Lesezeit: 4 MinutenDie meisten Menschen kennen Ransomware inzwischen, sicherlich diejenigen, die regelmäßig den Comodo-Blog-Bereich und ähnliche Veröffentlichungen lesen. Für diejenigen, die dies nicht tun, ist Ransomware ein Angriff, bei dem der Angreifer alle Dateien auf dem Computer oder Server eines Opfers verschlüsselt, wodurch sie vollständig unbrauchbar werden. Der Angreifer verlangt dann eine Gebühr, ein Lösegeld, normalerweise in Bitcoins, um die Dateien zu entschlüsseln. Das Schöne an dem Angriff aus Sicht des Verbrechers ist, dass es nach der Verschlüsselung fast nie eine Lösung für das Opfer gibt. Kein Antivirenprogramm, keine Hilfe von technischen Experten, keine Polizei und kein Weinen können diese Dateien jemals für Sie wiederherstellen. Sie müssen den Entschlüsselungsschlüssel haben oder sich von Ihren Dateien verabschieden.
Wenn viele hochkarätige Opfer auf den unversöhnlichen Lauf dieser Waffe starren, haben sie keine andere Wahl, als die Gebühr zu zahlen. Sie benötigen diese Dateien, um im Geschäft zu bleiben oder ihre Dienste für die Gesellschaft bereitzustellen, und sie können sich überhaupt keine Ausfallzeiten leisten. Krankenhäuser, Regierungsabteilungen, Wohltätigkeitsorganisationen, Universitäten, Amtsgerichte und Zeitungsbüros sind nur einige Beispiele für wichtige Institutionen, die das Lösegeld nachgegeben und gezahlt haben.
Ransomware wird normalerweise im unten stehende Formular eines Trojanischen-Pferd-Programms. Dies sind Programme, die Sie bei der Installation glauben machen, es handele sich um ein normales Programm, tatsächlich handelt es sich jedoch um eine bösartige ausführbare Datei, die Ihre Laufwerke verschlüsselt. Jede Ransomware hat ihre eigene Art, den Zielcomputer zu infizieren, und jede verwendet mehrere Verschleierungsebenen, um eine Erkennung zu vermeiden. Dieser Blog ist ein tiefer Einblick von einem der führenden Ingenieure von Comodo in das Innenleben eines solchen Stücks Ransomware – WONSYS.
Was ist WONSYS Ransomware?
Wonsys ist ein Malware-Stamm, der entweder durch Kryptor-Software verschleiert oder in eine Datei wie UPX, ASPROTECT oder VMPROTECT gepackt wird. Die eigentliche ausführbare Datei wonsys.exe ist tief in einem anderen, scheinbar unschuldigen Programm vergraben, also ist es einer der zuvor erwähnten Trojaner. Dies ist eine gängige Methode, die von einem Kriminellen verwendet wird, um einer Entdeckung zu entgehen Antivirus Produkte.
Die Malware legt sich selbst auf dem Zielcomputer ab und wird mit der SHELL32-API ShellExecuteW ausgeführt:
Sobald die Ransomware vom Benutzer ausgeführt wurde, wird ein "RunOnce" -Schlüssel in der Registrierung erstellt:
Außerdem werden alle Laufwerke auf dem Zielcomputer gezählt, sodass alle verschlüsselt werden können:
Wonsys erstellt dann eine "Kill-Liste" von Prozessen, die heruntergefahren werden müssen. Dies sind Programme, die, wenn sie ausgeführt werden, möglicherweise verhindern, dass Wonsys das gesamte System infiziert. Insbesondere handelt es sich um Programme wie Word, PowerPoint, Notepad und Thunderbird, die Dateien sperren und so ihre Verschlüsselung verhindern können. Nach dem Schließen dieser Programme löscht Wonsys auch die Schattenkopie der Dateien, sodass der Benutzer sie nicht wiederherstellen kann:
Das Eingabeaufforderungsfenster wird über COMSPEC im Ordner system32 mit Administratorrechten geöffnet:
Der Angreifer sammelt auch das Datum, das Uhrzeitformat, den Systemnamen und das Gebietsschema mithilfe von API-Funktionen und pingt die Website iplogger.org an, um detaillierte Informationen auf dem Computer zu sammeln.
