Ekati Ransomware
(демонстрационный шифровальщик-НЕ-вымогатель) (первоисточник)
Translation into English
Этот демонстрационный крипто-вымогатель от Malwarebytes демонстрирует, что шифрует данные пользователей с помощью AES, а затем выводит сообщение без требований выкупа, в которой есть ссылка для запуска дешифрования. Оригинальное название: Ekati. На файле написано: ekati.exe, Ekati и номер версии 2.0.0.0. Указанный разработчик: Lee Wei
Обнаружения:
DrWeb -> Trojan.Siggen9.15575
BitDefender -> Gen:Variant.MSILPerseus.194329
Avira (no cloud) -> TR/Hosts.tclzk
Cyren -> W32/Trojan.JSFQ-5693
ESET-NOD32 -> A Variant Of MSIL/Filecoder.UH
Kaspersky -> HEUR:Trojan.MSIL.DelShad.gen
Malwarebytes -> Ransom.FileLocker
Tencent -> Msil.Trojan.Delshad.Wogk
TrendMicro -> Ransom.MSIL.TEIKA.SMTH1
VBA32 -> TScope.Trojan.MSIL
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: демонстрационный инструмент.
Изображение — логотип статьи
К зашифрованным файлам во время теста никакое расширение не добавилось.
Вероятно, должно было добавиться расширение .encrypt или .encrypted
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Образец этого демонстрационного крипто-вымогателя был найден исследователями вредоносных программ во второй половине февраля 2020 г. Только спустя 5 дней я получил подтверждения, что это действительно демонстрационный инструмент от Malwarebytes. Ориентирован на англоязычных пользователей.
Записка с требованием выкупа называется: message.html
Содержание записки о выкупе:
Your computer has been encrypted
The hard disks of your computer have been encrypted with a military grade encryption algorithm. It is impossible to recover your data without a special key.
This page will help you with the purchase of this key and the complete decryption of your computers.
Time left: 2d 23h 59m 56s
Click here to start the decryption process
Перевод записки на русский язык:
Ваш компьютер зашифрован
Жесткие диски вашего компьютера зашифрованы с алгоритмом шифрования военного уровня. Невозможно восстановить ваши данные без спецключа.
Эта страница поможет вам купить этот ключ и полностью расшифровать ваши компьютеры.
Осталось: 2д 23ч 59м 56с
Нажмите здесь для запуска расшифровки
Технические детали
Так как это демонстрационный инструмент, то он не может распространяться как другие шифровальщики-вымогатели, т.е. путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Пытается получить доступ к файлу hosts и модифицировать его.
➤ Пытается удалить теневые копии файлов:
vssadmin.exe delete shadows
➤ Использует mRemoteNG - менеджер удаленных подключений, который поддерживает: RDP, VNC, ICA, SSH, Telnet, HTTP/HTTPS, rlogin, Raw Socket Connections.
➤ Другие деструктивные и/или подозрительные функции:
Создает файлы в пользовательском каталоге
Добавляет, изменяет сертификаты Windows
Изменяет и читает настройки системных сертификатов
Самозапускается
Изменяет настройки интернет-зон
Читает настройки интернет-кэша
Использует mimikatz с целью воровства паролей из браузеров и других приложений
Использует netsh.exe для изменений сетевых параметро и отключений файервола
Использует PowerShell
Использует iptest.malwarebytes.com для проверки защиты по IP-адресу
Использует Internet Explorer для запуска сообщения с требованием выкупа м помощью команды:
C:\Program Files\Internet Explorer\iexplore.exe" C:\Users\admin\AppData\Local\Temp\message.html
Список файловых расширений, подвергающихся шифрованию:
Это могут оказаться документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр., если не обеспечить ПК комплексной защитой и резервным копированием.
Файлы, связанные с этим Ransomware:
message.html - записка с сообщением
ekati.exe
ekati6482.exe
redback.jpg - изображение, использованное вымогателями
diamond.exe
ruby.exe
vacation.jpg.exe
<random>.exe - случайное название вредоносного файла
r0f0jsrf9300.exe
sl4xpfrq4976.exe
unmwp0pc8858.exe
ekati.log - лог выполненных команд
ruby.log - лог выполненных команд
diamond.log - лог выполненных команд
onion.jpg
mimikatz_trunk.zip
mimikatz.exe
eprtest.exe
remotec.ps1
iptest.html
временные файлы с расширениями: .TMP и .temp
Оригинальные проекты вымогателя:
C:\Users\leewei\Documents\Visual Studio 2017\Projects\ekati 2.0\diamond\obj\Debug\diamond.pdbC:\Users\leewei\Documents\Visual Studio 2019\Projects\ekati 2.0\ekati\obj\Debug\ekati.pdb
C:\Users\leewei\Documents\Visual Studio 2017\Projects\ekati 2.0\ruby\obj\Debug\ruby.pdb
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Temp\eprtest.exe
Записи реестра, связанные с этим Ransomware:
2/27/2020 9:27:00 AM - Registry written:
SOFTWARE\Malwarebytes\Ekati\\Excel\Security, NoControlPanel, 1
2/27/2020 9:27:01 AM - Registry written:
SOFTWARE\Malwarebytes\Ekati\\Excel\Security, Level, 1
2/27/2020 9:27:02 AM - Registry written:
SOFTWARE\Malwarebytes\Ekati\\Word\Security, Level, 1
2/27/2020 9:27:03 AM - Registry written:
SOFTWARE\Malwarebytes\Ekati\\Excel\Security, CertificateRevocation, 0
2/27/2020 9:27:04 AM - Registry written:
SOFTWARE\Malwarebytes\Ekati\\Excel\Security, DisableScriptDebuggerIE, yes
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: lwei@malwarebytes.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
DNS-разрешения:
onion.net
b1ns.c-0001.c-msedge.net
b1ns.au-msedge.net
c-0001.c-msedge.net
dual-a-0001.a-msedge.net
a-0001.a-afdentry.net.trafficmanager.net
www.onion.net
www.download.windowsupdate.com
www.bing.com
2-01-3cf7-0009.cdx.cedexis.net
hunter.teamwork.cn
IP-трафик:
217.194.236.100:80 (TCP)
217.194.236.100:443 (TCP)
13.107.4.50:80 (TCP)
13.107.21.200:80 (TCP)
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: dnwls0719, Michael Gillespie, S!Ri Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.