Threat Database Ransomware EKING Ransomware

EKING Ransomware

EKING Ransomware er kraftig malware til kryptoskab. EKING Ransomware er ikke en helt unik trussel, men ifølge forskerne, der analyserede det, er EKING en variant af Phobos Ransomware og en del af Phobos Ransomware- familien.

EKING Ransomware distribueres gennem forgiftede orddokumenter, der indeholder ødelagte makro-scripts. Når dokumentet er åbnet, vises en sikkerhedsadvarsel, der spørger brugerne, om de vil aktivere makroer. Truslen omgår imidlertid denne kontrol gennem en indbygget hændelsesfunktion, der startes, når MSWord lukkes automatisk. Kort sagt udføres makroen, når den målrettede bruger afslutter dokumentet. Målet med makroscriptet er at downloade og udføre ransomware-nyttelasten ved at kontakte en hardkodet URL-adresse - 'hxxp: //178.62.19.66/campo/v/v' og hente en fil, som den derefter deponerer i en hardkodet sti ved 'C: \ Brugere \ Offentlig \ cs5 \ cs5.exe.'

Når EKING Ransomwares nyttelastfil udføres, skaber den en anden proces af sig selv, men denne gang med forhøjede tilladelser takket være misbrug af et Explorer.exe-token. EKING Ransomware påberåber sig derefter to serier af kommandoer. Den første gruppe har til opgave at afbryde standard Windows-backupfunktioner. Det sletter Shadow Volume Copies og Windows Restore-kopier fra den lokale computer, deaktiverer automatisk startreparation og sletter sikkerhedskopikataloget. De specifikke anvendte kommandoer er:

  • vssadmin slet skygger / alt / stille
  • wmic skyggekopi slet
  • bcdedit / set {default} bootstatuspolicy ignoreallfailures
  • bcdedit / set {standard} gendannelsesaktiveret nr
  • wbadmin slet katalog - stille
  • Afslut

Den anden gruppe er ansvarlig for at deaktivere Windows Firewall, og den består af kommando til Windows 7 og op og en passende til Windows XP og Windows 2003.

For at opnå vedholdenhed ændrer EKING Ransomware registreringsdatabasen på den kompromitterede computer ved at oprette et automatisk kørt element under rodnøglen 'HKEY_CURRENT_USER.' Derudover opretter den kopier af sin eksekverbare fil 'cs5.exe' i to automatisk startmapper - '% AppData% \ Microsoft \ Windows \ Start Menu \ Programmer \ Startup' og '% ProgramData% \ Microsoft \ Windows \ Start Menu \ Programmer \ Opstart. ' For at forhindre eventuelle konflikter såsom udførelse af flere forskellige forekomster af ransomware ved systemstart, implementeres en kontrol, der bruger et Mutex-objekt, der sikrer, at kun en proces kører.

De vigtigste funktioner i EKING Ransomware

Alle de handlinger, der udføres på dette punkt, er forberedelsesarbejde til ransomwares hovedmål - at begynde at kryptere data. Denne proces første skridt er at afslutte flere populære programmer processer, tvinger dem til at frigive alle filer, som brugeren muligvis har arbejdet på i øjeblikket. De berørte processer gælder for MS SQL Server, Oracle Database, VMware, MySql, Firefox, SQL Anywhere, RedGate SQL Backup, MS Office og WordPad. For at undgå at afbryde systemets normale drift udelukker EKING Ransomware to mapper fra kryptering - '% WinDir%' og '% ProgramData% \ Microsoft \ Windows \ Caches.' Det udelukker også de udvidelser, der tidligere blev brugt af Phobos Ransomware-familietrusler, samt nogle specifikke filer, som løsepenge noter, det efterlader for ofrene og visse bootfiler - info.hta, info.txt, boot.ini, ntldr, bootfont .bin, ntdetect.com, io.sys og osen.txt. Alle andre filer krypteres med AES-kryptografiske algoritme og omdøbes til at omfatte 'id [<> - 2987]. [Wiruxa@airmail.cc] .eking' i deres filnavne.

EKING Ransomware stopper ikke der. Dets evne til at forårsage skade påvirker også netværksdelingsressourcer ved at kalde API WNetOpenEnum () ved hjælp af forskellige værdier for dwScope argumentet såsom RESOURCE_CONNECTED, RESOURCE_RECENT, RESOURCE_CONTEXT, RESOURCE_REMEMBERED og RESOURCE_GLOBALNET. Hvis der findes en passende ressource, scanner EKING den og udfører krypteringsprocessen.

Og hvis det ikke var nok, kan EKING Ransomware også kryptere enhver USB eller smartphone, der er tilsluttet det kompromitterede system. Windows behandler sådanne enheder som logiske drev, og EKING Ransomware udfører en kontrol hvert sekund for at se, om sådanne logiske drev er tilføjet.

Endelig dropper EKING Ransomware sin løsesumnote som en tekstfil kaldet 'info.txt' og en HTML-version 'info.hta.' .Hta-filen udføres derefter og bruges til at vise et pop op-vindue på offerets skærm. EKING Ransomware er en stærk malware-trussel, men berørte brugere bør skynde sig at adlyde hackernes krav bag det. Se efter alternativer til at gendanne de krypterede data, fordi afsendelse af et beløb til kriminelle simpelthen vil blive brugt til at sprede deres truende operationer yderligere.

Relaterede indlæg

Trending

Mest sete

Indlæser...