Threat Database Ransomware Ironcat Ransomware

Ironcat Ransomware

Die Ironcat Ransomware ist eine Krypto-Schließfach-Bedrohung, die in der GO-Sprache geschrieben und in freier Wildbahn als betriebsbereit erkannt wurde. Anfänglich neigen Forscher dazu, die Bedrohung aufgrund von Ähnlichkeiten in der Lösegeldnotiz mit anderen bestehenden Ransomware-Familien wie der Sodinokibi Ransomware oder den REvil Ransomware- Stämmen in Verbindung zu bringen. Wie sich herausstellt, ist dies nicht der Fall, und Ironcat ist eine einzigartige Malware, die durch eine Analyse der vom Autor selbst veröffentlichten Bedrohung belegt wird.

Anscheinend war die Ironcat Ransomware niemals als Live-Bedrohung gedacht. Die Binärdateien wurden mit dem alleinigen Zweck erstellt, als Trainingstools verwendet zu werden, die nur in einem Netzwerk mit geschlossener Reichweite bereitgestellt werden, wobei die Umgebungen nach dem Ende der Übungen gelöscht werden. Sie sollten niemals der Öffentlichkeit zugänglich gemacht werden. Laut dem Entwickler von Ironcat entkamen sie den Grenzen ihrer beabsichtigten Testsysteme durch einen Studenten, der die Binärdateien entfernte und sie anschließend auf VirusTotal hochlud.

Ironcat wird zu einer vollwertigen Malware-Bedrohung und kann die auf dem Computersystem des gefährdeten Benutzers gespeicherten Dateien tatsächlich verschlüsseln. Bevor der böswillige Prozess gestartet werden kann, muss die Bedrohung jedoch als Administrator ausgeführt werden und schlägt bei bestimmten Aktionen fehl, wenn sie mit Benutzerrechten ausgeführt wird. Ironcat selbst ist nicht mit Methoden zur Eskalation von Berechtigungen oder zur Umgehung von Mechanismen ausgestattet. Ein weiterer Schwellenwert, der von der Bedrohung gelöscht werden muss, ist das Herstellen einer Verbindung durch Senden eines Pakets an Fakebook.com, eine Website für Schulungsumgebungen.

Wenn alles ausgecheckt ist, verschlüsselt Ironcat die Dateien in den Zielverzeichnissen und hängt ".encrypted" an den ursprünglichen Dateinamen jeder Datei an. Dadurch wird auch der registrierte Dateityp in "ENCRYPTED" geändert. Der Lösegeldschein, der in der Originalversion von Ironcat eine nahezu identische Kopie von REevil war, wird in jedem Ordner mit verschlüsselten Daten als Textdatei mit dem Namen "pay_the_piper.txt" abgelegt.

Über die Verschlüsselungsfunktionen hinaus hat die Ironcat Ransomware vier Batchdateien im Verzeichnis ' C: \ Windows ' abgelegt:

  • Chtes.bat - Startet eine admin cmd.exe-Konsole, wenn Sie fünfmal auf dem Anmeldebildschirm eine beliebige Taste drücken
  • Netlogin.bat - Erstellt einen Registrierungsschlüssel, der admin cmd.exe startet, wenn ultiman.exe initiiert wird
  • Shadow.bat - löscht die Volume Shadow Service-Kopien des Standard-Windows-Sicherungsdienstes über den Befehl ' cmd / C vssadmin delete shadow / all '.
  • Mssupdate.bat - löscht alle Windows-Ereignisprotokolle

Der Autor von Ironcat stellte auch Möglichkeiten für betroffene Opfer bereit, zu versuchen, die betroffenen Daten wiederherzustellen. Die Ransomware muss auf die gleiche Weise ausgeführt werden, diesmal jedoch mit Entschlüsselungsfunktion. Für die Entschlüsselung muss dasselbe Kennwort verwendet werden, das für die Verschlüsselung verwendet wurde, sodass die Benutzer es erhalten müssen. Der Autor der Binärdateien bietet drei Möglichkeiten, obwohl es einige Einschränkungen gibt. Erfassen Sie zunächst die HTTP-POST-Anforderung, die die Base64-codierten Daten enthält, und kehren Sie die Codierung um. Dazu muss vor der Ausführung von Ironcat ein Paketerfassungsdienst eingerichtet worden sein. Andernfalls enthält der Windows-Ereignis-Sicherheitsprotokolleintrag die Befehlszeile, mit der die Binärdatei gestartet wird, wenn sie nicht gelöscht wurde. Schließlich kann conhost.exe verwendet werden, um auf das Konsolenfenster zuzugreifen, in dem die Binärdatei ursprünglich ausgeführt wurde. Auf diese Weise kann der Benutzer den Befehl und das Kennwort auflisten, mit denen die Verschlüsselung über den Befehl ' doskey / history ' ausgeführt wird. Damit diese Methode funktioniert, muss der Angreifer die Datei conhost.exe offen gelassen haben, und die Opfer müssen sich in derselben Sitzung anmelden.

Im Trend

Am häufigsten gesehen

Wird geladen...