Security Professionals - ipfw add deny all from eindgebruikers to any

Syrk Ransomware: Hoe werkt het?

21-12-2019, 13:57 door Irash, 5 reacties
Syrk: Wat is het?
Syrk is een Ransomware die uw bestanden ongewenst versleuteld met een gegenereerd wachtwoord. Dit wachtwoord wordt verstuurd met uw ID naar de maker van de Syrk Ransomware. Vervolgenst suggereert Syrk dat u contact opneemt met de maker. Het doel van dit contact is om u te laten betalen voor uw wachtwoord. Syrk wordt voornamelijk verspreid als de executable "SydneyFortnineHacks.exe". Kinderen die het populaire spel Fortnite spelen worden verleid om de Syrk Ransomware te downloaden en uit te voeren omdat hun wijs gemaakt wordt dat ze met deze executable Fortnite kunnen hacken.

Hoe kunt u Syrk herkennen?
Nadat Syrk al uw bestanden heeft versleuteld zal het hoofd scherm weergegeven worden. Het hoofdscherm ziet er als volgt uit: https://imgur.com/Jfkm4zc. Uw bestanden krijgen als extensie ".Syrk" toegevoegd. De inhoud van uw bestanden is versleuteld. De volgende link geeft u hiervan een voorbeeld: https://imgur.com/zItVHz3. Ten slotte wordt er een tekstbestand genaamd "Readme_now" geopend met daarin de contact gegevens van de maker van Syrk. Zie de link: https://imgur.com/6xk1TS6. Ten slotte kunt u Syrk Ransomware en andere Ransomware identificeren met de handige tool "ID Ransomware". Deze tool kunt u hier vinden: https://id-ransomware.malwarehunterteam.com/.

Wat doet Syrk?
Als eerste ping Syrk het domein "gr9wgs94fg5sb3y8l.000webhostapp.com". Dit is om de makers te informeren over de infectie. Vervolgens wordt de executable "SydneyFortniteHacks.exe" verplaatst naar de Documenten folder van de publieke gebruiker. Windows Defender and Gebruiker Account Control (UAC) worden uitgezet. Ten slotte wordt de executable "cgo46ea565sdfse7.exe" geplaatst in dezelfde Documenten folder en uitgevoerd.

De executable "cgo46ea565sdfse7.exe" maakt gebruik van de bekende Hidden-Cry encrypter. Link naar github: https://github.com/thelinuxchoice/hidden-cry. Er worden twee batch scripts geplaats in de documenten folder van de publieke gebruiker. Deze twee batch encrypten vervolgens alle bestanden die een van de volgende extensies heeft:

*.gif
*.sln
*.docx
*.php
*.psd
*.ico
*.mov
*.xlsx
*.jpg
*.xls
*.doc
*.pdf
*.wav
*.pptx
*.ppt
*.txt
*.png
*.bmp
*.rar
*.zip
*.mp3
*.mp4
*.avi

Nadat de executable "cgo46ea565sdfse7.exe" alle bestanden heeft versleuteld, wordt de executabe "startSF.exe" in de publieke documenten folder geplaatst en uitgevoerd. Deze verplaatst de "SydneyForniteHackes.exe" executable naar de opstart folder. Op deze manier blijft de Ransomware werken zelfs als uw computer opnieuw wordt opgestart. De executable "SydneyForniteHackes.exe" wordt weer uitgevoerd. Deze executable gaat vervolgens het systeem monitoren voor de volgende processen:

Taskmgr.exe
Procmon64.exe
ProcessHacker.exe

Zodra een van deze processen wordt opgestart, wordt deze beeindigt door de Ransomware. Ook verschijnt er een bericht met daarin "Lol You Can't close me". Ten slotte wordt de executable "LimeUSB_Csharp" uitgevoerd. Deze executable infecteert alle ingestoken USB drives. Elk bestand op de USB wordt vervangen met een executable. Echter merkt de eindgebruiker dit niet. De executable ziet er precies uit als het normale bestand. Zo heeft een afbeelding nog steeds het logo van een afbeelding, dezelfde naam en extensie. Echter wanneer de eindgebruiker op de afbeelding klikt op om deze te openen, wordt de executable uitgevoerd. Deze kan dan code uitvoeren in de achtergrond, en vervolgens alsnog de afbeelding openen. Op deze manier worden de ingestoken USB drives gebruikt om de Syrk ransomware verder te verspreiden. "LimeUSB_Csharp" is net als de encryptor niet door de maker van Syrk zelf geschreven. De tool is hier op Github te vinden: https://github.com/NYAN-x-CAT/LimeUSB-Csharp.

Syrk Ransomware dwingt de gebruiker ook om snel actie te ondernemen. Dit doen ze door drie timers in te stellen. Na twee uur worden alle bestanden in de "Afbeeldingen" folder van de op dit moment ingelogde gebruiker verwijderd. Twee uur hierna volgt de "Desktop" folder. Weer twee uur hierna is de "Documenten" folder aan de beurt.

In de gebruikers interface is er een knop met de tekst "Show My ID". Als u op deze knop drukt wordt uw ID weergegeven, en wordt u gevraagd voor uw wachtwoord. Als u het juiste wachtwoord heeft ingevuld, wordt de executable "dh35s3h8d69s3b1k.exe" geplaatst in de Documenten folder van de publieke gebruiker en uitgevoerd. Deze executable gaat vervolgens al uw bestanden ontsleutelen. Ten slotte wordt de executable "DeleteFiles.exe" uitgevoerd. Deze verwijderdt alle bestanden die door Syrk Ransomware zijn aangemaakt.

