IDG och Bleepingcomputer har nyligen skrivit om ett ransomware vid namn Zenis. På Bleepingcomputer har en utmärkt detaljerad analys gjorts, här är en kortfattad sammanfattning:

  • Filer krypteras och backuper raderas
    • Krypterade filer börjar med filnamnet Zenis-[2 slumptecken].[12 slumptecken]
  • En hjälpfil skapas i krypterade kataloger
    • Zenis-Instructions.html
  • Backup och recovery funktioner raderas genom att VSSadmin, wmi samt bcdedit exekveras med olika parametrar
    • samt så letas backup filer upp och raderas baserat på filändelser
  • Spridning anges ske via Remote Desktop, men det är oklart om så är fallet enligt artiklen
  • NSEC har inte sett någon spridning i Sverige så här långt

 

Detektion:

De flesta AV leverantörer detekterar detta i dagsläget, här är några specfika detektionsnamn för några av de produkter vi arbetar med. Den kanske viktigaste observationen är att ATP modulen i McAfee ENS fångar denna proaktivt som ATP/suspect (signature-less, Machine Learning/AI). Kunder som har ENS med ATP har proaktivt skydd mot denna.

McAfee:
Generic.dql (DAT)
Artemis!6957DB401CE1 (GTI)
Artemis!8CD8D46CD6C7 (GTI)
Artemis!Trojan (McAfee-GW)

Fortinet:
MSIL/Filecoder_Zenis.A!tr

NSEC har även verifierat att larmsättning i SOC-tjänster upptäcker kryptering för de som har Endpoint som tjänst.

mvh

NSEC