EKING Ransomware

O EKING Ransomware é um poderoso malware de bloqueio de dados. O EKING Ransomware não é uma ameaça totalmente única, embora, de acordo com os pesquisadores que o analisaram, o EKING seja uma variante do Phobos Ransomware e parte da família Phobos Ransomware.

O EKING Ransomware é distribuído por meio de documentos envenenados que contêm scripts de macro corrompidos. Depois que o documento é aberto, um aviso de segurança perguntando aos usuários se eles desejam habilitar macros é exibido. No entanto, a ameaça ignora essa verificação por meio de uma função de evento embutida que é iniciada quando o MSWord é fechado automaticamente. Resumindo, a macro é executada quando o usuário de destino sai do documento. O objetivo do script de macro é baixar e executar a carga útil do ransomware entrando em contato com um endereço de URL codificado - 'hxxp://178.62.19.66/campo/v/v' e buscar um arquivo que ele então deposita em um caminho codificado em 'C:\Users\Public\cs5\cs5.exe.'

Quando o arquivo de carga útil do EKING Ransomware é executado, ele cria um segundo processo de si mesmo, mas desta vez com permissões elevadas, graças ao abuso de um token Explorer.exe. O EKING Ransomware então invoca duas séries de comandos. O primeiro grupo tem a tarefa de interromper os recursos de backup padrão do Windows. Exclui as Cópias do Shadow Volume e do Windows Restore do computador local, desativa o reparo de inicialização automática e exclui o catálogo de backup. Os comandos específicos usados são:

• vssadmin deletar sombras / all / quiet
• wmic shadowcopy delete
• bcdedit / set {default} bootstatuspolicy ignoreallfailures
• bcdedit / set {default} recoveryenabled não
• wbadmin excluir catálogo –quiet
• Saída

O segundo grupo é responsável por desabilitar o Firewall do Windows, e consiste em um comando para Windows 7 e superior e um apropriado para Windows XP e Windows 2003.

Para obter persistência, o EKING Ransomware modifica o Registro do computador comprometido criando um item de execução automática na chave raiz 'HKEY_CURRENT_USER.' Além disso, ele cria cópias de seu arquivo executável 'cs5.exe' em duas pastas de inicialização automática -'%AppData%\Microsoft\Windows\Start Menu\Programs\Startup' e '%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup.' Para evitar quaisquer conflitos potenciais, como a execução de várias instâncias diferentes do ransomware na inicialização do sistema, uma digitalização que usa um objeto Mutex, garantindo que apenas um processo está em execução, é implementada.

As Principais Funções do EKING Ransomware

Todas as ações realizadas até este ponto são um trabalho de preparação para o objetivo principal do ransomware - começar a criptografar dados. A primeira etapa desse processo é encerrar vários processos de programas populares, forçando-os a liberar quaisquer arquivos nos quais o usuário possa estar trabalhando atualmente. Os processos afetados são para MS SQL Server, banco de dados Oracle, VMware, MySql, Firefox, SQL Anywhere, RedGate SQL Backup, MS Office e WordPad. Para evitar a interrupção das operações normais do sistema, o EKING Ransomware exclui duas pastas da criptografia - '% WinDir%' e '% ProgramData%\Microsoft\Windows\Caches.' Também exclui as extensões usadas anteriormente pelas ameaças da família do Phobos Ransomware, bem como alguns arquivos específicos, como notas de resgate que deixa para as vítimas e certos arquivos de inicialização - info.hta, info.txt, boot.ini, ntldr, bootfont .bin, ntdetect.com, io.sys e osen.txt. Todos os outros arquivos são criptografados com o algoritmo criptográfico AES e renomeados para incluir 'id [<> - 2987]. [Wiruxa@airmail.cc] .eking' em seus nomes de arquivo.

O EKING Ransomware não para por aí. Sua capacidade de causar danos também afeta os recursos de compartilhamento de rede chamando a API WNetOpenEnum () usando valores diferentes para dwScope o argumento, como RESOURCE_CONNECTED, RESOURCE_RECENT, RESOURCE_CONTEXT, RESOURCE_REMEMBERED e RESOURCE_GLOBALNET. Se um recurso adequado for encontrado, o EKING o examina e executa seu processo de criptografia.

E se isso não bastasse, o EKING Ransomware também pode criptografar qualquer USB ou smartphone conectado ao sistema comprometido. O Windows trata esses dispositivos como unidades lógicas, e o EKING Ransomware realiza uma verificação a cada segundo para ver se essas unidades lógicas foram adicionadas.

Finalmente, o EKING Ransomware descarta sua nota de resgate como um arquivo de texto chamado 'info.txt' e uma versão HTML 'info.hta'. O arquivo .hta é então executado e usado para exibir uma janela pop-up na tela da vítima. O EKING Ransomware é uma ameaça de malware poderosa, mas os usuários afetados devem se apressar para obedecer às demandas dos hackers por trás dele. Procure alternativas para restaurar os dados criptografados, pois o envio de qualquer quantia de dinheiro aos criminosos será simplesmente usado para disseminar ainda mais suas operações ameaçadoras.