Lugemisaeg: 4 protokollEnamik inimesi on praeguseks lunavarast teadlikud, kindlasti need, kes loevad regulaarselt Comodo ajaveebi rubriiki ja sarnaseid väljaandeid. Neile, kes seda ei tee, on lunavara rünnak, mille käigus ründaja krüpteerib kõik ohvri arvutis või serveris olevad failid, muutes need täiesti kasutuskõlbmatuks. Seejärel nõuab ründaja failide dekrüptimise eest tasu, tavaliselt Bitcoinides. Rünnaku ilu kurjategija vaatenurgast seisneb selles, et pärast krüpteerimist pole ohvri jaoks peaaegu kunagi lahendust. Ükski viirusetõrje, tehniliste ekspertide abi, politsei ega nutmine ei suuda neid faile teie eest taastada. Teil peab olema dekrüpteerimisvõti või suudlege oma failidega hüvasti.
Selle relva andestamatu toru otsa vahtides avastavad paljud kõrgetasemelised ohvrid, et neil ei jää muud üle, kui tasu maksta. Nad vajavad neid faile äritegevuse jätkamiseks või ühiskonnale teenuste pakkumiseks ning nad ei saa endale lubada ühtegi seisakut. Haiglad, valitsusasutused, heategevusorganisatsioonid, ülikoolid, magistraadikohtud ja ajalehtede kontorid on vaid mõned näited suurtest asutustest, mis on lunaraha järele andnud ja maksnud.
Lunavara levib tavaliselt riigis vorm Trooja hobuse programmi. Need on programmid, mis meelitavad teid arvama, et need on installimisel tavalised programmid, kuid tegelikult on tegemist pahatahtliku käivitatava failiga, mis krüpteerib teie draivid. Igal lunavaratükil on oma ainulaadne viis sihtmasina nakatamiseks ja igaüks kasutab tuvastamise vältimiseks mitut hägustamise taset. See blogi on ühe Comodo juhtiva inseneride sügav sukeldumine ühe sellise tüki sisemusse. ransomware – WONSYS.
Mis on WONSYS Ransomware?
Wonsys on pahavara tüvi, mis on kas krüptotarkvara poolt hägustatud või pakitud faili, näiteks UPX, ASPROTECT või VMPROTECT. Tegelik käivitatav fail wonsys.exe on maetud sügavale teise, ilmselt süütu programmi sisse, seega on see üks neist troojalastest, mida me varem mainisime. See on levinud meetod, mida kurjategijad avastamist vältida viirusetõrje tooted.
Pahavara kukub end sihtarvutisse ja töötab SHELL32 API, ShellExecuteW abil:
Kui kasutaja on lunavara käivitanud, loob see registris võtme "RunOnce":
Samuti loendab see kõik sihtmasinas olevad kettad, et saaks need kõik krüpteerida:
Seejärel loob Wonsys sulgemiseks vajalike protsesside loendi. Need on programmid, mis käivitamisel võivad takistada Wonsysi kogu süsteemi nakatamist. Täpsemalt on need programmid nagu Word, PowerPoint, Notepad, Thunderbird, mis võivad faile lukustada ja seega takistada nende krüptimist. Pärast nende programmide sulgemist kustutab Wonsys ka failide varikoopiad, et kasutaja ei saaks neid taastada:
Käsurea aken avatakse COMSPEC-i kaudu kaustas system32 administraatoriõigustega:
Ründaja kogub API funktsioonide abil ka kuupäeva, kellaaja vormingu, süsteemi nime ja lokaadi teavet ning pingib saidile iplogger.org, kogudes seega masina kohta üksikasjalikku teavet.
Wonsysil on nüüd kogu vajalik teave. Alloleval ekraanipildil on näha, et "dccdc" on laiend, mille see lisab kõikidele failinimedele pärast krüptimist, "PC-Administrator" on arvuti nimi ja draiv "C:" on draiv, mille see nakatab:
Lõpuks WONSYS ransomware vabastab oma kasuliku koormuse, krüpteerides kõik masinas olevad failid. Kõik failid on jäetud laiendiga .dccdc, välja arvatud üks krüptimata fail, mille kasutaja saab avada – 'CLICK_HERE-dccdc.txt':
See .txt-fail on see, kuidas ründaja ütleb ohvrile, mida edasi teha. Igale nakatunud masinale antakse oma ID ja isiklik võti. Märkus käsib kasutajal külastada veebilehte, kus ta vajab vestlusteenusesse sisselogimiseks järgmist teavet:
Märkus püüab jätta mulje, et vestlus on sõbralik teenus lahke operaatoriga, kes aitab neil faile taastada. Tegelikkuses on vestlus see, kus häkker nõuab nende tasumist Bitcoinis või muidu lähevad ohvri failid igaveseks kaotsi.
Postitus WONSYS – lunavararünnaku anatoomia ilmus esmalt Comodo uudised ja Interneti-turvalisuse teave.
- a
- Materjal: BPA ja flataatide vaba plastik
- summa
- analüüs
- anatoomia
- Teine
- viirusetõrje
- lahus
- API
- Ilu
- alla
- Bitcoin
- Blokeerima
- Blogi
- äri
- valik
- Sulgemine
- Kollektsioneerimine
- ühine
- täiesti
- arvuti
- jätkama
- võiks
- Kohtud
- looma
- loob
- Criminal
- nutt
- sügav
- nõudmisi
- üksikasjalik
- Detection
- Ekraan
- alla
- seisakuaeg
- ajam
- iga
- krüpteerimist
- Inseneride
- näited
- ekspertide
- esimene
- igavesti
- formaat
- Alates
- funktsioonid
- Valitsus
- häkker
- aitama
- Hobune
- haiglad
- Kuidas
- HTTPS
- info
- info
- paigaldama
- institutsioonid
- Internet
- Internet Security
- IT
- ise
- Võti
- juhtivate
- taset
- masin
- peamine
- Tegemine
- malware
- mainitud
- vajadustele
- uudised
- järgmine
- normaalne
- bürood
- avatud
- operaator
- enda
- pakitud
- makstud
- Maksma
- makse
- Inimesed
- isiklik
- tükk
- Punkt
- Vaatepunkt
- Politsei
- Protsessid
- Toodet
- Programm
- Programmid
- kaitse
- anda
- väljaanded
- Lunaraha
- ransomware
- Ransomware rünnak
- Reaalsus
- Taastuma
- jooks
- jooksmine
- turvalisus
- teenus
- Teenused
- mitu
- vari
- sarnane
- ühekordne
- site
- So
- Ühiskond
- tarkvara
- lahendus
- eriti
- laiali
- süsteem
- sihtmärk
- Tehniline
- ütleb
- .
- Mõtlemine
- Läbi
- aeg
- Trojan
- ainulaadne
- Ülikoolid
- tavaliselt
- ohvreid
- vaade
- web
- M
- WHO
- Sinu
