EKING Ransomware

EKING Ransomware è un potente malware per crypt locker. EKING Ransomware non è una minaccia del tutto unica, tuttavia, secondo i ricercatori che lo hanno analizzato, EKING è una variante del Phobos Ransomware e fa parte della famiglia Phobos Ransomware.

EKING Ransomware viene distribuito tramite documenti word avvelenati che contengono script macro danneggiati. Una volta aperto il documento, viene visualizzato un avviso di sicurezza che chiede agli utenti se desiderano abilitare le macro. Tuttavia, la minaccia aggira questo controllo tramite una funzione evento incorporata che viene avviata quando MSWord viene chiuso automaticamente. In breve, la macro viene eseguita quando l'utente mirato esce dal documento. L'obiettivo dello script macro è scaricare ed eseguire il payload del ransomware contattando un indirizzo URL hardcoded - "hxxp: //178.62.19.66/campo/v/v" e recuperando un file che poi deposita in un percorso hardcoded in "C: \ Users \ Public \ cs5 \ cs5.exe."

Quando il file payload di EKING Ransomware viene eseguito, crea un secondo processo di per sé, ma questa volta con autorizzazioni elevate, grazie all'abuso di un token Explorer.exe. EKING Ransomware richiama quindi due serie di comandi. Il primo gruppo ha il compito di interrompere le funzionalità di backup di Windows predefinite. Elimina le copie shadow del volume e le copie di ripristino di Windows dal computer locale, disabilita la riparazione all'avvio automatico ed elimina il catalogo di backup. I comandi specifici utilizzati sono:

• vssadmin elimina ombre / tutto / silenzioso
• wmic shadowcopy elimina
• bcdedit / set {default} bootstatuspolicy ignoreallfailures
• bcdedit / set {default} recoveryenabled no
• wbadmin elimina il catalogo –quiet
• Uscita

Il secondo gruppo è responsabile della disabilitazione di Windows Firewall e consiste in un comando per Windows 7 e versioni successive e uno appropriato per Windows XP e Windows 2003.

Per ottenere la persistenza, EKING Ransomware modifica il registro del computer compromesso creando un elemento di esecuzione automatica sotto la chiave radice "HKEY_CURRENT_USER." Inoltre, crea copie del suo file eseguibile "cs5.exe" in due cartelle di avvio automatico: "% AppData% \ Microsoft \ Windows \ Start Menu \ Programs \ Startup" e "% ProgramData% \ Microsoft \ Windows \ Start Menu \ Programmi \ Avvio. " Per prevenire potenziali conflitti come l'esecuzione di più istanze diverse del ransomware all'avvio del sistema, viene implementato un controllo che utilizza un oggetto Mutex, assicurando che sia in esecuzione un solo processo.

Le funzioni principali di EKING Ransomware

Tutte le azioni eseguite fino a questo punto sono un lavoro di preparazione per l'obiettivo principale del ransomware: iniziare a crittografare i dati. Il primo passo di questo processo è terminare i processi di diversi programmi popolari, costringendoli a rilasciare tutti i file su cui l'utente potrebbe aver lavorato attualmente. I processi interessati sono per MS SQL Server, Oracle Database, VMware, MySql, Firefox, SQL Anywhere, RedGate SQL Backup, MS Office e WordPad. Per evitare di interrompere le normali operazioni del sistema, EKING Ransomware esclude due cartelle dalla crittografia: '% WinDir%' e '% ProgramData% \ Microsoft \ Windows \ Caches.' Esclude anche le estensioni utilizzate in precedenza dalle minacce della famiglia Phobos Ransomware, nonché alcuni file specifici come le note di riscatto che lascia per le vittime e alcuni file di avvio: info.hta, info.txt, boot.ini, ntldr, bootfont .bin, ntdetect.com, io.sys e osen.txt. Tutti gli altri file sono crittografati con l'algoritmo di crittografia AES e rinominati per includere "id [<> - 2987]. [Wiruxa@airmail.cc] .eking" nei nomi dei file.

EKING Ransomware non si ferma qui. La sua capacità di causare danni influisce anche sulle risorse di condivisione di rete chiamando l'API WNetOpenEnum () utilizzando valori diversi per dwScope l'argomento come RESOURCE_CONNECTED, RESOURCE_RECENT, RESOURCE_CONTEXT, RESOURCE_REMEMBERED e RESOURCE_GLOBALNET. Se viene trovata una risorsa adatta, EKING la scansiona ed esegue il suo processo di crittografia.

E se ciò non bastasse, EKING Ransomware può anche crittografare qualsiasi USB o smartphone connesso al sistema compromesso. Windows considera tali dispositivi come unità logiche e EKING Ransomware esegue un controllo ogni secondo per vedere se sono state aggiunte tali unità logiche.

Infine, EKING Ransomware rilascia la sua richiesta di riscatto come file di testo chiamato "info.txt" e una versione HTML "info.hta". Il file .hta viene quindi eseguito e utilizzato per visualizzare una finestra pop-up sullo schermo della vittima. EKING Ransomware è una potente minaccia malware, ma gli utenti interessati dovrebbero affrettarsi a obbedire alle richieste degli hacker. Cerca alternative per ripristinare i dati crittografati perché l'invio di qualsiasi somma di denaro ai criminali verrà semplicemente utilizzato per diffondere ulteriormente le loro operazioni minacciose.