Comment décrypter l'énigme. Un virus ransomware - qu'est-ce que c'est, pourquoi est-ce dangereux. Quiz : quelle extension de fichier est le type de bitmap

Sélectionnez le département "K" du ministère de l'Intérieur de la Russie et soumettez une candidature en ligne.
Voir aussi les articles du Code pénal de la Fédération de Russie :
De l'art. 272 "Accès illégal aux informations informatiques"
De l'art. 273 "Création, utilisation et distribution de programmes informatiques malveillants"

Informations sur les ransomwares

Les fichiers suivants sont créés pendant le processus de cryptage :

% Temp% \ testttt.txt - Fichier de débogage pour résoudre le problème avec le descripteur et créer le fichier exécutable du ransomware.

% AppData% \ testStart.txt - Fichier de débogage indiquant que le chiffrement a démarré et a réussi.

% UserProfile% \ Desktop \ allfilefinds.dat - Liste des fichiers cryptés.

% UserProfile% \ Desktop \ enigma.hta - Fichier de démarrage de Windows utilisé pour afficher la demande de rançon.

% UserProfile% \ Desktop \ ENIGMA_.RSA - Une clé unique associée au PC de la victime pour accéder au site de paiement.

% UserProfile% \ Desktop \ enigma_encr.txt - Le texte de la demande de rançon.

% UserProfile% \ Téléchargements \.exe - Fichier exécutable de ransomware.

Pour payer la rançon, vous devez ouvrir un site TOR spécial créé par les développeurs de ransomware. Son adresse est dans la note de rançon et vous oblige à télécharger le fichier ENIGMA_.RSA pour entrer dans le système de paiement.

En entrant dans le système, la victime verra combien de bitcoins doivent être envoyés en rançon, ainsi que l'adresse Bitcoin du destinataire. Ce site propose à la victime de décrypter un fichier gratuitement pour prouver que le décryptage est bien possible.

Liste des extensions de fichiers soumises au cryptage de fichiers :
.1cd, .2d, .3dc, .7z, .aes, .asm, .asp, .asp, .aspx, .avi, .bat, .bmp, .bz, .bz2, .bza, .bzip, .bzip2 , .cad, .cd, .cdr, .cmd, .cpp, .crt, .csr, .csv, .czip, .dat, .dbf, .dif, .djv, .djvu, .doc, .docb,. docm, .docx, .dwg, .fla, .gif, .gz, .gz, .gz2, .gza, .gzi, .gzip, .hdoc, .html, .hwp, .java, .jpeg, .jpg, .key, .kwm, .lzma, .max, .mdb, .mdb, .mkv, .mml, .mov, .mpeg, .mpg, .MYD, .MYI, .odg, .odp, .ods, .odt , .odt, .otg, .otp, .ots, .ott, .pas, .pem, .php, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm,. ppsx, .ppt, .ppt, .pptm, .pptx, .pptx, .psd, .rar, .rtf, .rtf, .slk, .sln, .sql, .sqlite, .sqlite, .sqlite3, .sqlitedb, .sqx, .sqz, .srep, .stc, .std, .sti, .stw, .swf, .sxc, .sxi, .sxm, .sxw, .tar, .taz, .tbk, .tbz, .tbz2 , .tg, .tgz, .tif, .tiff, .tlz, .tlzma, .tsk, .tx_, .txt, .txz, .tz, .uc2, .uot, .vbs, .vdi, .wks,. wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlsx, .xlt, .xltm, .xltx, .xlw, .xz, .zi, .zip, .zip, .zipx, .zix (extension 151).