Wonsys verfügt nun über alle erforderlichen Informationen. Der folgende Screenshot zeigt, dass 'dccdc' die Erweiterung ist, die nach der Verschlüsselung allen Dateinamen hinzugefügt wird, 'PC-Administrator' der Computername und Laufwerk 'C:' das Laufwerk, das infiziert wird:
Schließlich das WONSYS Ransomware entfesselt seine Payload und verschlüsselt alle Dateien auf der Maschine. Alle Dateien haben die Endung „.dccdc“, abgesehen von einer einzigen, unverschlüsselten Datei, die der Benutzer öffnen kann – „CLICK_HERE-dccdc.txt“:
In dieser TXT-Datei teilt der Angreifer dem Opfer mit, was als Nächstes zu tun ist. Jeder infizierte Computer erhält eine eigene ID und einen persönlichen Schlüssel. Der Hinweis weist den Benutzer an, eine Webseite zu besuchen, auf der er diese Informationen benötigt, um sich bei einem Chat-Dienst anzumelden:
Die Notiz versucht den Eindruck zu erwecken, dass der Chat ein freundlicher Dienst mit einem freundlichen Betreiber ist, der ihnen hilft, ihre Dateien wiederherzustellen. In Wirklichkeit verlangt der Hacker im Chat die Zahlung in Bitcoin, oder die Dateien des Opfers gehen für immer verloren.
Die Post WONSYS – Anatomie eines Ransomware-Angriffs erschien zuerst auf Comodo News und Internet-Sicherheitsinformationen.
- a
- Alle
- Betrag
- Analyse
- Anatomie
- Ein anderer
- Antivirus
- auseinander
- Bienen
- Die Schönheit
- unten
- Bitcoin
- Blockieren
- Blog
- Geschäft
- Wahl
- Schließen
- Das Sammeln
- gemeinsam
- uneingeschränkt
- Computer
- fortsetzen
- könnte
- Platz
- erstellen
- schafft
- Kriminell
- Schreien
- tief
- Anforderungen
- detailliert
- Entdeckung
- Display
- nach unten
- Ausfallzeit
- Antrieb
- jeder
- Verschlüsselung
- Ingenieure
- Beispiele
- Experten
- Vorname
- für immer
- Format
- für
- Funktionen
- der Regierung
- Hacker
- Hilfe
- Pferd
- Krankenhäuser
- Ultraschall
- HTTPS
- Info
- Information
- installieren
- Institutionen
- Internet
- Internet Security
- IT
- selbst
- Wesentliche
- führenden
- Cholesterinspiegel
- Maschine
- Dur
- Making
- Malware
- erwähnt
- Bedürfnisse
- News
- weiter
- normal
- Büros
- XNUMXh geöffnet
- Operator
- besitzen
- verpackt
- bezahlt
- AUFMERKSAMKEIT
- Zahlung
- Personen
- persönliche
- Stück
- Points
- Perspektive
- Polizei
- anpassen
- Produkte
- Programm
- Programme
- Sicherheit
- die
- Publikationen
- Ransom
- Ransomware
- Ransomware-Angriff
- Realität
- Entspannung
- Führen Sie
- Laufen
- Sicherheitdienst
- Leistungen
- mehrere
- Shadow
- ähnlich
- Single
- am Standort
- So
- Gesellschaft
- Software
- Lösung
- speziell
- Verbreitung
- System
- Target
- Technische
- erzählt
- Das
- Denken
- Durch
- Zeit
- Trojan
- einzigartiges
- Universitäten
- gewöhnlich
- Opfer
- Anzeigen
- Netz
- Was
- WHO
- Ihr
