EKING Ransomware

EKING Ransomware est un puissant malware de cryptage. Le EKING Ransomware n'est pas une menace tout à fait unique, bien que, selon les chercheurs qui l'ont analysé, EKING est une variante du Phobos Ransomware et fait partie de la famille Phobos Ransomware.

Le EKING Ransomware est distribué via des documents Word empoisonnés contenant des scripts de macro corrompus. Une fois le document ouvert, un avertissement de sécurité demandant aux utilisateurs s'ils souhaitent activer les macros s'affiche. Cependant, la menace contourner cette vérification via une fonction d'événement intégrée qui est lancée lorsque MSWord se ferme automatiquement. En bref, la macro est exécutée lorsque l'utilisateur ciblé quitte le document. Le but du script de macro est de télécharger et d'exécuter la charge utile du ransomware en contactant une adresse URL codée en dur - `` hxxp: //178.62.19.66/campo/v/v '', et en récupérant un fichier qu'il dépose ensuite dans un chemin codé en dur à 'C: \ Users \ Public \ cs5 \ cs5.exe.'

Lorsque le fichier de charge utile d'EKING Ransomware est exécuté, il crée un deuxième processus de lui-même, mais cette fois avec des autorisations élevées, grâce à l'utilisation abusive d'un jeton Explorer.exe. Le EKING Ransomware appelle ensuite deux séries de commandes. Le premier groupe est chargé de perturber les capacités de sauvegarde Windows par défaut. Il supprime les copies Shadow Volume et les copies Windows Restore de l'ordinateur local, désactive la réparation de démarrage automatique et supprime le catalogue de sauvegarde. Les commandes spécifiques utilisées sont:

• vssadmin supprimer les ombres / tout / silencieux
• suppression de shadowcopy wmic
• bcdedit / set {par défaut} bootstatuspolicy ignoreallfailures
• bcdedit / set {default} recoveryenabled non
• wbadmin supprimer le catalogue –quiet
• sortie

Le deuxième groupe est responsable de la désactivation du pare-feu Windows et se compose d'une commande pour Windows 7 et versions ultérieures et d'une commande appropriée pour Windows XP et Windows 2003.

Pour obtenir la persistance, EKING Ransomware modifie le registre de l'ordinateur compromis en créant un élément à exécution automatique sous la clé racine «HKEY_CURRENT_USER». En outre, il crée des copies de son fichier exécutable 'cs5.exe' dans deux dossiers de démarrage automatique - '% AppData% \ Microsoft \ Windows \ Start Menu \ Programs \ Startup' et '% ProgramData% \ Microsoft \ Windows \ Start Menu \ Programmes \ Démarrage. ' Pour éviter tout conflit potentiel tel que l'exécution de plusieurs instances différentes du ransomware au démarrage du système, une vérification utilisant un objet Mutex, garantissant qu'un seul processus est en cours d'exécution, est mise en œuvre.

Les principales fonctions du Ransomware EKING

Toutes les actions effectuées à ce stade sont un travail de préparation pour l'objectif principal du ransomware - commencer à chiffrer les données. La première étape de ce processus consiste à mettre fin aux processus de plusieurs programmes populaires, les forçant à libérer tous les fichiers sur lesquels l'utilisateur aurait pu travailler actuellement. Les processus concernés concernent MS SQL Server, Oracle Database, VMware, MySql, Firefox, SQL Anywhere, RedGate SQL Backup, MS Office et WordPad. Pour éviter d'interrompre les opérations normales du système, EKING Ransomware exclut deux dossiers du chiffrement - «% WinDir%» et «% ProgramData% \ Microsoft \ Windows \ Caches». Il exclut également les extensions utilisées par les menaces de la famille Phobos Ransomware précédemment, ainsi que certains fichiers spécifiques tels que les notes de rançon qu'il laisse aux victimes et certains fichiers de démarrage - info.hta, info.txt, boot.ini, ntldr, bootfont .bin, ntdetect.com, io.sys et osen.txt. Tous les autres fichiers sont chiffrés avec l'algorithme cryptographique AES et sont renommés pour inclure «id [<> - 2987]. [Wiruxa@airmail.cc] .eking» dans leurs noms de fichiers.

Le Ransomware EKING ne s'arrête pas là. Sa capacité à causer des dommages affecte également les ressources de partage réseau en appelant l'API WNetOpenEnum () en utilisant des valeurs différentes pour dwScope l'argument tel que RESOURCE_CONNECTED, RESOURCE_RECENT, RESOURCE_CONTEXT, RESOURCE_REMEMBERED et RESOURCE_GLOBALNET. Si une ressource appropriée est trouvée, EKING la scanne et exécute son processus de cryptage.

Et si cela ne suffisait pas, EKING Ransomware peut également crypter n'importe quel USB ou smartphone connecté au système compromis. Windows traite ces périphériques comme des lecteurs logiques et EKING Ransomware effectue une vérification toutes les secondes pour voir si de tels lecteurs logiques ont été ajoutés.

Enfin, EKING Ransomware laisse tomber sa note de rançon sous la forme d'un fichier texte appelé «info.txt» et d'une version HTML «info.hta». Le fichier .hta est ensuite exécuté et utilisé pour afficher une fenêtre pop-up sur l'écran de la victime. EKING Ransomware est une puissante menace de malware, mais les utilisateurs concernés doivent se précipiter pour obéir aux demandes des pirates informatiques derrière lui. Recherchez des alternatives pour restaurer les données cryptées, car l'envoi de toute somme d'argent aux criminels sera simplement utilisé pour étendre davantage leurs opérations menaçantes.