Ironcat Ransomware

O Ironcat Ransomware é uma ameaça de bloqueio de criptografia escrita na linguagem GO e detectada como operacional em estado selvagem. Inicialmente, os pesquisadores estão inclinados a conectar a ameaça a outras famílias de ransomware existentes, como o Sodinokibi Ransomware ou o REvil Ransomware, devido às semelhanças na nota de resgate. Acontece que esse não é o caso, e o Ironcat é um malware único evidenciado por uma análise da ameaça divulgada por seu próprio autor.

Aparentemente, o Ironcat Ransomware nunca teve a intenção de ser uma ameaça ao vivo. Os binários foram criados com o único propósito de serem utilizados como ferramentas de treinamento implantadas apenas em uma rede fechada com os ambientes sendo apagados após o término dos exercícios; eles nunca deveriam ser divulgados ao público. A forma como eles escaparam dos limites de seus sistemas de teste pretendidos, de acordo com o desenvolvedor do Ironcat, foi por meio de um aluno que removeu os binários e posteriormente os carregou para o VirusTotal.

Tornando-se uma ameaça de malware totalmente desenvolvida, o Ironcat pode realmente criptografar os arquivos armazenados no sistema do computador do usuário comprometido. Antes de iniciar o processo malicioso, no entanto, a ameaça deve ser executada como um administrador e falhará em certas ações se executada com privilégios de usuário. O Ironcat em si não está equipado com nenhum método para escalonamento de privilégios ou mecanismos de desvio. Outro limite que deve ser eliminado pela ameaça é o estabelecimento de uma conexão, enviando um pacote para Fakebook.com, um site de ambiente de treinamento.

Se tudo estiver certo, o Ironcat continuará a criptografar os arquivos nos diretórios de destino e anexará '.encrypted' ao nome do arquivo original de cada arquivo. Isso também mudará o tipo de arquivo registrado para 'ENCRYPTED.' A nota de resgate, que na versão original do Ironcat era uma cópia quase idêntica do REevil, é colocada em cada pasta contendo dados criptografados como um arquivo de texto denominado 'pay_the_piper.txt.'

Além de seus recursos de criptografia, o Ironcat Ransomware colocou quatro arquivos em lote no diretório ' C: \ Windows ':

• Chtes.bat - inicia um console admin cmd.exe ao pressionar qualquer tecla cinco vezes na tela de logon
• Netlogin.bat - cria uma chave de registro que inicia admin cmd.exe sempre que ultiman.exe é iniciado
• Shadow.bat - exclui as cópias do Volume Shadow Service do serviço de backup padrão do Windows através do comando ' cmd / C vssadmin delete shadow / all '
• Mssupdate.bat - exclui todos os logs de eventos do Windows

O autor do Ironcat também forneceu maneiras para qualquer vítima afetada tentar restaurar seus dados afetados. O ransomware deve ser executado da mesma maneira, mas desta vez com a função de descriptografia . A mesma senha que foi utilizada para a criptografia deve ser usada para a descriptografia, portanto os usuários devem obtê-la. O autor dos binários oferece três maneiras possíveis, embora haja algumas ressalvas. Primeiro, capture a solicitação HTTP POST que contém os dados codificados em base64 e reverta a codificação, que exige que um serviço de captura de pacotes seja estabelecido antes que o Ironcat seja executado. Caso contrário, a entrada do log de segurança de eventos do Windows conterá a linha de comando usada para iniciar o binário, se não tiver sido apagado. Por último, conhost.exe pode ser usado para acessar a janela do console em que o binário foi originalmente executado. Isso permitirá que o usuário liste o comando e a senha usados para executar a criptografia por meio do comando ' doskey / history '. Para que esse método funcione, no entanto, o invasor deve ter deixado o conhost.exe ativo e as vítimas precisam fazer login na mesma sessão.