Threat Database Ransomware Ironcat Ransomware

Ironcat Ransomware

Ironcat Ransomware er en krypto-locker-trussel skrevet på GO-sproget og detekteret at være operationel i naturen. Oprindeligt er forskere tilbøjelige til at forbinde truslen med andre eksisterende ransomware-familier såsom Sodinokibi Ransomware eller REvil Ransomware- stammer på grund af ligheder i løsesumnoten. Som det viser sig, er dette ikke tilfældet, og Ironcat er en unik malware, der fremgår af en analyse af truslen frigivet af forfatteren selv.

Tilsyneladende var Ironcat Ransomware aldrig beregnet til at være en live trussel. Binærfiler blev oprettet med det ene formål at blive brugt som træningsværktøjer, der kun blev anvendt på et lukket rækkevidde netværk, hvor miljøerne blev udslettet efter afslutningen af øvelserne; de skulle aldrig blive offentliggjort. Den måde, hvorpå de undslap rammerne for deres tilsigtede testsystemer, ifølge udvikleren af Ironcat, er gennem en studerende, der fjernede binærfiler og efterfølgende uploadede dem til VirusTotal.

At blive en fuldt udbygget malware-trussel kan Ironcat faktisk kryptere de filer, der er gemt på den kompromitterede brugers computersystem. Inden den kan starte den ondsindede proces, skal truslen dog køres som administrator og mislykkes visse handlinger, hvis den køres med brugerrettigheder. Ironcat i sig selv er ikke udstyret med nogen metoder til privilegeret eskalering eller bypass-mekanismer. En anden tærskel, der skal ryddes af truslen, er at oprette en forbindelse ved at sende en pakke til Fakebook.com, et træningsmiljøwebsted.

Hvis alt tjekker ud, fortsætter Ironcat med at kryptere filer i de målrettede mapper og tilføje '.encrypted' til det originale filnavn for hver fil. Dette vil også ændre den registrerede filtype til 'ENCRYPTED.' Løsepenge noten, som i den oprindelige version af Ironcat var en næsten identisk kopi af REevil, falder i hver mappe, der indeholder krypterede data som en tekstfil med navnet 'pay_the_piper.txt.'

Ud over krypteringsfunktionerne faldt Ironcat Ransomware fire batchfiler i ' C: \ Windows ' -mappen:

  • Chtes.bat - starter en admin cmd.exe-konsol, når der trykkes på en vilkårlig tast fem gange på loginskærmen
  • Netlogin.bat - opretter en registreringsdatabasenøgle, der starter admin cmd.exe, når ultiman.exe startes
  • Shadow.bat - sletter Volume Shadow Service-kopier af standard Windows-sikkerhedskopieringstjenesten gennem kommandoen ' cmd / C vssadmin slet skygger / alt '
  • Mssupdate.bat - sletter alle Windows-hændelseslogfiler

Forfatteren af Ironcat gav også måder for ethvert berørt offer at forsøge at gendanne deres berørte data. Ransomware skal udføres på samme måde, men denne gang med dekrypteringsfunktion . Den samme adgangskode, der blev brugt til krypteringen, skal bruges til dekrypteringen, så brugerne skal få den. Forfatteren af binærfilerne tilbyder tre mulige måder, selvom der er nogle advarsler. Først skal du fange HTTP POST-anmodningen, der indeholder de base64-kodede data, og vende kodningen, hvilket kræver, at der er oprettet en pakkeopsamlingstjeneste, før Ironcat blev udført. Ellers vil Windows-hændelsessikkerhedslogposten indeholde den kommandolinje, der bruges til at starte den binære, hvis den ikke er blevet slettet. Endelig kan conhost.exe bruges til at få adgang til konsolvinduet, som binært oprindeligt blev udført i. Dette giver brugeren mulighed for at liste kommandoen og adgangskoden, der bruges til at køre krypteringen gennem kommandoen ' doskey / history '. For at denne metode skal fungere, skal angriberen dog have forladt conhost.exe, og ofre skal logge på den samme session.

Trending

Mest sete

Indlæser...