• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    El ransomware Enigma se dirige a los usuarios de habla rusa

    El ransomware enigma se dirige a los usuarios de habla rusa Un nuevo ransomware llamado Enigma que se dirige a países de habla rusa. Fue descubierto a finales de abril por J akub Kroustek , ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.600

      El ransomware Enigma se dirige a los usuarios de habla rusa

      El ransomware enigma se dirige a los usuarios de habla rusa


      Un nuevo ransomware llamado Enigma que se dirige a países de habla rusa. Fue descubierto a finales de abril por Jakub Kroustek, especialista en ingeniería inversa y analista de malware de AVG , el ransomware enigma cifra los datos utilizando el cifrado AES y luego exige 0,4291 BTC o aproximadamente $ 200 USD para recuperar los archivos.

      Incluyendo el hecho de que este ransomware está dirigido a países de habla rusa, otra característica interesante es que Enigma también utiliza un instalador basado en HTML / JS que contiene un archivo ejecutable incrustado del ransomware. Una buena noticia es que este ransomware no parece eliminar las instantáneas de volumen, por lo que una víctima puede utilizarlos para recuperar sus archivos.

      El instalador en Javascript posee un archivo ejecutable incrustado

      Según el análisis que realicé con MalwareHunterTeam, el ransomware enigma actualmente está siendo distribuido a través de adjuntos HTML que contiene todo lo que se necesita para crear un archivo ejecutable, guardarlo en el disco duro de la víctima, y luego ejecutarlo. Cuando se abre el archivo adjunto HTML lanzará el navegador predeterminado y ejecutará el código JavaScript incrustado.

      Este Javascript creará un archivo Javascript independiente llamado Свидетельство о регистрации частного предприятия.js, que libremente se traduce en el certificado de registro privado predpriyatiya.js.


      Cuando se crea el archivo JavaScript, el archivo HTML pretenderá automáticamente descargarlo y ofrecerlo como un archivo que la víctima debe ejecutar. Cuando se ejecuta este archivo JS, se creará un ejecutable llamado 3b788cd6389faa6a3d14c17153f5ce86.exe que se pondrá en marcha y se ejecutará automáticamente. Este archivo ejecutable se crea a partir de una matriz de bytes almacenados en el archivo JavaScript.

      Una vez ejecutado, el ejecutable cifrará los datos en el ordenador de la víctima y añadirá la extensión .enigma a ellos. Por ejemplo, test.jpg se convertirá en test.jpg.enigma.

      Cuando se realiza el proceso de cifrado, se ejecutará el archivo% UserProfile% \ Desktop \ enigma.hta para mostrar la nota de rescate que se muestra a continuación. Esta nota de rescate contiene información sobre lo que ocurrió con los archivos de la víctima y un enlace al sitio de pago mediante TOR. El texto de esta nota de rescate dice:

      Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи.
      Файлы зашифрованны алгоритмом AES 128 (https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) с приватным ключем, который знаем только мы.
      Зашифрованные файлы имеют расширение .ENIGMA. Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.

      Если хотите получить файлы обратно:

      1) Установите Tor Browser https://www.torproject.org/
      2) Найдите на рабочем столе ключ для доступа на сайт ENIGMA_ (номер вашего ключа) .RSA
      3) Перейдите на сайт http: //f6lohswy737xq34e.onion в тор-браузере и авторизуйтесь с помощью ENIGMA_ (номер вашего ключа) .RSA
      4) Следуйте инструкциям на сайте и скачайте дешифратор


      Если основной сайт будет недоступен попробуйте http: //ohj63tmbsod42v3d.onion/
      Traducido libremente dice lo siguiente:
      Codificamos sus archivos confidenciales en su equipo: documentos, bases de datos, fotos, vídeos y claves.
      Los archivos fueron cifrados con el algoritmo AES de 128 (https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) con una clave privada que sólo sabemos nosotros.
      Los archivos cifrados tienen una extensión .ENIGMA. Descifrar los archivos sin la clave privada es imposible.

