Jump to content


 


Register a free account to unlock additional features at BleepingComputer.com
Welcome to BleepingComputer, a free community where people like yourself come together to discuss and learn how to use their computers. Using the site is easy and fun. As a guest, you can browse and view the various discussions in the forums, but can not create a new topic or reply to an existing one unless you are logged in. Other benefits of registering an account are subscribing to topics and forums, creating a blog, and having no ads shown anywhere on the site.


Click here to Register a free account now! or read our Welcome Guide to learn how to use this site.

Photo

Enigma Ransomware Support and Help Topic (.ENIGMA, enigma.hta, enigma_encr.txt)


  • Please log in to reply
4 replies to this topic

#1 Grinler

Grinler

    Lawrence Abrams


  • Admin
  • 43,269 posts
  • ONLINE
  •  
  • Gender:Male
  • Location:USA
  • Local time:02:18 PM

Posted 09 May 2016 - 05:41 PM

A new ransomware was discovered at the end of April that targets Russian speaking computer users. When a user is infected their files will be encrypted with AES encryption and then ransomed for .4291 Bitcoins. All encrypted files will have the .enigma extension appended to them.

The ransom note for this ransomware is:

Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи. 
Файлы зашифрованны алгоритмом AES 128(https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) с приватным ключем,который знаем только мы.
Зашифрованные файлы имеют расширение .ENIGMA . Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.

Если хотите получить файлы обратно:

1)Установите Tor Browser https://www.torproject.org/
2)Найдите на рабочем столе ключ для доступа на сайт ENIGMA_(номер вашего ключа).RSA
3)Перейдите на сайт http://f6lohswy737xq34e.onion в тор-браузере и авторизуйтесь с помощью ENIGMA_(номер вашего ключа).RSA
4)Следуйте инструкциям на сайте и скачайте дешифратор


Если основной сайт будет недоступен попробуйте http://ohj63tmbsod42v3d.onion/ 
When the infection is complete, the victim will be left with the following files on their computer:

%Temp%\testttt.txt
%AppData%\testStart.txt
%UserProfile%\Desktop\allfilefinds.dat
%UserProfile%\Desktop\enigma.hta
%UserProfile%\Desktop\ENIGMA_[id_number].RSA
%UserProfile%\Desktop\enigma_encr.txt
%UserProfile%\Downloads\3b788cd6389faa6a3d14c17153f5ce86.exe
And the following registry keys:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MyProgram	3b788cd6389faa6a3d14c17153f5ce86.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MyProgramOk	%UserProfile%\Desktop\enigma.hta


BC AdBot (Login to Remove)

 


m

#2 mike 1

mike 1

  • Members
  • 195 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Russia, Moscow
  • Local time:11:18 PM

Posted 10 May 2016 - 04:28 AM

Sample https://www.virustotal.com/ru/file/2ff9c98d49fa495842de6fd4e6300b756558a7dd6fbb9c0b00d3a4875a75c686/analysis/


Ем мышек

My processor AMD Athlon™ X4 860K, 4 cores   :deadhorse:


#3 Grinler

Grinler

    Lawrence Abrams

  • Topic Starter

  • Admin
  • 43,269 posts
  • ONLINE
  •  
  • Gender:Male
  • Location:USA
  • Local time:02:18 PM

Posted 10 May 2016 - 08:03 AM

Thanks Mike!

#4 mike 1

mike 1

  • Members
  • 195 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Russia, Moscow
  • Local time:11:18 PM

Posted 11 October 2016 - 12:54 PM

New modification Enigma Ransomware.  

 

Extension: *.1txt

 

Sample: https://www.hybrid-analysis.com/sample/cd0dc483637147eaa9ca2ffd8b18aaace9e29d766c11042ff6e8ff2976c7f3c9?environmentId=100

https://www.virustotal.com/ru/file/c4b38d19a54d44e8c2e0d4e6a457c864787a78f2d2428e94d6a43169bd3e5d55/analysis/

 

The ransom note for this ransomware is:

 

 

Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи. 

Файлы зашифрованны алгоритмом AES 128(https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) с приватным ключем,который знаем только мы.
Зашифрованные файлы имеют расширение .1txt . Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.
 
Если хотите получить файлы обратно:
 
1)Установите Tor Browser https://www.torproject.org/
2)Найдите на рабочем столе ключ для доступа на сайт E_N_I_G_M_A.RSA (В ключе зашифрован пароль от ваших файлов)
3)Перейдите на сайт http://kf2uimw5omtgveu6.onion/ в тор-браузере и авторизуйтесь с помощью E_N_I_G_M_A.RSA
4)Следуйте инструкциям на сайте и скачайте дешифратор
 
C:\Documents and Settings\Администратор\Рабочий стол\\E_N_I_G_M_A.RSA - Путь к файлу-ключу на рабочем столе
C:\DOCUME~1\9335~1\LOCALS~1\Temp\E_N_I_G_M_A.RSA - Путь к файлу-ключу в TMP папке

Edited by mike 1, 11 October 2016 - 01:04 PM.

Ем мышек

My processor AMD Athlon™ X4 860K, 4 cores   :deadhorse:


#5 al1963

al1963

  • Members
  • 839 posts
  • OFFLINE
  •  
  • Local time:01:18 AM

Posted 02 November 2016 - 11:46 PM

fresh version of Enigma encryption with *.1txt

 

https://www.hybrid-analysis.com/sample/57f645bcfdf41d0f9cef389f9828b824fd048c901098a29b62a6cba9dfc45d89?environmentId=100






0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users