Ironcat Ransomware

Ironcat Ransomware è una minaccia di crypto locker scritta nella lingua GO e rilevata per essere operativa in natura. Inizialmente, i ricercatori sono inclini a collegare la minaccia ad altre famiglie di ransomware esistenti come i ceppi Sodinokibi Ransomware o REvil Ransomware a causa delle somiglianze nella richiesta di riscatto. A quanto pare, non è così e Ironcat è un malware unico evidenziato da un'analisi della minaccia rilasciata dallo stesso autore.

Apparentemente, Ironcat Ransomware non è mai stato inteso come una minaccia reale. I binari sono stati creati con l'unico scopo di essere utilizzati come strumenti di formazione distribuiti solo su una rete a raggio chiuso con gli ambienti cancellati dopo la fine degli esercizi; non avrebbero mai dovuto essere divulgati al pubblico. Il modo in cui sono sfuggiti ai confini dei loro sistemi di test previsti, secondo lo sviluppatore di Ironcat, è attraverso uno studente che ha rimosso i binari e successivamente li ha caricati su VirusTotal.

Diventando una vera e propria minaccia malware, Ironcat può effettivamente crittografare i file memorizzati sul sistema informatico dell'utente compromesso. Prima che possa avviare il processo dannoso, tuttavia, la minaccia deve essere eseguita come amministratore e fallirà determinate azioni se eseguita con privilegi utente. Ironcat stesso non è dotato di alcun metodo per l'escalation dei privilegi o meccanismi di bypass. Un'altra soglia che deve essere cancellata dalla minaccia è stabilire una connessione inviando un pacchetto a Fakebook.com, un sito Web di ambiente di formazione.

Se tutto va a buon fine, Ironcat procederà a crittografare i file nelle directory di destinazione e ad aggiungere ".encrypted" al nome file originale di ogni file. Questo cambierà anche il tipo di file registrato in "ENCRYPTED". La richiesta di riscatto, che nella versione originale di Ironcat era una copia quasi identica di REevil, viene rilasciata in ogni cartella contenente dati crittografati come file di testo denominato "pay_the_piper.txt".

Oltre alle sue capacità di crittografia, Ironcat Ransomware ha rilasciato quattro file batch nella directory " C: \ Windows ":

• Chtes.bat: avvia una console admin cmd.exe alla pressione di un tasto cinque volte nella schermata di accesso
• Netlogin.bat: crea una chiave di registro che avvia admin cmd.exe ogni volta che viene avviato ultiman.exe
• Shadow.bat: elimina le copie del servizio Volume Shadow del servizio di backup predefinito di Windows tramite il comando " cmd / C vssadmin elimina ombre / tutto "
• Mssupdate.bat: elimina tutti i registri degli eventi di Windows

L'autore di Ironcat ha anche fornito modi per consentire a qualsiasi vittima interessata di tentare di ripristinare i propri dati interessati. Il ransomware deve essere eseguito più o meno allo stesso modo, ma questa volta con la funzione di decrittografia . La stessa password che è stata utilizzata per la crittografia deve essere utilizzata per la decrittografia, quindi gli utenti devono ottenerla. L'autore dei binari offre tre possibili modi, sebbene ci siano alcuni avvertimenti. Innanzitutto, acquisisci la richiesta HTTP POST contenente i dati codificati in base64 e inverti la codifica, che richiede che sia stato stabilito un servizio di acquisizione dei pacchetti prima dell'esecuzione di Ironcat. In caso contrario, la voce del registro di sicurezza degli eventi di Windows conterrà la riga di comando utilizzata per avviare il file binario se non è stato cancellato. Infine, conhost.exe può essere utilizzato per accedere alla finestra della console in cui è stato originariamente eseguito il binario. Ciò consentirà all'utente di elencare il comando e la password utilizzati per eseguire la crittografia tramite il comando " doskey / history ". Affinché questo metodo funzioni, tuttavia, l'aggressore deve aver lasciato attivo conhost.exe e le vittime devono accedere alla stessa sessione.