Una nueva versión de los Malware encriptadores de datos ha sido analizada por los expertos de seguridad, quienes han descubierto por su parte una de las nueva variantes de este troyano, la cual, posee una forma peculiar de instalación, sin embargo, presentaremos a continuación todos los detalles informativos que se han logrado recopilara sobre el Ransomware Enigma, un virus que Utiliza Algoritmo AES para cifrar los Datos de sus víctimas.

Ransomware Enigma de origen Ruso
Ransomware Enigma de origen Ruso

Ransomware Enigma de origen Ruso

Si bien es sabido por muchos los virus pertenecientes a la familia Ransomware están especialmente diseñados para encriptar los archivos o datos de sus víctimas para posteriormente pedir un rescate a cambio de los mismos. Sin embargo, esta modalidad de ataque tiende a tener o presentar ciertas variables a la hora de ejecutarse la infección.

Ransomware Enigma es un virus que fue descubierto el pasado mes de abril, no obstante, los expertos e seguridad de Bleeping Computer, han publicado un informe completo, sobre las variantes que se trae este nuevo virus, donde se comprende mejor el funcionamiento de este Troyano.

Ransomware Enigma de origen Ruso
Ransomware Enigma de origen Ruso

Funcionamiento y Comportamiento de Ransomware Enigma

Una de las principales características emergidas durante esta investigación realizada por expertos en la materia, asegura que esta nueva variante de Ransomware Utiliza Algoritmo AES para cifrar los Datos de sus víctimas y posteriormente pedir alrededor de 0.43 Bitcoin, equivalente a  unos 200 dólares, por la clave de recuperación de los datos.

Sin embargo, este tipo de virus no elimina las Shadow Volume Copies de NTFS, de modo que, este leve quiebre, le permite a la víctima recuperar fácilmente los datos sin pagar.

Por otro lado, podemos mencionar que una de las características más peculiares o sobresalientes de este Troyano es la manera de instalación que posee, puesto que, su instalador está inyectado dentro de código HTML/JS. Este fichero HTML con JavaScript incluye todo lo necesario para compilar el binario en el sistema de la víctima y abrir el navegador web por defecto del usuario para terminar la descarga del Ransomware.

Asimismo, durante el proceso de cifrado se crearan los archivos presentados a continuación:

  • %Temp%\testttt.txt – Fichero de debug para probar si el cifrado funciona.
  • %AppData%\testStart.txt – Fichero de debug para saber si el cifrado ha empezado con éxito.
  • %UserProfile%\Desktop\allfilefinds.dat – Lista de archivos cifrados.
  • %UserProfile%\Desktop\enigma.hta – La nota de rescate.
  • %UserProfile%\Desktop\ENIGMA_[id_number].RSA – Clave utilizada para identificarse en el servidor remoto.
  • %UserProfile%\Desktop\enigma_encr.txt – Nota de rescate en formato de texto.
  • %UserProfile%\Downloads\3b788cd6389faa6a3d14c17153f5ce86.exe – El binario o ejecutable del Ransomware.