récupérer et décrypter des fichiers après le virus Enigma
Que faire pour récupérer des fichiers cryptés ? J'ai cherché sur Internet des informations sur ce virus. Il y a des références, mais pas tant que ça. Très probablement, cette modification n'est pas très populaire, mais elle se produit toujours. Au moment où j'ai rencontré pour la première fois le virus Enigma, il n'y avait aucune information sur Internet concernant le décryptage réussi des fichiers ou l'existence du décrypteur Enigma.
Quand je me suis assis pour écrire cet article, j'ai de nouveau vérifié sur Internet. De nouveaux enregistrements sont apparus sur le forum esetnod32 indiquant que le support technique peut fournir un décodeur : « Le support technique a envoyé un décodeur, a tout déchiffré !!! Merci. "
Vous pouvez essayer d'acheter cet antivirus et écrire au support technique avec une demande de décryptage des fichiers avec l'extension .enigma. Mais ce n'est pas un fait que cela aidera dans votre cas particulier. Maintenant, il y a tellement de ces ransomwares avec les mêmes noms qu'il est impossible de garantir le décryptage.
Vous ne pourrez pas déchiffrer les fichiers vous-même. Seules les copies de sauvegarde effectuées manuellement ou automatiquement à l'aide de clichés instantanés Windows peuvent venir à la rescousse. Vous pouvez savoir si vos clichés instantanés sont activés dans les propriétés de l'ordinateur, dans la section "Protection du système".
Si votre protection est activée, vous pouvez essayer de restaurer manuellement le fichier avec l'extension .enigma. Pour ce faire, vous devez modifier vous-même l'extension du fichier en supprimant le préfixe .enigma. Si cela n'est pas fait, le système considérera qu'il s'agit d'un fichier complètement différent et ne proposera pas ses versions précédentes, bien qu'elles existeront en réalité. Modifiez vous-même l'extension du fichier, sélectionnez le fichier et cliquez dessus avec le bouton droit de la souris, en choisissant le dernier élément "propriétés". Ensuite, sélectionnez l'onglet "Versions précédentes"
Si le fichier a des versions précédentes, sélectionnez la dernière et restaurez.
Vous n'avez pas d'autres options pour restaurer des fichiers si vous n'avez pas effectué de sauvegardes sur un autre ordinateur, un lecteur externe ou un lecteur flash. Une option extrême consiste à contacter les attaquants pour le déchiffrement. Le plus souvent, ils donnent un décrypteur qui fonctionne vraiment, j'en connais plusieurs exemples. Vous décidez si vous l'utilisez ou non, en fonction de l'importance des fichiers cryptés.
Kaspersky, drweb et autres antivirus dans la lutte contre les ransomwares enigma
Que proposent les antivirus modernes dans la lutte contre le virus énigmatique du ransomware ? Tous les antivirus ont des recommandations standard - si vous disposez d'une version sous licence du programme, vous pouvez contacter le support technique et attendre une réponse. Au moment d'écrire ces lignes, je n'ai vu que des informations de l'antivirus eset nod32 indiquant qu'ils peuvent déchiffrer les fichiers.
A en juger par les dates, c'est le même virus que le mien.
Sur le forum Kaspersky, je n'ai pas trouvé d'informations sur enigma, à l'exception d'un sujet dans la section anglophone. Il n'y avait rien d'utile et de significatif là-dedans. Vous pouvez créer une demande pour décrypter des fichiers, le lien décrit en détail comment procéder.
Où d'autre aller pour un décryptage garanti
Il m'est arrivé de rencontrer une entreprise qui décrypte les données après le travail de divers virus ransomware, y compris Enigma. Leur adresse est http://www.dr-sifro.ru. Paiement uniquement après décryptage complet et votre vérification. Voici un exemple de son fonctionnement :
- Un spécialiste de l'entreprise se rend à votre bureau ou à votre domicile et signe avec vous un accord dans lequel il fixe le coût des travaux.
- Lance le décrypteur et décrypte tous les fichiers.
- Vous vous assurez que tous les dossiers sont ouverts, et vous signez le certificat de livraison/réception du travail effectué.
- Paiement uniquement en cas de résultat de déchiffrement réussi.
En savoir plus sur le plan de travail - http://www.dr-sifro.ru/11_blog-details.html
Pour être honnête, je ne sais pas comment ils font, mais vous ne risquez rien. Paiement uniquement après la démonstration du fonctionnement du décodeur. S'il vous plaît écrire un commentaire sur votre expérience avec cette entreprise.
