Χρόνος διαβασματός: 4 πρακτικάΟι περισσότεροι άνθρωποι έχουν επίγνωση του ransomware μέχρι τώρα, σίγουρα όσοι διαβάζουν τακτικά την ενότητα ιστολογίου Comodo και παρόμοιες δημοσιεύσεις. Για όσους δεν το κάνουν, το ransomware είναι μια επίθεση κατά την οποία ο εισβολέας κρυπτογραφεί όλα τα αρχεία στον υπολογιστή ή τον διακομιστή του θύματος, καθιστώντας τα εντελώς άχρηστα. Στη συνέχεια, ο εισβολέας απαιτεί ένα τέλος, λύτρα συνήθως σε Bitcoin, για να αποκρυπτογραφήσει τα αρχεία. Η ομορφιά της επίθεσης από τη σκοπιά του εγκληματία είναι ότι δεν υπάρχει σχεδόν ποτέ λύση για το θύμα από τη στιγμή που έχει πραγματοποιηθεί η κρυπτογράφηση. Κανένα πρόγραμμα προστασίας από ιούς, καμία βοήθεια από τεχνικούς ειδικούς, καμία αστυνομική δύναμη και κανένα κλάμα δεν μπορεί ποτέ να ανακτήσει αυτά τα αρχεία για εσάς. Πρέπει να έχετε το κλειδί αποκρυπτογράφησης ή να αποχαιρετήσετε τα αρχεία σας.
Όταν κοιτάζουν κάτω την αδυσώπητη κάννη αυτού του όπλου, πολλά θύματα υψηλού προφίλ διαπιστώνουν ότι δεν έχουν άλλη επιλογή από το να πληρώσουν το τέλος. Χρειάζονται αυτά τα αρχεία για να συνεχίσουν τις δραστηριότητές τους ή να παρέχουν τις υπηρεσίες τους στην κοινωνία και δεν μπορούν να αντέξουν οικονομικά καθόλου χρόνο διακοπής λειτουργίας. Νοσοκομεία, κυβερνητικά τμήματα, φιλανθρωπικά ιδρύματα, πανεπιστήμια, ειρηνοδικεία και γραφεία εφημερίδων είναι μόνο μερικά παραδείγματα μεγάλων ιδρυμάτων που έχουν υποχωρήσει και πλήρωσαν τα λύτρα.
Το Ransomware διαδίδεται συνήθως στο μορφή ενός προγράμματος δούρειου ίππου. Αυτά είναι προγράμματα που σας ξεγελούν ώστε να πιστεύετε ότι είναι ένα κανονικό πρόγραμμα όταν τα εγκαθιστάτε, αλλά στην πραγματικότητα είναι ένα κακόβουλο εκτελέσιμο αρχείο που κρυπτογραφεί τις μονάδες δίσκου σας. Κάθε κομμάτι ransomware έχει τον δικό του μοναδικό τρόπο μόλυνσης του μηχανήματος στόχου και το καθένα χρησιμοποιεί πολλά επίπεδα συσκότισης για να αποφύγει τον εντοπισμό. Αυτό το ιστολόγιο είναι μια βαθιά βουτιά από έναν από τους κορυφαίους μηχανικούς της Comodo στις εσωτερικές λειτουργίες ενός τέτοιου κομματιού ransomware – WONSYS.
Τι είναι το WONSYS Ransomware;
Το Wonsys είναι ένα στέλεχος κακόβουλου λογισμικού που είτε συγκαλύπτεται από λογισμικό κρυπτογράφησης είτε συσκευάζεται σε ένα αρχείο όπως το UPX, το ASPROTECT ή το VMPROTECT. Το πραγματικό εκτελέσιμο αρχείο, wonsys.exe, είναι θαμμένο βαθιά μέσα σε ένα άλλο, φαινομενικά αθώο, πρόγραμμα, επομένως είναι ένα από αυτά τα trojans που αναφέραμε προηγουμένως. Αυτή είναι μια συνηθισμένη μέθοδος που χρησιμοποιείται από έναν εγκληματία για να τον βοηθήσει να αποφύγει την ανίχνευση προστασίας από ιούς προϊόντα.
Το κακόβουλο λογισμικό πέφτει στον υπολογιστή-στόχο και εκτελείται χρησιμοποιώντας το SHELL32 API, ShellExecuteW:
Μόλις εκτελεστεί το ransomware από τον χρήστη, δημιουργεί ένα κλειδί "RunOnce" στο μητρώο:
Μετρά επίσης όλες τις μονάδες δίσκου στο μηχάνημα προορισμού, ώστε να μπορεί να τις κρυπτογραφήσει όλες:
Στη συνέχεια, το Wonsys δημιουργεί μια «λίστα εξόντωσης» διαδικασιών που πρέπει να τερματίσει. Αυτά είναι προγράμματα που, εάν αφεθούν σε λειτουργία, θα μπορούσαν ενδεχομένως να αποτρέψουν το Wonsys από το να μολύνει ολόκληρο το σύστημα. Συγκεκριμένα, είναι προγράμματα όπως το Word, το PowerPoint, το Notepad, το Thunderbird που μπορούν να «κλειδώσουν» αρχεία και έτσι να αποτρέψουν την κρυπτογράφηση τους. Αφού κλείσει αυτά τα προγράμματα, το Wonsys διαγράφει επίσης το σκιερό αντίγραφο των αρχείων, ώστε ο χρήστης να μην μπορεί να τα επαναφέρει:
Το παράθυρο της γραμμής εντολών ανοίγει μέσω του COMSPEC στο φάκελο system32 με δικαιώματα διαχειριστή:
Ο εισβολέας συλλέγει επίσης την ημερομηνία, τη μορφή ώρας, το όνομα συστήματος και τις πληροφορίες τοπικής ρύθμισης χρησιμοποιώντας λειτουργίες API και κάνει ping στον ιστότοπο iplogger.org, συλλέγοντας έτσι λεπτομερείς πληροφορίες για το μηχάνημα.