Liste des extensions de fichier sujettes à suppression de fichier :
.aba, .abf, .abk, .acp, .as4, .asd, .ashbak, .asvx, .ate, .ati, .bac, .bak, .bak, .bak ~, .bak2, .bak3,. bakx, .bbb, .bbz, .bck, .bckp, .bcm, .bk1, .bk1, .bkc, .bkf, .bkp, .bks, .blend1, .blend2, .bm3, .bpa, .bpb, .bpm, .bpn, .bps, .bup, .bup, .cbk, .cbu, .ck9, .crds, .da0, .dash, .dba, .dbk, .diy, .dna, .dov, .fbc , .fbf, .fbk, .fbk, .fbu, .fbw, .fh, .fhf, .flka, .flkb, .fpsx, .ftmb, .ful, .fza, .gb1, .gb2, .gbp,. gho, .ghs, .icf, .ipd, .iv2i, .jbk, .jdc, .kb2, .lcb, .llx, .mbk, .mbw, .mddata, .mdinfo, .mem, .mig, .mpb, .mv_, .nb7, .nba, .nbak, .nbd, .nbd, .nbf, .nbf, .nbi, .nbk, .nbs, .nbu, .nco, .nfb, .nfc, .npf, .nps , .nrbak, .nrs, .nwbak, .obk, .oeb, .old, .onepkg, .ori, .orig, .paq, .pbb, .pbj, .qba, .qbb, .qbk, .qbm,. qbmb, .qbmd, .qbx, .qic, .qsf, .rbc, .rbf, .rbk, .rbs, .rdb, .rgmb, .rmbak, .rrr, .sbb, .sbs, .sbu, .skb, .sn1, .sn2, .sna, .sns, .spf, .spg, .spi, .srr, .stg, .sv $, .sv2i, .tbk, .tdb, .tig, .tis, .tlg,. tlg, .tmr, .trn, .ttbk, .uci, .v2i, .vbk, .vbm, .vpcbackup, .vr b, .wbb, .wbcat, .win, .win, .wjf, .wpb, .wspak, .xlk, .yrcbck (168 extensions).

Les programmes de ransomware ont souvent des zones et des publics cibles ciblés, mais parfois vous pouvez être infecté même si vous ne faites pas partie du groupe cible. Par exemple Enigma Ransomware (également connu sous le nom d'EnigmaRansomware) essayant principalement d'infecter les utilisateurs d'ordinateurs russophones basés en Russie et dans d'autres pays, mais cela ne signifie pas qu'il n'est pas possible d'attraper cette infection ailleurs. L'essentiel est qu'il soit important de supprimer le programme de l'ordinateur affecté, car il n'apporte que du chaos. Vous trouverez des guides de désinstallation au bas de cet article. Vous devriez également envisager d'acheter un outil anti-spyware sous licence pour vous assurer que la suppression du ransomware se déroule sans problème.

D'où vient Enigma Ransomware ?

Habituellement, cette infection se propage par le biais de courriers indésirables contenant des logiciels malveillants. Pièces jointes HTML. Par conséquent, la première étape pour empêcher ce programme d'entrer dans votre système serait d'éviter et d'ignorer les messages provenant d'expéditeurs inconnus.

Ouverture. La pièce jointe HTML portée par Enigma Ransomware exécute JavaScript. Ce script se connecte à Internet dans votre dos et télécharge le fichier .exe. Après le démarrage du fichier, le cryptage du fichier commence.

Il n'est pas possible de dire qui a exactement créé cette infection, et nous n'avons toujours pas assez de données pour prouver si elle est liée à l'une des applications précédemment publiées par le ransomware. Enigma Ransomware semble avoir des fonctionnalités qui ne sont pas communes à d'autres applications similaires, et même lorsque nous voyons comment ce programme se comporte, il est clair qu'il suit le modèle du principal ransomware.

Que fait Enigma Ransomware ?

Comme beaucoup d'autres applications ransomware, ce programme crypte vos fichiers. Comme mentionné, le cryptage des fichiers commence lorsque JavaScript malveillant télécharge et exécute le fichier .exe. Cela se passe dans votre dos et vous ne saurez que votre système a été compromis lorsque vous voyez une notification de rançon à l'écran.

Utilisez WiperSoft Malware Removal Tool uniquement à des fins de détection. et.

La notification sera soumise en russe. Il dira que si vous voulez récupérer vos fichiers, vous devez installer Tor Browser, puis l'utiliser pour accéder au site indiqué dans la notification. Le navigateur Tor est couramment utilisé par les programmes de ransomware pour communiquer entre ses serveurs et les utilisateurs infectés.

