Cuando se ejecuta el programa de instalación de Erebus utilizará un control de cuentas de usuario UAC de derivación
El nuevo ransomware llamado Erebus ha sido descubierto por MalwareHunterTeam en VirusTotal. Si bien en este momento, no se sabe actualmente cómo se distribuye Erebus, el análisis del ransomware muestra algunas características interesantes. Los primeros y más notables características, es la cantidad mínima de rescate 90 dolares USD por el ransomware. Otra característica interesante es el uso de un bypass UAC que permite que el ransomware se ejecute en privilegios elevados sin mostrar un mensaje de UAC.
Cuando se ejecuta el programa de instalación de Erebus, también utilizará un control de cuentas de usuario (UAC) de derivación método para que la víctima de no se le pedirá para permitir que el programa se ejecute en más privilegios. Hace copias de sí mismo en un archivo denominado aleatoria en la misma carpeta. A continuación, modificar el registro de Windows con el fin de secuestrar la asociación para la extension de archivo .msc para que se pondrá en marcha el llamado Erebus al azar.
Las teclas secuestrados se muestran a continuación:
HKEY_CLASSES_ROOT\.msc
HKCU\Software\Classes\mscfile
HKCU\Software\Classes\mscfile\shell
HKCU\Software\Classes\mscfile\shell\open
HKCU\Software\Classes\mscfile\shell\open\command
HKCU\Software\Classes\mscfile\shell\open\command\%UserProfile%\[random].exe
Erebus ejecutará entonces eventvwr.exe (Visor de sucesos), que a su vez se abrirá automáticamente el archivo eventvwr.msc. Como el archivo .msc ya no está asociada con mmc.exe, pero ahora con el azar ejecutable llamado Erebus, el Visor de sucesos lanzará Erebus lugar. Como el Visor de eventos se ejecuta en un modo elevado, el ejecutable Erebus lanzado también pondrá en marcha con los mismos privilegios. Esto le permite eludir el Control de cuentas de usuario.
Cuando se ejecuta Erebus se conectará a http://ipecho.net/plain y http://ipinfo.io/country con el fin de determinar la dirección IP de la víctima y el país que se encuentran. A continuación, se descargará un cliente TOR y utilizarlo para conectarse al servidor de comando y control del sitio.
Erebus entonces comenzará a escanear el ordenador de la víctima y la búsqueda de ciertos tipos de archivos. Cuando se detecta un tipo de archivo específico, se cifrará el archivo mediante el cifrado AES. La lista actual de archivos específicos son: .accdb, .arw, .bay, .cdr, .cer, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .pdd, .pef, .pem, .pfx, .png, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .raf, .raw, .rtf, .rwl, .srf, .srw, .txt, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx
Cuando Erebus cifra un archivo, se cifrará la extensión utilizando ROT-23. Por ejemplo, un archivo llamado foto.jpg se cifra y se renombró como foto.msj.
Durante este proceso, Erebus también se borrará el volumen de las ventanas de instantáneas para que no se pueden utilizar para recuperar archivos. El comando ejecutado para borrar las instantáneas es: cmd.exe /C vssadmin delete shadows /all /quiet && exit
Cuando se ha terminado el cifrado del equipo, mostrará la nota de rescate ubicado en el escritorio llamada readme.html . Esta nota de rescate contendrá un identificador único que se puede utilizar para iniciar sesión en el sitio de pago, una lista de archivos cifrados, y un botón que le lleva al sitio de pago TOR.
Erebus también mostrará un cuadro de mensaje en el escritorio de Windows alertando a la víctima de que sus archivos están encriptados.
Cuando una víctima hace clic en el botón Recuperar mis archivos, serán llevados al sitio de pago TOR Erebus 'donde pueden obtener las instrucciones de pago. En este momento la cantidad de rescate se establece en bitcoins .085, lo cual es aproximadamente $ 90 USD.
Registros asociados a Erebus:
%UserProfile%\AppData\Local\Temp\tor\
%UserProfile%\AppData\Local\Temp\tor\Data\
%UserProfile%\AppData\Local\Temp\tor\Data\Tor\
%UserProfile%\AppData\Local\Temp\tor\Data\Tor\geoip
%UserProfile%\AppData\Local\Temp\tor\Data\Tor\geoip6
%UserProfile%\AppData\Local\Temp\tor\Tor\
%UserProfile%\AppData\Local\Temp\tor\Tor\libeay32.dll
%UserProfile%\AppData\Local\Temp\tor\Tor\libevent-2-0-5.dll
%UserProfile%\AppData\Local\Temp\tor\Tor\libevent_core-2-0-5.dll
%UserProfile%\AppData\Local\Temp\tor\Tor\libevent_extra-2-0-5.dll
%UserProfile%\AppData\Local\Temp\tor\Tor\libgcc_s_sjlj-1.dll
%UserProfile%\AppData\Local\Temp\tor\Tor\libssp-0.dll
%UserProfile%\AppData\Local\Temp\tor\Tor\ssleay32.dll
%UserProfile%\AppData\Local\Temp\tor\Tor\tor-gencert.exe
%UserProfile%\AppData\Local\Temp\tor\Tor\tor.exe
%UserProfile%\AppData\Local\Temp\tor\Tor\zlib1.dll
%UserProfile%\AppData\Local\Temp\tor.zip
%UserProfile%\AppData\Roaming\tor\
%UserProfile%\AppData\Roaming\tor\cached-certs
%UserProfile%\AppData\Roaming\tor\cached-microdesc-consensus
%UserProfile%\AppData\Roaming\tor\cached-microdescs.new
%UserProfile%\AppData\Roaming\tor\lock
%UserProfile%\AppData\Roaming\tor\state
%UserProfile%\Desktop\test\xor-test.pdf
%UserProfile%\Desktop\README.html
%UserProfile%\Documents\README.html
%UserProfile%\[random].exe
Las entradas del registro asociadas con el Erebus ransomware
HKEY_CLASSES_ROOT\.msc
HKCU\Software\Classes\mscfile
HKCU\Software\Classes\mscfile\shell
HKCU\Software\Classes\mscfile\shell\open
HKCU\Software\Classes\mscfile\shell\open\command
HKCU\Software\Classes\mscfile\shell\open\command\ %UserProfile%\[random].exe
