7ev3n Ransomware

ransomware Security

7ev3n - программа-вымогатель, которая нацелена на ОС Windows и распространяется через спам-письма с вредоносными вложениями, а также через файлообменные сети.

7ev3n Ransomware

При заражении компьютера программа-вымогатель сканирует все буквы дисков, которые соответствуют определенным расширениям файлов, и при обнаружении совпадений переименовывает их в пронумерованные последовательности .files с расширением .R5A.

Файлы, на которые в настоящее время нацелена эта программа-вымогатель 7ev3n, следующие:

dbf, arw, txt, doc, docm, docx, zip, rar, xlsx, xlsb, xlsm, pdf, jpg, jpe, jpeg, sql, mdf, accdb, mdb, odb, odm, odp, ods.

Когда программа завершит шифрование ваших данных, она выведет на экран записку с требованием выкупа в размере 13 биткоинов и укажет биткоин-адрес, на который вы должны отправить выкуп. Ниже показана записка с требованием выкупа.

 

7ev3n Ransomware

После установки ransomware она также устанавливает множество файлов в папку %LocalAppData%. Этими файлами являются:

  • %LocalAppData%\bcd.bat - пакетный файл, состоящий из множества команд BCDEDIT, которые отключают различные опции восстановления при загрузке.
  • %LocalAppData%\del.bat - Этот пакетный файл удаляет программу установки выкупа.
  • %LocalAppData%\system.exe - Это основной исполняемый файл программы-выкупа, который шифрует ваши данные и отображает записку о выкупе.
  • %LocalAppData%\time.e - Этот файл содержит метку времени начала заражения.
  • %LocalAppData%\uac.exe - Этот исполняемый файл позволяет различным компонентам ransomware запускаться с повышенными правами без отображения приглашения UAC.

Файлы bcd.bat содержат команды BCDEDIT, которые отключают различные варианты восстановления в Windows. Среди отключенных опций восстановления - система аварийного управления Windows, меню запуска Advanced Options, редактор Boot Options, меню восстановления ошибок Windows, когда Windows не может запуститься, и Startup Repair. Содержимое этого пакета перечислено ниже:

Теперь, когда 7ev3n фактически лишил вас возможности восстановления, он также добавляет запись в реестр, которая отключает клавиши, обычно используемые для устранения неполадок Windows, такие как Alt+Tab, диспетчер задач и диалог "Выполнить". Для этого добавляется специальное значение реестра, которое отключает клавиши F1, F10, F3, F4, Enter, Escape, Left Alt, Left Ctrl, Left Windows, Num Lock, Right Alt, Right Ctrl, Right Shift, Right Windows и Tab. Это значение реестра показано ниже.

Наконец, чтобы усложнить вашу жизнь, он создает задачу Windows, которая выполняет вышеуказанные команды каждый раз, когда вы входите в систему.

Indicators of Compromise

IPv4

  • 104.16.54.3
  • 104.16.55.3
  • 212.56.214.153

Domains

static.212.56.214.153.mldnet.com

 

Avatar for AdellMarzella
AdellMarzella
SEC-1275-1
Добавить комментарий