Yatron Ransomware enthält bösartige EternalBlue und DoublePulsar, um den PC gezielt auszunutzen

Yatron ransomware

Die Ransomware von Yatron durchsucht den Zielcomputer nach bestimmten Dateien und verschlüsselt diese mithilfe der RaaS-Verschlüsselung. Unmittelbar danach fügt er die Dateinamen mit der Erweiterung .Yatron an und macht die Dateien unzugänglich.

Sobald der verschlüsselte Prozess abgeschlossen ist, generiert die Ransomware eine TXT-Datei, die eine kurze Nachricht enthält. Die Nachricht besagt, dass die Opfer innerhalb von 72 Stunden eine Lösegeldgebühr an die Entwickler zahlen müssen, andernfalls werden die verschlüsselten Dateien gelöscht.

Die Ransomware sendet die Verschlüsselungskennwörter und den eindeutigen Code an den Befehls- und Steuerungsserver. Auf der Lösegeldforderung behaupten die Entwickler angeblich, die Entschlüsselung bereitzustellen, wenn die Lösegeldgebühr erhoben wird.

Laut dem Cyber-Sicherheitsforscher Michael Gillespie basiert Yatron auf HiddenTear. Der Verschlüsselungsalgorithmus wurde jedoch so modifiziert, dass er nicht mit bekannten Methoden entschlüsselt werden kann.

Schädliche Codes auf Yatron, um EternalBlue- und DoublePulsar-Exploits zu verursachen

Zu Ihrer Information: EternalBlue ist ein SMBv1-Code zur Ausführung von Remotecodes, mit dem Cyberkriminelle hinter der Bedrohung Windows-Hosts gefährden können. Auf der anderen Seite ist der DoublePulsar eine Hintertür, mit der eine bestimmte Nutzlast auf einen infizierten Host hochgeladen wird.

Die Analyse besagt, dass der Yatron Ransomware-as-a-Service die Codes enthält, mit denen diese beiden Exploits über SMBv1-Sicherheitslücken im selben Netzwerk vorgeschlagen werden sollen.

Diese Codes machen die Ransomware gefährlicher. Abgesehen von der Verschlüsselung der Dateien und deren unzugänglichem Zugriff kann dies zu Systemrisiken führen. Einige der größten Risiken, die sich daraus ergeben, wenn diese beiden Codes im Netzwerk verbreitet und auf dem System mit der Ransomware installiert werden, sind:

  • Die Ransomware kann die Probleme auf dem System verursachen, indem sie verschiedene Probleme verursacht. Der Code Eternalblue-2.2.0 exe ​​wird immer auf dem Task-Manager und an mehreren Orten verarbeitet. Es ändert die Windows-Registrierungsschlüssel, die Eingabeaufforderung, die DNS-Konfigurationen usw. Kurz gesagt ändert dies die PC-Leistung und führt dazu, dass es langsamer reagiert als je zuvor.
  • Die Ransomware wird mit dem Code Doublepulsar-1.3.1.exe infiziert, was bedeutet, dass Cyberkriminelle andere schädliche Malware in den infizierten Host hochladen können. Diese Malware wird insgesamt eindringen und zahlreiche Aktivitäten ausführen, die den PC schwer beschädigen.

Derzeit sind die beiden Codes noch nicht abgeschlossen und daher verwendet Yatron derzeit nicht die ausführbaren Dateien Eternalblue-2.2.0.exe und Doublepulsar-1.3.1.exe. Trotzdem wird der Entschlüsseler nicht von Cyber-Security-Experten erstellt, weshalb er seit Tagen weit verbreitet ist und Spannungen an mehrere Cyber-Security-Experten verteilt.