EKING Ransomware

De EKING Ransomware is een krachtige malware voor cryptocurrency. De EKING Ransomware is geen geheel unieke bedreiging, maar volgens de onderzoekers die het hebben geanalyseerd, is EKING een variant van de Phobos Ransomware en onderdeel van de Phobos Ransomware- familie.

De EKING Ransomware wordt verspreid via vergiftigde woorddocumenten die beschadigde macroscripts bevatten. Zodra het document is geopend, wordt een beveiligingswaarschuwing weergegeven waarin de gebruikers wordt gevraagd of ze macro's willen inschakelen. De dreiging omzeilt deze controle echter via een ingebouwde gebeurtenisfunctie die wordt gestart wanneer MSWord automatisch wordt gesloten. Kortom, de macro wordt uitgevoerd wanneer de beoogde gebruiker het document verlaat. Het doel van het macro-script is om de ransomware-payload te downloaden en uit te voeren door contact op te nemen met een hardcoded URL-adres - 'hxxp: //178.62.19.66/campo/v/v', en een bestand op te halen dat het vervolgens in een hardcoded pad plaatst op 'C: \ Users \ Public \ cs5 \ cs5.exe.'

Wanneer het payload-bestand van EKING Ransomware wordt uitgevoerd, creëert het een tweede proces van zichzelf, maar dit keer met verhoogde machtigingen, dankzij het misbruiken van een Explorer.exe-token. De EKING Ransomware roept vervolgens twee reeksen opdrachten op. De eerste groep is belast met het verstoren van de standaard back-upmogelijkheden van Windows. Het verwijdert de Shadow Volume Copies en de Windows Restore-kopieën van de lokale computer, schakelt de automatische opstartreparatie uit en verwijdert de back-upcatalogus. De specifieke gebruikte commando's zijn:

• vssadmin verwijder schaduwen / alles / stil
• wmic shadowcopy verwijderen
• bcdedit / set {default} bootstatuspolicy negeert alle fouten
• bcdedit / set {default} herstel ingeschakeld nr
• wbadmin verwijder catalogus - rustig
• Uitgang

De tweede groep is verantwoordelijk voor het uitschakelen van Windows Firewall en bestaat uit een opdracht voor Windows 7 en hoger en een die geschikt is voor Windows XP en Windows 2003.

Om persistentie te bereiken, wijzigt de EKING Ransomware het register van de besmette computer door een automatisch uitgevoerd item te maken onder de root-sleutel 'HKEY_CURRENT_USER.' Bovendien maakt het kopieën van het uitvoerbare bestand 'cs5.exe' in twee automatische opstartmappen: '% AppData% \ Microsoft \ Windows \ Start Menu \ Programma's \ Startup' en '% ProgramData% \ Microsoft \ Windows \ Start Menu \ Programma's \ Opstarten. ' Om mogelijke conflicten te voorkomen, zoals de uitvoering van meerdere verschillende instanties van de ransomware bij het opstarten van het systeem, wordt een controle geïmplementeerd die een Mutex-object gebruikt en ervoor zorgt dat slechts één proces wordt uitgevoerd.

De belangrijkste functies van de EKING Ransomware

Alle acties die op dit punt worden uitgevoerd, zijn voorbereidende werkzaamheden voor het hoofddoel van de ransomware: beginnen met het versleutelen van gegevens. De eerste stap van dit proces is het beëindigen van de processen van verschillende populaire programma's, waardoor ze worden gedwongen alle bestanden vrij te geven waaraan de gebruiker momenteel heeft gewerkt. De betrokken processen zijn voor MS SQL Server, Oracle Database, VMware, MySql, Firefox, SQL Anywhere, RedGate SQL Backup, MS Office en WordPad. Om te voorkomen dat de normale werking van het systeem wordt onderbroken, sluit de EKING Ransomware twee mappen uit van codering - '% WinDir%' en '% ProgramData% \ Microsoft \ Windows \ Caches'. Het sluit ook de extensies uit die eerder door de Phobos Ransomware-familie werden gebruikt, evenals enkele specifieke bestanden zoals de losgeldnotities die het achterlaat voor de slachtoffers en bepaalde opstartbestanden - info.hta, info.txt, boot.ini, ntldr, bootfont .bin, ntdetect.com, io.sys en osen.txt. Alle andere bestanden zijn versleuteld met het AES-cryptografisch algoritme en krijgen een nieuwe naam met 'id [<> - 2987]. [Wiruxa@airmail.cc] .eking' in hun bestandsnamen.

De EKING Ransomware stopt daar niet. Het vermogen om schade te veroorzaken heeft ook invloed op bronnen voor het delen van netwerken door de API WNetOpenEnum () aan te roepen met verschillende waarden voor dwScope, het argument zoals RESOURCE_CONNECTED, RESOURCE_RECENT, RESOURCE_CONTEXT, RESOURCE_REMEMBERED en RESOURCE_GLOBALNET. Als een geschikte bron wordt gevonden, scant EKING deze en voert het zijn coderingsproces uit.

En alsof dat nog niet genoeg was, kan de EKING Ransomware ook elke USB of smartphone die op het gecompromitteerde systeem is aangesloten, coderen. Windows behandelt dergelijke apparaten als logische schijven en de EKING Ransomware controleert elke seconde of dergelijke logische schijven zijn toegevoegd.

Ten slotte laat de EKING Ransomware zijn losgeldnota vallen als een tekstbestand met de naam 'info.txt' en een HTML-versie 'info.hta'. Het .hta-bestand wordt vervolgens uitgevoerd en gebruikt om een pop-upvenster op het scherm van het slachtoffer weer te geven. De EKING Ransomware is een krachtige malwarebedreiging, maar getroffen gebruikers moeten zich haasten om te voldoen aan de eisen van de hackers erachter. Zoek naar alternatieven om de versleutelde gegevens te herstellen, want het verzenden van een bepaald bedrag naar de criminelen zal gewoon worden gebruikt om hun bedreigende activiteiten verder te verspreiden.