Ironcat Ransomware

Ironcat Ransomware est une menace de crypto-locker écrite dans le langage GO et détectée comme opérationnelle dans la nature. Au départ, les chercheurs sont enclins à connecter la menace à d'autres familles de ransomwares existantes telles que les souches Sodinokibi Ransomware ou REvil Ransomware en raison de similitudes dans la note de rançon. En fait, ce n'est pas le cas, et Ironcat est un malware unique mis en évidence par une analyse de la menace lancée par son auteur lui-même.

Apparemment, le Ironcat Ransomware n'a jamais été destiné à être une menace réelle. Les binaires ont été créés dans le seul but d'être utilisés comme outils de formation déployés uniquement sur un réseau à portée fermée, les environnements étant effacés après la fin des exercices; ils n'étaient jamais censés être divulgués au public. Selon le développeur d'Ironcat, la façon dont ils ont échappé aux limites de leurs systèmes de test prévus est par l'intermédiaire d'un étudiant qui a supprimé les binaires et les a ensuite téléchargés sur VirusTotal.

Devenu une menace de malware à part entière, Ironcat peut en effet crypter les fichiers stockés sur le système informatique de l'utilisateur compromis. Cependant, avant de pouvoir lancer le processus malveillant, la menace doit être exécutée en tant qu'administrateur et échouera certaines actions si elle est exécutée avec des privilèges d'utilisateur. Ironcat lui-même n'est équipé d'aucune méthode pour l'augmentation des privilèges ou les mécanismes de contournement. Un autre seuil qui doit être effacé par la menace est l'établissement d'une connexion en envoyant un paquet à Fakebook.com, un site Web d'environnement de formation.

Si tout se vérifie, Ironcat procédera au chiffrement des fichiers dans les répertoires ciblés et ajoutera «.encrypted» au nom de fichier d'origine de chaque fichier. Cela changera également le type de fichier enregistré en «CRYPTÉ». La note de rançon, qui dans la version originale d'Ironcat était une copie presque identique de REevil, est déposée dans chaque dossier contenant des données cryptées sous forme de fichier texte nommé «pay_the_piper.txt».

Au-delà de ses capacités de cryptage, Ironcat Ransomware a déposé quatre fichiers batch dans le répertoire ' C: \ Windows ':

• Chtes.bat - lance une console admin cmd.exe en appuyant cinq fois sur n'importe quelle touche à l'écran de connexion
• Netlogin.bat - crée une clé de registre qui lance admin cmd.exe chaque fois que ultiman.exe est lancé
• Shadow.bat - supprime les copies Volume Shadow Service du service de sauvegarde Windows par défaut via la commande ' cmd / C vssadmin delete shadows / all '
• Mssupdate.bat - supprime tous les journaux d'événements Windows

L'auteur d'Ironcat a également fourni des moyens à toute victime affectée de tenter de restaurer ses données affectées. Le ransomware doit être exécuté à peu près de la même manière, mais cette fois avec la fonction de déchiffrement . Le même mot de passe que celui utilisé pour le cryptage doit être utilisé pour le décryptage, les utilisateurs doivent donc l'obtenir. L'auteur des binaires propose trois méthodes possibles, bien qu'il y ait quelques mises en garde. Tout d'abord, capturez la requête HTTP POST contenant les données encodées en base64 et inversez l'encodage, ce qui nécessite qu'un service de capture de paquets ait été établi avant l'exécution d'Ironcat. Sinon, l'entrée du journal de sécurité des événements Windows contiendra la ligne de commande utilisée pour lancer le binaire s'il n'a pas été effacé. Enfin, conhost.exe peut être utilisé pour accéder à la fenêtre de la console dans laquelle le binaire a été initialement exécuté. Cela permettra à l'utilisateur de lister la commande et le mot de passe utilisés pour exécuter le chiffrement via la commande « doskey / history ». Cependant, pour que cette méthode fonctionne, l'attaquant doit avoir laissé le fichier conhost.exe actif et les victimes doivent se connecter à la même session.