Ensiko Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель является компонентом многофункционального ПО Ensiko и может шифровать данные сайтов и серверов с помощью Rijndael-128 в режиме CBC, а затем, как и обычный Ransomware требовать выкуп в # BTC, чтобы вернуть файлы. Предположительно распространяется из Индонезии или одной из сопредельных стран.
© Генеалогия: Ensiko Malware >> Ensiko Ransomware
Изображение — логотип статьи
Ensiko - это главным образом PHP-веб-оболочка с программой-вымогателем внутри, предназначенная для различных платформ, таких как Linux, Windows, macOS или любой другой платформы, на которой установлен PHP. Вредоносное ПО имеет возможность удаленно управлять системой и принимать и выполнять команды для выполнения вредоносных действий на зараженной машине, отправлять результаты злоумышленнику, сканировать серверы на наличие других веб-оболочек, портить веб-сайты, отправлять массовые электронные письма, загружать удаленные файлы, раскрывать информацию о затронутом сервере, атаковать грубой силой протокол передачи файлов (FTP), cPanel и Telnet, перезаписывать файлы с заданными расширениями и пр.пр.
Список функций и описание:
Priv Index: Download ensikology.php from pastebin
Ransomeware: Encrypt files using RIJNDAEL 128 with CBC mode
CGI Telnet: Download CGI-telnet version 1.3 from pastebin; CGI-Telnet is a CGI script that allows you to execute commands on your web server.
Reverse Shell: PHP Reverse shell
Mini Shell 2: Drop Mini Shell 2 webshell payload in ./tools_ensikology/
IndoXploit: Drop IndoXploit webshell payload in ./tools_ensikology/
Sound Cloud: Display sound cloud
Realtime DDOS Map: Fortinet DDoS map
Encode/Decode: Encode/decode string buffer
Safe Mode Fucker: Disable PHP Safe Mode
Dir Listing Forbidden: Turn off directory indexes
Mass Mailer: Mail Bombing
cPanel Crack: Brute-force cPanel, ftp, and telnet
Backdoor Scan: Check remote server for existing web shell
Exploit Details: Display system information and versioning
Remote Server Scan: Check remote server for existing web shell
Remote File Downloader: Download file from remote server via CURL or wget
Hex Encode/Decode: Hex Encode/Decode
FTP Anonymous Access Scaner: Search for Anonymous FTP
Mass Deface: Defacement
Config Grabber: Grab system configuration such as “/etc/passwd”
SymLink: link
Cookie Hijack: Session hijacking
Secure Shell: SSH Shell
Mass Overwrite: Rewrite or append data to the specified file type.
FTP Manager: FTP Manager
Check Steganologer: Detects images with EXIF header
Adminer: Download Adminer PHP database management into the ./tools_ensikology/
PHP Info: Information about PHP’s configuration
Byksw Translate: Character replacement
Suicide: Self-delete
Вредоносная программа может быть защищена паролем. Для аутентификации вредоносная программа отображает страницу "Not Found" со скрытой формой входа, как показано на следующих скриншотах.
Страница "Not Found" скрытая форма входа
PHP-код для аутентификации по паролю
Пароль для этого образца - RaBiitch, а на следующем рисунке показан перехваченный сетевой трафик для запроса аутентификации на панели веб-оболочки.
Перехваченный сетевой трафик
К зашифрованным файлам добавляется расширение: .bak
Код, показывающий поведение при шифровании
Код шифрования и дешифрования
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Анализ этого крипто-вымогателя был представлен специалиcтами из TrendMicro во второй половине июля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
➤ Кроме того, Ensiko Ransomware удаляет файл index.php и устанавливает его в качестве страницы по умолчанию, используя файл .htaccess; злоумышленник также получает уведомление об этом действии по email. Следующий фрагмент кода демонстрирует это поведение.
Фрагмент кода для оставленной страницы .htaccess
Уведомление, которое появляется при обращении к index.php
Внешний вид страницы index.php
Так выглядит закодированный index.php
Так выглядит декодированный index.php
Чтобы выполнять больше задач в зараженной системе, вредонос может загрузить в зараженную систему различные дополнительные инструменты. Большинство из них загружаются из Pastebin. Вредонос создает каталог tools_ensikology для хранения этих инструментов.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: xxxx://www.mmbuilders.org/ - сайт BlackHell Team - RaBiitch
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter: myTweet ID Ransomware (ID as ***) Write-up, Write-up, Topic of Support *
Thanks: Aliakbar Zahravi (TrendMicro) Ionut Ilascu (Bleeping Computer) Andrew Ivanov (author) to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
