Новая вымогательская программа Enigma, которая пока атакует лишь русскоязычных пользователей, обнаружена исследователями из AVG. Эксперты сообщают, что жертвы вредоносной программы при определенных условиях могут восстановить свою информацию, используя теневые копии.
Детальный анализ новой вредоносной программы был проведен исследователями из Bleeping Computer и MalwareHunterTeam. Они сообщили, что Enigma применяет модель шифрования AES-RSA, являющаяся на данный момент стандартной для вымогательских программ. После того, как информация была зашифрована, Enigma требует у пользователя заплатить злоумышленникам 0,4291 биткоина или 200 долларов.
На данный момент вредоносная программа распространяется с помощью связки HTML/JS. При открытии HTML-файла выполняется вредоносный код, который содержится внутри него, и на пользовательском жестком диске создается файл под названием «Свидетельство о регистрации частного предприятия.js». Далее пользователю предлагается якобы загрузить из интернета некий JavaScript-файл. В действительности жертва просто запускает упомянутый выше js-файл. В том случае, если пользователь дает согласие, вредоносная программа генерирует exe-файл, который сразу же выполняется. Данный файл осуществляет шифровку всех данных на компьютере пользователя, меняя расширение на .enigma.
Как выяснили исследователи, информацию можно восстановить без выплаты выкупа киберпреступникам. Если у пользователя включен Windows User Account Control, то при завершении процесса шифрования этот сервис отобразит на экране предупреждение. Если в данном окне нажать «Нет», то процесс шифрования будет завершен, но при этом не будут удалены теневые копии. Используя специальные инструменты для восстановления информации с жестких дисков, пользователь может вернуть зашифрованные файлы с помощью теневых копий.