Méthodes de protection contre le virus Enigma
Je ne recommanderais rien de nouveau et d'original en matière de protection contre les virus ransomware. Enigma n'est pas fondamentalement différent de tous les autres ransomwares qui attaquent les internautes comme une avalanche. Tous les exemples de ransomware que j'ai vus ont infiltré l'ordinateur de l'utilisateur par courrier et l'utilisateur a lui-même démarré le cryptage.
La principale recommandation pour se protéger contre les virus ransomware est d'examiner attentivement les lettres que vous recevez par e-mail. N'exécutez pas de pièces jointes douteuses. Les cryptographes sont clairement visibles, ils diffèrent des documents ordinaires, il suffit de regarder de plus près.
Assurez-vous de sauvegarder les informations importantes et de ne pas stocker ces copies sur le même ordinateur que vous utilisez. Procurez-vous une clé USB séparée et un disque dur externe pour cela et connectez-les périodiquement à votre ordinateur, copiez les informations et déconnectez-vous. Il faut le débrancher !!! Je connais un exemple où un lecteur flash a été utilisé pour la sauvegarde, qui a été coincé dans l'ordinateur pendant les heures de travail. le virus a crypté tous les documents sur l'ordinateur et sur la clé USB !!!
Enigma (également connu sous le nom de virus Enigma) est un virus qui ouvre des fenêtres d'avertissement sur l'écran de votre ordinateur et vous demande de payer un certain montant pour décrypter tous les fichiers verrouillés. Enigma est le nom d'une détection de malware qui verrouille un ordinateur et crypte les fichiers qu'il contient. Il attribuera ensuite la clé privée requise pour déchiffrer tous les fichiers.
L'infection Enigma est souvent appelée ransomware par les experts en sécurité. Il peut afficher un message trompeur indiquant que tout ce que vous faites pour supprimer un virus peut détruire votre clé privée. Sans cette clé, le déchiffrement du fichier sera impossible.
Les utilisateurs d'ordinateurs doivent savoir qu'Enigma et la plupart des logiciels de ce type ont été développés par des cybercriminels pour réaliser des profits grâce à la fraude. En règle générale, les ransomwares sont des programmes qui bloquent l'accès aux fichiers, aux programmes et à l'ordinateur pour collecter le paiement des victimes. Envoyer de l'argent à ce type d'attaquant de la même manière leur donne la possibilité de réaliser facilement des profits grâce aux escrocs en ligne. Par conséquent, cette activité ne s'arrêtera jamais. D'autres développeurs de logiciels malveillants, voyant le succès grâce à ce schéma, pourraient lancer la même attaque bientôt.
Afin d'arrêter les activités des ransomwares, y compris le virus Enigma, il est préférable de supprimer la menace, le virus ou le malware qui l'a lancé dans l'ordinateur. Ensuite, vous devez traiter les fichiers cryptés à l'aide d'outils valides d'un fournisseur de sécurité réputé. L'un des outils mentionnés que nous avons utilisés dans le guide de suppression de cette page peut aider à déverrouiller les fichiers cryptés par le malware Enigma.
Comportement énigmatique
- S'installe sans autorisations
- Enigma désactive le logiciel installé.
- Modifiez les options du bureau et du navigateur.
- Enigma affiche des publicités commerciales
- S'intègre dans un navigateur Web via l'extension de navigateur Enigma
- Enigma se connecte à Internet sans votre permission
- Comportement général d'Enigma et un autre texte expliquant certaines informations relatives au comportement
- Distribue via payer pour installer ou regroupé avec un logiciel tiers.
Enigma a effectué les versions du système d'exploitation Windows
- Windows 8 29%
- Windows 7 29%
- Windows Vista 12%
- Windows XP 30%
Attention, plusieurs scanners antivirus ont détecté des malwares possibles dans Enigma.
| Logiciel antivirus | Version | Détection |
|---|---|---|
| McAfee-GW-Édition | 2013 | |
| Antivirus VIPRE | 22224 | MalSign.Generic |
| Antivirus Kingsoft | 2013.4.9.267 | Win32.Troj.Generic.a. (Kcloud) |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| NANO Antivirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| Malwarebytes | 1.75.0.1 | PUP.Facultatif.Wajam.A |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| Dr.Web | Adware.Searcher.2467 | |
| Antivirus VIPRE | 22702 | Wajam (fs) |
| ESET-NOD32 | 8894 | Win32 / Wajam.A |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
Géographie d'Enigma
Supprimer Enigma de Windows
Supprimer Enigma de Windows XP :
Supprimer Enigma de Windows Vista ou Windows 7 :
Supprimer Enigma de Windows 8 :
Supprimer Enigma de vos navigateurs
Supprimer Enigma d'Internet Explorer
Supprimer Enigma de Mozilla Firefox
Terminer Enigma de Chrome