Veuillez noter qu'il y a au moins deux adresses fournies dans l'avis. Il dit que si vous ne parvenez pas à accéder à la première adresse, vous devriez essayer la secondaire. Cela signifie que la connexion aux serveurs exploités par les cybercriminels est fragile, et il ne serait pas surprenant que vous ne puissiez pas l'obtenir du tout. Ainsi, il est très douteux que vous puissiez obtenir la clé de déchiffrement même si vous deviez payer la rançon.

Contrairement à la plupart des programmes de ce profil, Enigma Ransomware ne vous donne pas un temps limité pour la traduction. Ainsi, il ne menace pas de détruire vos fichiers. Uata € ™ s plus, il est également très probable que l'application ne supprime pas tous les clichés instantanés du volume. Différents rapports revendiquent des résultats différents, mais si les clichés instantanés du volume sont réellement conservés après l'infection, il serait alors possible de récupérer les fichiers avec l'aide d'un technicien expérimenté, même sans véritable sauvegarde !

Comment supprimer Enigma Ransomware ?

Tout d'abord, vous devez supprimer ce virus de votre ordinateur. N'essayez pas de connecter un périphérique de sauvegarde pendant que le programme est toujours en cours d'exécution sur votre ordinateur, car cela peut également affecter les pilotes amovibles. Suivez les instructions fournies ci-dessous pour supprimer soigneusement tous les fichiers associés à cette infection.

Utilisez WiperSoft Malware Removal Tool uniquement à des fins de détection. et.

Veuillez noter que la suppression de fichiers et d'entrées de registre peut ne pas être suffisante pour terminer l'infection réelle. Sans oublier qu'il peut y avoir plus d'applications indésirables en cours d'exécution sur votre ordinateur. Par conséquent, vous devez analyser votre ordinateur avec un scanner gratuit SpyHunter pour déterminer quelles applications et quels fichiers doivent être supprimés immédiatement.

La suppression automatique des logiciels malveillants est vraiment efficace, surtout si vous n'êtes pas un utilisateur averti en informatique. De plus, en achetant un puissant outil anti-spyware, vous protégerez votre ordinateur contre des infections similaires à l'avenir. N'oubliez pas que vos habitudes de navigation sur le Web sont également importantes, alors soyez prudent lorsque vous rencontrez des liens, des messages et d'autres contenus inconnus.

Suppression manuelle de Enigma Ransomware

1. Cliquer sur Gagner + R et entrez % Temp% dans la case Ouvrir.
2. Cliquer sur bouton OK et supprimer le fichier testttt.txt du catalogue.
3. Rouvrir exécuter et entrez % Données d'application%... Cliquer sur bouton OK.
4. Supprimer le fichier testSTART.txt du catalogue.
5. Ouvrez votre Bureau et supprimez les fichiers suivants : allfilefinds.dat, enigma.hta, ENIGMA_807.RSA et enigma_encr.txt.
6. Appuyez à nouveau Gagner + R et entrez regedit dans le champ Ouvert... Cliquer sur Entrer.
7. Basculer vers HKEY_CURRENT_USERSoftware Windows CurrentVersionRun.
8. Au droit panneaux, clic-droit et supprimer les valeurs MonProgramme et MonProgrammeOK.
9. Sortiréditeur de registre et accédez au dossier téléchargements .
10. Trouve .EXE fichier nommé aléatoire 32 caractères et Effacer le sien.

Analyse 100% gratuite des logiciels espions et suppression testée de Enigma Ransomware

Étape 1: Supprimez les programmes liés à Enigma Ransomware de votre ordinateur

En suivant la première partie des instructions, vous pouvez suivre et vous débarrasser complètement des intrus et des perturbations :

1. Compléter Enigma Ransomware applications du système, utilisez les instructions qui vous conviennent :

• Windows XP/Vista/7 : Sélectionnez le bouton Début puis allez à Panneau de commande .

• Windows 8: Déplacement du curseur de la souris sur le côté droit, bord. Veuillez sélectionner Chercher et lancez la recherche " Panneau de commande". Une autre façon d'y accéder est de faire un clic droit sur coin chaud gauche(juste, bouton de démarrage) et allez à Panneau de commande choix.

