ΑρχικήsecurityZenis Ransomware: Κρυπτογραφεί αλλά και διαγράφει backup αρχεία

Zenis Ransomware: Κρυπτογραφεί αλλά και διαγράφει backup αρχεία

Ένα νέο ransomware ανακαλύφθηκε την προηγούμενη εβδομάδα από την ομάδα MalwareHunterTeam, που ονομάζεται Zenis.

Zenis

Ενώ δεν είναι γνωστό ακόμα πώς διανέμεται το Zenis, πολλοί χρήστες έχουν ήδη μολυνθεί με αυτό το ransomware. Το πιο επικίνδυνο σε αυτό το είναι ότι δεν μένει μόνο στην κρυπτογράφηση των αρχείων σας αλλά διαγράφει και τα αντίγραφα ασφαλείας που έχετε δημιουργήσει στον υπολογιστή σας. Το πρώτο δείγμα που βρήκε η MalwareHunter Team χρησιμοποιούσε μια προσαρμοσμένη μέθοδο κρυπτογράφησης κατά την κρυπτογράφηση αρχείων ενώ η τελευταία έκδοση χρησιμοποιεί κρυπτογράφηση AES. Έως σήμερα δεν υπάρχει τρόπος να αποκρυπτογραφηθούν τα αρχεία Zenis, αλλά ο γνωστός μηχανικός ασφάλειας Michael Gillespie  αναλύει το ransomware για αδυναμίες.

Η ανάλυση για τον τρόπο λειτουργίας του έγινε από την MalwareHunterTeam, τον Michael Gillespie και τον Lawurence Abrams, ας δούμε περισσότερα παρακάτω:

Όπως αναφέρθηκε προηγουμένως, δεν γνωρίζουμε πώς διανέμεται το Zenis Ransomware. Με βάση κάποια δείγματα και τις πληροφορίες από τους μολυσμένους χρήστες, θα μπορούσε να διανεμηθεί μέσω υπηρεσιών απομακρυσμένης επιφάνειας εργασίας. Όταν εκτελείται, η τρέχουσα παραλλαγή του Zenis πραγματοποιεί δύο ελέγχους για να προκειμένου να αποφασίσει αν πρέπει να ξεκινήσει την κρυπτογράφηση. Ο πρώτος έλεγχος είναι για να διαπιστώσει εάν το αρχείο που εκτελέστηκε ονομάζεται iis_agent32.exe και ο δεύτερος έλεγχος εάν υπάρχει μια καταχώρηση στο registry που ονομάζεται HKEY_CURRENT_USER \ SOFTWARE \ ZenisService “Active”. Εάν κάτι που αυτά δεν ισχύει τότε η εφαρμογή σταματάει.

Στην περίπτωση που συνεχίσει τότε αφού προετοιμάσει το κλασσικό .txt αρχείο που περιέχει πληροφορίες για τον τρόπο πληρωμής, εκτελεί τις ακόλουθες εντολές.

  • exe /C vssadmin.exe delete shadows /all /Quiet
  • exe /C WMIC.exe shadowcopy delete
  • exe /C Bcdedit.exe /set {default} recoveryenabled no
  • exe /C Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
  • exe /C wevtutil.exe cl Application
  • exe /C wevtutil.exe cl Security
  • exe /C wevtutil.exe cl System

Η κρυπτογράφηση περιλαμβάνει πάνω από 200 τύπους αρχείων και κάθε ένας θα κλειδώνει με διαφορετικό AES κλειδί.

Όσον αφορά τα backup αρχεία γράφει 3 φόρες διάφορα δεδομένα πάνω σε αυτά και στην συνέχεια τα διαγράφει για να γίνει ακόμα πιο δύσκολη η επαναφορά τoυς.

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS