EKING ransomware

El EKING Ransomware es un poderoso malware de bloqueo de criptas. El EKING Ransomware no es una amenaza completamente única, aunque, según los investigadores que lo analizaron, EKING es una variante del Phobos Ransomware y parte de la familia Phobos Ransomware.

El EKING Ransomware se distribuye a través de documentos de Word envenenados que contienen macro scripts corruptos. Una vez que se abre el documento, se muestra una advertencia de seguridad que pregunta a los usuarios si desean habilitar macros. Sin embargo, la amenaza pasa por alto esta verificación a través de una función de evento incorporada que se inicia cuando MSWord se cierra automáticamente. En resumen, la macro se ejecuta cuando el usuario objetivo sale del documento. El objetivo del macro script es descargar y ejecutar la carga útil del ransomware poniéndose en contacto con una dirección URL codificada: 'hxxp: //178.62.19.66/campo/v/v', y obteniendo un archivo que luego deposita en una ruta codificada en 'C: \ Users \ Public \ cs5 \ cs5.exe'.

Cuando se ejecuta el archivo de carga útil de EKING Ransomware, crea un segundo proceso de sí mismo, pero esta vez con permisos elevados, gracias al abuso de un token Explorer.exe. El EKING Ransomware luego invoca dos series de comandos. El primer grupo tiene la tarea de interrumpir las capacidades de copia de seguridad predeterminadas de Windows. Elimina las instantáneas de volumen y las copias de restauración de Windows de la computadora local, deshabilita la reparación de inicio automático y elimina el catálogo de respaldo. Los comandos específicos utilizados son:

• vssadmin eliminar sombras / todo / silencio
• wmic shadowcopy eliminar
• bcdedit / set {predeterminado} bootstatuspolicy ignoreallfailures
• bcdedit / set {default} recoveryenabled no
• wbadmin eliminar catálogo –quiet
• salida

El segundo grupo es responsable de deshabilitar el Firewall de Windows y consta de un comando para Windows 7 y versiones posteriores y uno apropiado para Windows XP y Windows 2003.

Para lograr la persistencia, EKING Ransomware modifica el Registro de la computadora comprometida creando un elemento de ejecución automática con la clave raíz 'HKEY_CURRENT_USER'. Además, crea copias de su archivo ejecutable 'cs5.exe' en dos carpetas de inicio automático: '% AppData% \ Microsoft \ Windows \ Start Menu \ Programs \ Startup' y '% ProgramData% \ Microsoft \ Windows \ Start Menu \ Programas \ Inicio. ' Para evitar posibles conflictos, como la ejecución de múltiples instancias diferentes del ransomware en el arranque del sistema, se implementa una verificación que usa un objeto Mutex, asegurando que solo se esté ejecutando un proceso.

Las funciones principales del ransomware EKING

Todas las acciones llevadas a cabo en este punto son un trabajo de preparación para el objetivo principal del ransomware: comenzar a cifrar los datos. El primer paso de este proceso es terminar los procesos de varios programas populares, obligándolos a liberar los archivos en los que el usuario podría haber estado trabajando actualmente. Los procesos afectados son para MS SQL Server, Oracle Database, VMware, MySql, Firefox, SQL Anywhere, RedGate SQL Backup, MS Office y WordPad. Para evitar interrumpir las operaciones normales del sistema, EKING Ransomware excluye dos carpetas del cifrado: '% WinDir%' y '% ProgramData% \ Microsoft \ Windows \ Caches'. También excluye las extensiones utilizadas anteriormente por las amenazas de la familia Phobos Ransomware, así como algunos archivos específicos como las notas de rescate que deja para las víctimas y ciertos archivos de arranque: info.hta, info.txt, boot.ini, ntldr, bootfont. .bin, ntdetect.com, io.sys y osen.txt. Todos los demás archivos se cifran con el algoritmo criptográfico AES y se renombran para incluir 'id [<> - 2987]. [Wiruxa@airmail.cc] .eking' en sus nombres de archivo.

El EKING Ransomware no se detiene ahí. Su capacidad para causar daño también afecta los recursos compartidos de la red llamando a la API WNetOpenEnum () usando diferentes valores para dwScope el argumento como RESOURCE_CONNECTED, RESOURCE_RECENT, RESOURCE_CONTEXT, RESOURCE_REMEMBERED y RESOURCE_GLOBALNET. Si se encuentra un recurso adecuado, EKING lo escanea y ejecuta su proceso de cifrado.

Y si eso no fuera suficiente, EKING Ransomware también puede cifrar cualquier USB o teléfono inteligente conectado al sistema comprometido. Windows trata estos dispositivos como unidades lógicas, y EKING Ransomware realiza una verificación cada segundo para ver si se han agregado tales unidades lógicas.

Finalmente, el EKING Ransomware deja caer su nota de rescate como un archivo de texto llamado 'info.txt' y una versión HTML 'info.hta'. Luego, el archivo .hta se ejecuta y se usa para mostrar una ventana emergente en la pantalla de la víctima. El EKING Ransomware es una poderosa amenaza de malware, pero los usuarios afectados deben apresurarse a obedecer las demandas de los piratas informáticos. Busque alternativas para restaurar los datos cifrados porque enviar cualquier cantidad de dinero a los delincuentes simplemente se utilizará para difundir aún más sus operaciones amenazantes.