Comment arrivez-vous à Panneau de commande puis trouvez la rubrique programmes et sélectionnez Supprimer un programme ... Si le panneau de commande a Classique genre vous devez appuyer deux fois sur programmes et composants .

Lorsque programmes et fonctions/désinstaller le programme Windows apparaît, jetez un œil à la liste, recherchez et supprimez un ou tous les programmes trouvés :

• Enigma Ransomware ; La HD n'est qu'un plus; SupprimerThaeAdAopp; UTUobEAdaBlock; SafeSaver; Onglet Sup;
• Apps de valeur ; Sucette; Mise à jour de la version du logiciel; DP1815; Lecteur vidéo; Convertir des fichiers gratuitement;
• Plus HD 1.3; BetterSurf; Web de confiance; PassShow; ParolesBuddy-1; ;
• Lecteur multimédia 1.1; Sauver le taureau; Feven Pro 1.1; Webstéroïdes; Sauver le taureau; 3.5 HD-Plus; Re-markit.

En outre, vous devez désinstaller toute application installée il y a peu de temps. Pour trouver ces applications récemment installées, cliquez sur Installé sur section et ici des programmes d'enquête basés sur des dates ont été établis. Jetez un œil à cette liste à nouveau et supprimez tous les programmes inconnus.

Utilisez WiperSoft Malware Removal Tool uniquement à des fins de détection. et.

Il peut également arriver que vous ne trouviez aucun des programmes énumérés ci-dessus que vous avez conseillé de désinstaller. Si vous vous rendez compte que vous ne reconnaissez aucun programme non fiable et invisible, suivez les étapes suivantes de ce guide de désinstallation.

Étape 2 : Supprimer les pop-ups Enigma Ransomware des navigateurs : Internet Explorer, Firefox et Google Chrome

Supprimer les pop-ups Enigma Ransomware d'Internet Explorer

Sur la base des conseils fournis, vous pouvez faire revenir vos navigateurs à la normale. Voici des conseils pour Internet Explorer :

Éliminer les publicités pop-up Enigma Ransomware de Mozilla Firefox

Si le navigateur Mozilla Furefox sur votre système est en quelque sorte cassé en raison de virus d'entrée, vous devez le restaurer. La restauration, en d'autres termes, signifie réinitialiser le navigateur à son état d'origine. Ne vous inquiétez pas de la sécurité de vos choix personnels de navigateur, tels que l'historique, les signets, les mots de passe, etc.

Important: comment restaurer le navigateur a été effectué, soyez informé que l'ancien profil Firefox sera enregistré dans le dossier anciennes données Firefox situé sur le bureau de votre système. Vous pouvez avoir besoin de ce dossier, ou vous pouvez simplement le supprimer car il détient vos données personnelles. Si la réinitialisation n'a pas réussi, faites copier vos fichiers importants à partir du dossier spécifié.

Supprimer les fenêtres contextuelles Enigma Ransomware de Google Chrome

1. Trouvez et cliquez sur bouton de menu chromé (barre d'outils du navigateur), puis sélectionnez instruments ... Continue avec rallonges .

1. Dans cet onglet, vous pouvez supprimer tous les plugins inconnus en cliquant sur l'icône de la corbeille. L'essentiel est de supprimer tout ou un de ces programmes : Enigma Ransomware, HD uniquement-plus, SafeSaver, DP1815, lecteur vidéo, convertir des fichiers gratuitement, plus-HD 1.3, BetterSurf, Lecteur multimédia 1.1, PassShow, ParolesBuddy-1, Yupdate4.flashplayes.info 1.2, Lecteur multimédia 1.1, Économies haussières, Feven Pro 1.1, Webstéroïdes, taureau d'épargne, HD-Plus 3.5.

* Le scanner WiperSoft, publié sur ce site, est destiné à être utilisé uniquement comme outil de détection. ... Pour utiliser la fonctionnalité de suppression, vous devrez acheter la version complète de WiperSoft. Si vous souhaitez désinstaller WiperSoft,.