Η Wonsys έχει τώρα όλες τις πληροφορίες που χρειάζεται. Το παρακάτω στιγμιότυπο οθόνης δείχνει ότι το 'dccdc' είναι η επέκταση που θα προσθέσει σε όλα τα ονόματα αρχείων μετά την κρυπτογράφηση, το 'PC-Administrator' είναι το όνομα του υπολογιστή και η μονάδα 'C:' είναι η μονάδα δίσκου που θα μολύνει:
Τέλος, το WONSYS ransomware απελευθερώνει το ωφέλιμο φορτίο του, κρυπτογραφώντας όλα τα αρχεία στο μηχάνημα. Όλα τα αρχεία αφήνονται με την επέκταση '.dccdc' εκτός από ένα μόνο, μη κρυπτογραφημένο αρχείο που μπορεί να ανοίξει ο χρήστης – 'CLICK_HERE-dccdc.txt':
Αυτό το αρχείο .txt είναι ο τρόπος με τον οποίο ο εισβολέας λέει στο θύμα τι να κάνει στη συνέχεια. Σε κάθε μολυσμένο μηχάνημα δίνεται το δικό του αναγνωριστικό και το προσωπικό του κλειδί. Η σημείωση λέει στον χρήστη να επισκεφτεί μια ιστοσελίδα όπου θα χρειαστεί αυτές τις πληροφορίες για να συνδεθεί σε μια υπηρεσία συνομιλίας:
Η σημείωση προσπαθεί να δημιουργήσει την εντύπωση ότι η συνομιλία είναι μια φιλική υπηρεσία με έναν ευγενικό χειριστή που θα τους βοηθήσει να ανακτήσουν τα αρχεία τους. Στην πραγματικότητα, η συνομιλία είναι όπου ο χάκερ απαιτεί την πληρωμή τους σε Bitcoin, διαφορετικά τα αρχεία του θύματος χάνονται για πάντα.
Λογισμικό προστασίας Ransomware
Ο ορθοστάτης WONSYS – Ανατομία επίθεσης Ransomware εμφανίστηκε για πρώτη φορά σε Comodo Ειδήσεις και Πληροφορίες Ασφάλειας Διαδικτύου.
- a
- Όλα
- ποσό
- ανάλυση
- ανατομία
- Άλλος
- προστασίας από ιούς
- χώρια
- api
- Ομορφιά
- παρακάτω
- Bitcoin
- Αποκλεισμός
- Blog
- επιχείρηση
- επιλογή
- κλείσιμο
- Συλλέγοντας
- Κοινός
- εντελώς
- υπολογιστή
- ΣΥΝΕΧΕΙΑ
- θα μπορούσε να
- Δικαστήρια
- δημιουργία
- δημιουργεί
- εγκληματίας
- Κλαίων
- βαθύς
- απαιτήσεις
- λεπτομερής
- Ανίχνευση
- Display
- κάτω
- downtime
- αυτοκίνητο
- κάθε
- κρυπτογράφηση
- Μηχανικοί
- παραδείγματα
- εμπειρογνώμονες
- Όνομα
- για πάντα
- μορφή
- από
- λειτουργίες
- Κυβέρνηση
- χάκερ
- βοήθεια
- Άλογο
- νοσοκομεία
- Πως
- HTTPS
- πληροφορίες
- πληροφορίες
- εγκαθιστώ
- ιδρυμάτων
- Internet
- Ασφάλεια στο Διαδίκτυο
- IT
- εαυτό
- Κλειδί
- που οδηγεί
- επίπεδα
- μηχανή
- μεγάλες
- Κατασκευή
- malware
- που αναφέρθηκαν
- ανάγκες
- νέα
- επόμενη
- κανονικός
- γραφεία
- ανοίξτε
- χειριστής
- δική
- συσκευασμένα
- καταβλήθηκε
- Πληρωμή
- πληρωμή
- People
- προσωπικός
- κομμάτι
- Σημείο
- Απόψεις
- Police
- Διεργασίες
- Προϊόντα
- Πρόγραμμα
- Προγράμματα
- προστασία
- παρέχουν
- δημοσιεύσεις
- Λύτρα
- ransomware
- Επίθεση Ransomware
- Πραγματικότητα
- Ανάκτηση
- τρέξιμο
- τρέξιμο
- ασφάλεια
- υπηρεσία
- Υπηρεσίες
- διάφοροι
- σκιά
- παρόμοιες
- ενιαίας
- ιστοσελίδα
- So
- Κοινωνία
- λογισμικό
- λύση
- ειδικά
- διάδοση
- σύστημα
- στόχος
- Τεχνικός
- λέει
- Η
- Σκέψη
- Μέσω
- ώρα
- Trojan
- μοναδικός
- Πανεπιστήμια
- συνήθως
- θύματα
- Δες
- ιστός
- Τι
- Ο ΟΠΟΊΟΣ
- Σας
