EKING Ransomware

Die EKING Ransomware ist leistungsstarke Crypt Locker-Malware. Die EKING Ransomware ist keine einzigartige Bedrohung. Laut den Forschern, die sie analysiert haben, ist EKING jedoch eine Variante der Phobos Ransomware und Teil der Phobos Ransomware- Familie.

Die EKING Ransomware wird über vergiftete Word-Dokumente verteilt, die beschädigte Makroskripte enthalten. Sobald das Dokument geöffnet ist, wird eine Sicherheitswarnung angezeigt, in der die Benutzer gefragt werden, ob sie Makros aktivieren möchten. Die Bedrohung umgeht diese Prüfung jedoch durch eine integrierte Ereignisfunktion, die gestartet wird, wenn MSWord automatisch geschlossen wird. Kurz gesagt, das Makro wird ausgeführt, wenn der Zielbenutzer das Dokument verlässt. Das Ziel des Makroskripts besteht darin, die Ransomware-Nutzdaten herunterzuladen und auszuführen, indem Sie eine fest codierte URL-Adresse - 'hxxp://178.62.19.66/campo/v/v' - kontaktieren und eine Datei abrufen, die dann in einem fest codierten Pfad unter 'C:\Users\Public\cs5\cs5.exe.' abgelegt wird.

Wenn die Payload-Datei von EKING Ransomware ausgeführt wird, wird ein zweiter Prozess für sich erstellt, diesmal jedoch mit erhöhten Berechtigungen, da ein Explorer.exe-Token missbraucht wird. Die EKING Ransomware ruft dann zwei Befehlsreihen auf. Die erste Gruppe hat die Aufgabe, die standardmäßigen Windows-Sicherungsfunktionen zu unterbrechen. Es löscht die Shadow Volume-Kopien und die Windows Restore-Kopien vom lokalen Computer, deaktiviert die automatische Startreparatur und löscht den Sicherungskatalog. Die spezifischen verwendeten Befehle sind:

• vssadmin Schatten löschen/alle/leise
• wmic shadowcopy löschen
• bcdedit/set {default} bootstatuspolicy ignoreallfailures
• bcdedit/set {default} recoveryenabled no
• wbadmin Katalog löschen –quiet
• Ausfahrt

Die zweite Gruppe ist für die Deaktivierung der Windows-Firewall verantwortlich und besteht aus Befehlen für Windows 7 und höher sowie einem Befehl für Windows XP und Windows 2003.

Um die Persistenz zu erreichen, ändert die EKING Ransomware die Registrierung des gefährdeten Computers, indem sie unter dem Stammschlüssel 'HKEY_CURRENT_USER' ein automatisch ausgeführtes Element erstellt. Darüber hinaus werden Kopien der ausführbaren Datei 'cs5.exe' in zwei Ordnern für den automatischen Start erstellt: '%AppData%\Microsoft\Windows\Startmenü\Programme\Startup' und '%ProgramData%\Microsoft\Windows\Startmenü\Programme\Start.' Um mögliche Konflikte wie die Ausführung mehrerer verschiedener Instanzen der Ransomware beim Systemstart zu vermeiden, wird eine Überprüfung implementiert, bei der ein Mutex-Objekt verwendet wird, um sicherzustellen, dass nur ein Prozess ausgeführt wird.

Die Hauptfunktionen der EKING Ransomware

Alle bis zu diesem Zeitpunkt ausgeführten Aktionen sind Vorbereitungsarbeiten für das Hauptziel der Ransomware - das Verschlüsseln von Daten. Der erste Schritt dieses Prozesses besteht darin, die Prozesse mehrerer gängiger Programme zu beenden und sie zu zwingen, alle Dateien freizugeben, an denen der Benutzer möglicherweise gerade gearbeitet hat. Die betroffenen Prozesse betreffen MS SQL Server, Oracle Database, VMware, MySQL, Firefox, SQL Anywhere, RedGate SQL Backup, MS Office und WordPad. Um eine Unterbrechung des normalen Systembetriebs zu vermeiden, schließt die EKING Ransomware zwei Ordner von der Verschlüsselung aus - '%WinDir%' und '%ProgramData%\Microsoft\Windows\Caches'. Außerdem werden die zuvor von den Bedrohungen der Phobos Ransomware-Familie verwendeten Erweiterungen sowie einige spezifische Dateien wie die Lösegeldnotizen für die Opfer und bestimmte Startdateien ausgeschlossen- info.hta, info.txt, boot.ini, ntldr, bootfont.bin, ntdetect.com, io.sys und osen.txt. Alle anderen Dateien werden mit dem AES-Kryptografiealgorithmus verschlüsselt und in "id [<> - 2987]. [Wiruxa@airmail.cc] .eking" in ihren Dateinamen umbenannt.

Die EKING Ransomware hört hier nicht auf. Die Fähigkeit, Schaden zu verursachen, wirkt sich auch auf Netzwerkfreigaberessourcen aus, indem die API WNetOpenEnum () unter Verwendung verschiedener Werte für dwScope aufgerufen wird, z. B. RESOURCE_CONNECTED, RESOURCE_RECENT, RESOURCE_CONTEXT, RESOURCE_REMEMBERED und RESOURCE_GLOBALNET. Wenn eine geeignete Ressource gefunden wird, scannt EKING sie und führt ihren Verschlüsselungsprozess aus.

Und wenn das nicht genug wäre, kann die EKING Ransomware auch jeden USB- oder Smartphone-Computer verschlüsseln, der an das gefährdete System angeschlossen ist. Windows behandelt solche Geräte als logische Laufwerke, und die EKING Ransomware überprüft jede Sekunde, ob solche logischen Laufwerke hinzugefügt wurden.

Schließlich legt die EKING Ransomware ihre Lösegeldnotiz als Textdatei mit dem Namen "info.txt" und als HTML-Version mit dem Namen "info.hta" ab. Die .hta-Datei wird dann ausgeführt und verwendet, um ein Popup-Fenster auf dem Bildschirm des Opfers anzuzeigen. Die EKING Ransomware ist eine mächtige Malware-Bedrohung, aber betroffene Benutzer sollten sich beeilen, den dahinter stehenden Anforderungen der Hacker nachzukommen. Suchen Sie nach Alternativen, um die verschlüsselten Daten wiederherzustellen, da das Senden eines beliebigen Geldbetrags an die Kriminellen lediglich dazu verwendet wird, ihre Bedrohungsoperationen weiter zu verbreiten.