Ransomware ransomware Enigma Ransomware: Target - Utilisateurs russophones

Le nouveau malware Enigma Ransomware crypte les données à l'aide de l'algorithme AES-128, puis nécessite 0,4291 BTC (environ 200 USD) pour renvoyer les fichiers. La note exorbitante est écrite en russe et la page du site de paiement de rançon a une interface en russe. Il est à noter que ce ransomware, bien qu'il le devrait, ne supprime pas toujours les volumes de clichés instantanés de fichiers, de sorte que la victime peut les utiliser pour restaurer ses fichiers.

Fig. 1. Note de rançon en langue russe

Enigma Ransomware se propage via des pièces jointes HTML contenant tout ce dont vous avez besoin pour créer un fichier exécutable, enregistrez-le sur votre disque dur, puis exécutez-le pour exécution. L'ouverture de la pièce jointe HTML lancera un navigateur et exécutera JavaScript en ligne, qui créera un fichier autonome appelé Private Enterprise Registration Certificate.js.

En entrant dans le système, la victime verra combien de bitcoins doivent être envoyés en rançon, ainsi que l'adresse Bitcoin du destinataire. Ce site propose à la victime de décrypter un fichier gratuitement pour prouver que le décryptage est bien possible.

Il existe également un mini-chat d'assistance ici, à travers lequel la victime peut parler aux développeurs de logiciels malveillants. Une fois le paiement reçu, un lien pour télécharger le décodeur s'affichera.

Fichiers liés à Enigma Ransomware :
% Temp% \ testttt.txt
% AppData% \ testStart.txt
% UserProfile% \ Desktop \ allfilefinds.dat
% UserProfile% \ Desktop \ enigma.hta
% UserProfile% \ Bureau \ ENIGMA_807.RSA
% UserProfile% \ Desktop \ enigma_encr.txt
% UserProfile% \ Téléchargements \.exe

Entrées de registre associées à Enigma Ransomware :
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ MyProgram.exe
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ MyProgramOk% UserProfile% \ Desktop \ enigma.hta

L'autre jour, j'ai eu la chance de me familiariser avec un autre type de merde virale, qui entraîne la perte de toutes les données utiles des utilisateurs. Nous parlons d'un virus ransomware qui est envoyé par courrier, crypte des fichiers de différents formats et met l'extension .enigma. Je vais parler de son fonctionnement et de la façon de lutter contre de tels virus.

Décryptage de fichier garanti après le virus ransomware - dr.shifro.ru... Les détails du travail et le schéma d'interaction avec le client sont ci-dessous dans l'article dans la section correspondante sous le numéro 7 dans le sommaire.

Description de enigma ransomware virus

Ce virus est très similaire à celui que j'ai déjà décrit -. Dans les détails techniques du nouveau virus énigme Je ne l'ai pas approfondi, mais extérieurement, pour l'utilisateur, tout se ressemble.

Tout commence par le fait que vous recevez une lettre dans votre courrier. Dans mon cas, le contenu était le suivant :

Ma mère a acheté un produit chez vous il y a 5 ans
Votre bureau nous a compté !
Veuillez trier à nouveau les informations d'achat. Attendre une réponse

L'expéditeur est une boîte aux lettres sur mail.ru, et une vraie.

Dans la pièce jointe facture.html... C'est une page html. Si vous l'ouvrez dans un navigateur, vous verrez le contenu suivant :

achat_compte.doc est un lien hypertexte qui "télécharge" le virus. En réalité, il n'est pas téléchargé, il est déjà sur votre ordinateur, mais vous devez l'exécuter. Jusqu'à présent, il n'a pas encore été lancé. Si vous cliquez sur ce lien, il vous est alors proposé de "télécharger" le fichier zip achat_compte.zip... Il contient le fichier Purchase_account (impression du document texte) .js, c'est lui-même un virus. Ce n'est qu'après l'avoir lancé que vous lancerez le processus de cryptage des fichiers.

En même temps, la première fenêtre apparaîtra :

Et puis le deuxième :

Ce sont des messages trompeurs afin de voir la fenêtre suivante :

Vous avez cliqué sur Oui lorsque vous y êtes invité par l'avertissement Contrôle de compte d'utilisateur :

En fait, si vous acceptez d'exécuter la commande ici, vous perdrez tous vos clichés instantanés et ne pourrez pas récupérer les données. Si vous avez désactivé l'UAC, le virus supprimera automatiquement les clichés instantanés et la récupération de données en les utilisant deviendra impossible.