      Si desea obtener los archivos de nuevo:

      1) Instale el Navegador Tor https://www.torproject.org/
      2) Busque la entrada que está en el escritorio para acceder al sitio ENIGMA_ (your room key) .RSA
      3) Vaya a la página web http: //f6lohswy737xq34e.onion en torus-browser e inicie sesión en ENIGMA_ (your room key) .RSA
      4) Siga las instrucciones que aparecen en la página web y descargue el decodificador


      Si el primer sitio no está disponible, inténtelo en http: //ohj63tmbsod42v3d.onion/
      Durante el proceso de cifrado también creará los siguientes archivos, que se describen a continuación.

      • % Temp% \ testttt.txt - Un archivo de depuración utilizado para determinar si el identificador de archivo se puede abrir para la creación del ejecutable ransomware.
      • % AppData% \ testStart.txt - archivo de depuración que indica que el cifrado se inició y fue un éxito.
      • % UserProfile% \ Desktop \ allfilefinds.dat - Lista de archivos que fueron cifrados.
      • % UserProfile% \ Desktop \ enigma.hta - Se establece como ejecución automática de Windows para mostrar automáticamente la nota de rescate como se muestra arriba.
      • % UserProfile% \ Desktop \ ENIGMA_ [id_number] .RSA - La clave pública única asociada con el ordenador de la víctima. Esto se utiliza para iniciar sesión en el sitio de pago.
      • % UserProfile% \ Desktop \ enigma_encr.txt - Texto basado en la nota de rescate.
      • % UserProfile% \ Downloads \ 3b788cd6389faa6a3d14c17153f5ce86.exe - ejecutable ransomware.


      Por último, pero no menos importante, este ransomware no elimina las instantáneas de volumen. Así que usted puede utilizar estas instrucciones para recuperarlos de forma gratuita. Si necesita ayuda con este método, puede preguntarlo en el foro respectivo.


      El Sitio de pago del ransomware Enigma

      Cuando un usuario está infectado, para realizar el pago por el secuestro se necesita conectarse a un sitio TOR especial creado por los desarrolladores. La dirección de este sitio TOR se encuentra en la nota de rescate, y requiere que se cargue el archivo .RSA ENIGMA_ [id_number] con el fin de iniciar la sesión.




      Cuando un usuario inicia sesión se le indicará la cantidad de bitcoins que deben enviar para el rescate, así como la dirección de pago bitcoin que deben ser enviados. Este sitio de pago ofrece a la víctima la capacidad de descifrar un archivo de forma gratuita para que se constate que los desarrolladores del ransomware pueden hacerlo. También incluye una ventana de chat de soporte para que la víctima pueda utilizarlo para hablar con los desarrolladores del malware.


      Una vez que se ha realizado un pago, se pondrá a disposición un enlace de descarga que se puede utilizar para descargar el descifrador.

      Archivos asociados con el ransomware Enigma:

      %Temp%\testttt.txt %AppData%\testStart.txt %UserProfile%\Desktop\allfilefinds.dat %UserProfile%\Desktop\enigma.hta %UserProfile%\Desktop\ENIGMA_807.RSA %UserProfile%\Desktop\enigma_encr.txt %UserProfile%\Downloads\3b788cd6389faa6a3d14c17153f5ce86.exe
      Las claves de registro asociadas con el ransomware enigma:

      HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MyProgram 3b788cd6389faa6a3d14c17153f5ce86.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MyProgramOk %UserProfile%\Desktop\enigma.hta

      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: El ransomware Enigma se dirige a los usuarios de habla rusa

      Me toco trabajar con unas muestras de este ransomware Enigma y como bien dice la nota, al ser dirigido a los usuarios de habla Rusa dudo que vaya a tener mucha difusión infecciosa.



      Que este en ruso es algo no muy común y generalmente justamente es la única lengua que no se toca, por ej si en el ransomware Locky (el mas difundido en estos momentos) si tenemos nuestro teclado en formato ruso, este no nos afectaría ya que esta programado para no afectar a usuarios en Rusia.



      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.