Als u voor de eerste keer op de knop "Show My ID" drukt, worden er op de achtergrond de volgende drie bestanden geplaatst op uw computer:

C:\Gebruikers\Default\AppData\Local\Microsoft\-i+.txt ==> Dit bestand bevat uw ID.
C:\Gebruikers\Default\AppData\Local\Microsoft\-pw+.txt ==> Dit bestand bevat uw wachtwoord.
C:\Gebruikers\Default\AppData\Local\Microsoft\+dp-.txt ==> Dit bestand bevat uw ID en uw wachtwoord. Dit bestand wordt verstuurd naar de maker om via uw ID uw wachtwoord te bepalen.

Als u het "+dp-.txt" bestand opent krijgt u ongeveer hetzelfde te zien als op de volgende pagina: https://imgur.com/G1CbGgW. Natuurlijk zal uw wachtwoord en ID wel anders zijn.

Hoe kan ik Syrk Ransomware verwijderen?
De maker wilt dus dat u contact opneemt met hem om u te laten betalen voor uw wachtwoord. Maar doe dit niet! Er is namelijk een gratis decryptor, hier hoeft u dus niet voor te betalen. U kunt deze vinden op de volgende link: https://www.emsisoft.com/ransomware-decryption-tools/syrk. Ook kunt u het wachtwoord halen uit de twee eerder genoemde bestanden die geplaatst worden op uw computer zodra u op de knop "Show My ID" drukt. Dit wachtwoord kunt u invullen in de Decryptor gemaakt door de makers van Syrk en hiermee al uw bestanden ontsleutelen. Let wel op: U heeft maximaal twee uur de tijd sinds het begin van de Ransomware infectie om uw bestanden te ontsleuten. Zoals eerder uitgelegd, verwijdert Syrk ransomware wel echt bestanden zodra de deadline is verstreken.

Detectie
U kunt de volgende gegevens gebruiken om Syrk automatisch te detecteren
SydneyFortniteHacks.exe, SHA256 = 077eee74b8f1227707b389a953234756d3bf8b78108a24f132bd5feb209dd8f6, Windows Defender = W32/Ransom.Krys.A.gen!Eldorado
cgo46ea565sdfse7.exe, SHA256 = c239d501439b776e93085925eb132ff164b1f3ba4fdc356a00045e8674dc1387, Windows Defender = W32/Ransom.LH.gen!Eldorado
dh35s3h8d69s3b1k.exe, SHA256 = 08baaf7c861748b227a93e41e28f99a258eb4ce149fa31b7ffe93bc23e385709, Windows Defender = W32/Ransom.LH.gen!Eldorado
startSF.exe, SHA256 = 31c3e1c03b15347bf8184854e65261a81ba12db0dcf3aeb5344ced6d8321ddf1, Windows Defender = W32/Batdrop.A.gen!Eldorado
DeleteFiles.exe, SHA256 = 4197a4146bbf406f21577569290a2772b22af80f4043f670240319fb807cf3d4, Windows Defender = W32/Krysdrop.A
LimeUSB_Csharp, SHA256 = a3368e8a66a87b01cab209816de2648dc36059cb4ae6e3cf41c9d2aff79f9e0c, Windows Defender = W32/Kryslime.A.gen!Eldorado

Analyseren van Syrk Ransomware
U kunt Syrk Ransomware zelf analyseren met behulp van de dotPeek decompiler van JetBrains. Syrk is namelijk geschreven in de taal C#. U kunt dotPeek via de volgende link zelf installeren: https://www.jetbrains.com/decompiler/.
Reacties (5)
21-12-2019, 14:46 door Anoniem
Ik zou de melding dat er een gratis decryptor is helemaal bovenaan het artikel zetten. Dat is waar op gezocht wordt.

De analyse is leuk, maar niet relevant als er een decryptor is.

Belangrijke dingen eerst. Daarna mag je verder lezen als je er behoefte aan hebt. Standaard les voor journalisten en voor managment rapportages. ;)
21-12-2019, 18:59 door Anoniem
Door Anoniem: Ik zou de melding dat er een gratis decryptor is helemaal bovenaan het artikel zetten. Dat is waar op gezocht wordt.

De analyse is leuk, maar niet relevant als er een decryptor is.

Belangrijke dingen eerst. Daarna mag je verder lezen als je er behoefte aan hebt. Standaard les voor journalisten en voor managment rapportages. ;)

Dat is nuttig advies, maar applaus voor de topic starter die eens echte content post .
Als hij (?) de analyse zelf gedaan heeft - dubbel applaus - iemand die echt wat kan en ook post - heel zeldzaam hier.
21-12-2019, 22:54 door Erik van Straten
Leuk om te lezen, mede door verwijzingen naar decryptor en een decompiler!
24-12-2019, 13:28 door The FOSS
Door Irash: ...

Goed leesbaar en informatief verhaal!

Door Irash: Analyseren van Syrk Ransomware
U kunt Syrk Ransomware zelf analyseren met behulp van de dotPeek decompiler van JetBrains. Syrk is namelijk geschreven in de taal C#. U kunt dotPeek via de volgende link zelf installeren: https://www.jetbrains.com/decompiler/.

Kleine kanttekening: decompilatie is niet C# specifiek; als Syrk zou zijn geschreven in Java dan zou het ook gedecompileerd kunnen worden:

https://javahungry.blogspot.com/2018/12/8-best-java-decompiler-in-2019.html
26-12-2019, 00:51 door Anoniem
Vele voorbeelden van een wijde verspreiding van deze malware:

https://maltiverse.com/search;query=gr9wgs94fg5sb3y8l.000webhostapp.com;page=1;sort=query_score

Inmiddels ook al heel wat op een blacklist geplaast:
https://maltiverse.com/hostname/generalzadov.000webhostapp.com
maar dat is dan meestal een "mosterd na de maaltijd" reactie. (voorbeeld is van 11 dagen geleden).

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.