Après quelques demandes de l'UAC, ils s'arrêteront. A ce stade, le virus a déjà crypté toutes vos données, qu'il juge utiles. Dans mon cas, il s'agissait de tous les formats Microsoft Office (xlsx, docx, etc.), de fichiers pdf, d'images de divers formats, d'archives.

Dans mon cas, le virus n'a pas traversé les dossiers réseau. Je ne sais pas pour quelle raison, soit il ne sait pas comment, soit il n'a pas eu le temps. Dès qu'un virus était détecté sur l'ordinateur, il était immédiatement désactivé.

Une fois le cryptage du fichier terminé, vous recevrez un message semblable au suivant :

Nous avons crypté des fichiers importants sur votre ordinateur : documents, bases de données, photos, vidéos, clés.
Les fichiers sont cryptés avec l'algorithme AES 128 (https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) avec une clé privée que nous seuls connaissons.
Les fichiers cryptés ont l'extension .ENIGMA. Il est IMPOSSIBLE de décrypter des fichiers sans clé privée.

Si vous souhaitez récupérer les fichiers :

1) Installez le navigateur Tor https://www.torproject.org/
2) Trouvez sur le bureau la clé pour accéder au site ENIGMA_ (votre numéro de clé) .RSA
3) Allez sur le site http://f6lohswy737xq34e.onion dans le navigateur tor et connectez-vous avec ENIGMA_ (votre numéro de clé) .RSA
4) Suivez les instructions sur le site Web et téléchargez le décrypteur

C: \ Users \ user \ Desktop \ ENIGMA_338.RSA - Chemin d'accès au fichier de clé sur le bureau
C: \ Users \ user \ AppData \ Local \ Temp \ ENIGMA_338.RSA - Chemin d'accès au fichier de clé dans le dossier TMP

Ce message est développé en plein écran sans option de fermeture sans le gestionnaire de tâches :

2 fichiers apparaissent sur le bureau :

• ENIGMA_338.RSA
• enigma_encr.html

La première est une certaine clé par laquelle vous pouvez entrer sur le site des attaquants, sur la base de laquelle ils vous donneront une clé de déchiffrement. Le deuxième fichier est une copie du message d'information ci-dessus.

Voici une description du fonctionnement du nouveau virus ransomware Enigma. Si quelqu'un m'avait dit que les gens effectuaient eux-mêmes toutes les opérations décrites ci-dessus, je ne l'aurais pas cru si je ne l'avais pas observé moi-même. La secrétaire a reçu une lettre et elle a suivi toute la séquence des actions décrites. En conséquence, tous ses fichiers sur son ordinateur ont été cryptés. L'antivirus Kaspersky n'a pas aidé avec de nouvelles bases de données le jour de l'infection. Ensuite, j'ai scanné manuellement tous les fichiers liés à ce virus, l'antivirus n'a rien trouvé de suspect dans aucun d'entre eux. La question est de savoir quel est leur intérêt. Lors de ma précédente réunion avec le ransomware Vault, il y avait un nod32 actuel sous licence sur les ordinateurs, mais cela n'a pas aidé non plus. Après ces deux cas, je considère généralement les antivirus modernes inutiles. Ils n'offrent pas de protection contre les menaces modernes.

Les utilisateurs avaient des antivirus activés avec les dernières bases de données, mais cela ne les a pas épargné le moins du monde de la perte complète de toutes leurs informations. Je comprends bien sûr qu'ils sont eux-mêmes à blâmer pour le lancement de virus. Néanmoins, il s'agit d'un comportement assez typique pour un grand groupe d'utilisateurs. Pourquoi il est impossible d'afficher au moins un avertissement de l'antivirus indiquant que vous avez lancé le processus de cryptage des fichiers, je ne comprends pas.

Le virus met l'extension enigma sur les fichiers doc, jpg, xls et autres

Le virus enigma ransomware a fonctionné pour nous et a crypté tous les documents et images de différents formats. Tous les fichiers ont maintenant l'extension .enigma. Juste au cas où, j'ai essayé de supprimer manuellement l'extension enigma vers l'extension standard dans l'espoir qu'il s'agisse d'une sorte de faux pour un vrai ransomware. J'avais un tel espoir à cause de l'absence totale de réponse de l'antivirus. Mais les attentes n'ont pas été satisfaites. Changer l'extension n'a rien donné, le fichier ne s'est pas ouvert. Apparemment, il est en effet crypté en utilisant AES-RSA.

Une fois que le virus a crypté tous les fichiers et affiché une notification sur son travail, le cryptage s'arrêtera. Tous les nouveaux fichiers créés après cela ne seront pas cryptés. Du moins dans la version du virus qui m'est venue. J'ai vérifié cela exprès en créant de nouveaux fichiers et en redémarrant. Les nouveaux fichiers sont restés intacts. Le virus supprime le fichier exe après avoir terminé son travail. Si vous n'exécutez pas à nouveau le ransomware, les nouveaux fichiers ne seront pas endommagés.

Comment supprimer le virus Enigma et guérir votre ordinateur

Et si le virus Enigma était déjà sur votre ordinateur ? Le ransomware enigma n'est pas très intrusif et n'est pas difficile à supprimer. Pour guérir l'ordinateur, il suffit de supprimer les restes du virus et de nettoyer le démarrage pour que le message ne s'affiche pas. Concrètement, ma modification du virus créé dans le dossier C: \ Users \ user \ AppData \ Local \ Temp plusieurs fichiers :

• énigme.hta
• ENIGMA_338.RSA (clé d'accès de déchiffrement)
• enigma_encr.html (message d'information)
• faucon9.falcon
• workstatistic.dat

Il y avait aussi un fichier exécutable 6afee960284667dab3f5430f708f58ce.exe, le virus lui-même se nettoie une fois le travail terminé. Les fichiers RSA et html ont également été copiés sur le bureau de l'utilisateur.

Pour lancer le message au démarrage de l'ordinateur et poursuivre le chiffrement s'il n'est pas terminé, utilisez les entrées de registre dans la branche autorun :

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

2 clés sont créées :

"adfaccaffdcad" = "\" C: \\ Users \\ user \\ AppData \\ Local \\ Temp \\.exe \ "" "adfaccaffdcadba" = "\" C: \\ Users \\ user \\ AppData \\ Local \\ Temp \\ enigma.hta \ ""

Ils doivent être supprimés avec les fichiers ci-dessus. C'est suffisant pour guérir l'ordinateur et supprimer complètement le virus Enigma.

Comment récupérer et décrypter des fichiers après le virus Enigma

Que faire pour récupérer des fichiers cryptés ? J'ai cherché sur Internet des informations sur ce virus. Il y a des références, mais pas tant que ça. Très probablement, cette modification n'est pas très populaire, mais elle se produit toujours. Au moment où j'ai rencontré pour la première fois le virus Enigma, il n'y avait aucune information sur Internet concernant le décryptage réussi des fichiers ou l'existence du décrypteur Enigma.

Quand je me suis assis pour écrire cet article, j'ai de nouveau vérifié sur Internet. De nouvelles entrées sont apparues sur le forum esetnod32 que le support technique peut fournir un décodeur : « Le support technique a envoyé un décodeur, a tout déchiffré !!! Merci. "

Vous pouvez essayer d'acheter cet antivirus et écrire au support technique avec une demande de décryptage des fichiers avec l'extension .enigma. Mais ce n'est pas un fait que cela aidera dans votre cas particulier. Maintenant, il y a tellement de ces ransomwares avec les mêmes noms qu'il est impossible de garantir le décryptage.

Vous ne pourrez pas déchiffrer les fichiers vous-même. Seules les copies de sauvegarde effectuées manuellement ou automatiquement à l'aide de clichés instantanés Windows peuvent venir à la rescousse. Vous pouvez savoir si vos clichés instantanés sont activés dans les propriétés de votre ordinateur, dans la section "Protection du système".

Si votre protection est activée, vous pouvez essayer de restaurer manuellement le fichier avec l'extension .enigma. Pour ce faire, vous devez modifier vous-même l'extension du fichier en supprimant le préfixe .enigma. Si cela n'est pas fait, le système considérera qu'il s'agit d'un fichier complètement différent et ne proposera pas ses versions précédentes, bien qu'elles existeront en réalité. Modifiez vous-même l'extension du fichier, sélectionnez le fichier et cliquez dessus avec le bouton droit de la souris, en choisissant le dernier élément "propriétés". Ensuite, sélectionnez l'onglet "Versions précédentes"

Si le fichier a des versions précédentes, sélectionnez la dernière et restaurez.

Vous n'avez pas d'autres options pour restaurer des fichiers si vous n'avez pas effectué de sauvegardes sur un autre ordinateur, un lecteur externe ou un lecteur flash. Une option extrême consiste à contacter les attaquants pour le déchiffrement. Le plus souvent, ils donnent un décrypteur qui fonctionne vraiment, j'en connais plusieurs exemples. L'utiliser ou non dépend de vous, en fonction de l'importance des fichiers cryptés.

Kaspersky, drweb et autres antivirus dans la lutte contre les ransomwares enigma

Que proposent les antivirus modernes dans la lutte contre le virus énigmatique du ransomware ? Tous les antivirus ont des recommandations standard - si vous disposez d'une version sous licence du programme, vous pouvez contacter le support technique et attendre une réponse. Au moment d'écrire ces lignes, je n'ai vu que des informations de l'antivirus eset nod32 indiquant qu'ils peuvent déchiffrer les fichiers.

A en juger par les dates, c'est le même virus que le mien.

Sur le forum Kaspersky, je n'ai pas trouvé d'informations sur enigma, à l'exception d'un sujet dans la section anglophone. Il n'y avait rien d'utile et de significatif là-dedans. Vous pouvez créer une demande de décryptage de fichiers, le lien décrit en détail comment procéder.

Où d'autre aller pour un décryptage garanti

Il m'est arrivé de rencontrer une entreprise qui décrypte les données après le travail de divers virus ransomware, y compris Enigma. Leur adresse est http://www.dr-sifro.ru. Paiement uniquement après décryptage complet et votre vérification. Voici un exemple de son fonctionnement :

1. Un spécialiste de l'entreprise se rend à votre bureau ou à votre domicile et signe avec vous un accord dans lequel il fixe le coût des travaux.
2. Lance le décrypteur et décrypte tous les fichiers.
3. Vous vous assurez que tous les dossiers sont ouverts, et vous signez le certificat de livraison/réception du travail effectué.
4. Paiement uniquement en cas de résultat de déchiffrement réussi.

En savoir plus sur le plan de travail - http://www.dr-sifro.ru/11_blog-details.html
Pour être honnête, je ne sais pas comment ils font, mais vous ne risquez rien. Paiement uniquement après la démonstration du fonctionnement du décodeur. S'il vous plaît écrire un commentaire sur votre expérience avec cette entreprise.

Méthodes de protection contre le virus Enigma

Je ne recommanderais rien de nouveau et d'original en matière de protection contre les virus ransomware. Enigma n'est pas fondamentalement différent de tous les autres ransomwares qui attaquent les internautes comme une avalanche. Tous les exemples de ransomware que j'ai vus ont infiltré l'ordinateur de l'utilisateur par courrier et l'utilisateur a commencé le cryptage lui-même.

La principale recommandation pour se protéger contre les virus ransomware est d'examiner attentivement les lettres que vous recevez par e-mail. N'exécutez pas de pièces jointes douteuses. Les cryptographes sont clairement visibles, ils diffèrent des documents ordinaires, il suffit de regarder de plus près.

Assurez-vous de sauvegarder les informations importantes et de ne pas stocker ces copies sur le même ordinateur que vous utilisez. Procurez-vous une clé USB séparée et un disque dur externe pour cela et connectez-les périodiquement à votre ordinateur, copiez les informations et déconnectez-vous. Il faut le débrancher !!! Je connais un exemple où un lecteur flash a été utilisé pour la sauvegarde, qui a été coincé dans l'ordinateur pendant les heures de travail. le virus a crypté tous les documents sur l'ordinateur et sur la clé USB !!!