Leestijd: 4 minutenDe meeste mensen zijn inmiddels op de hoogte van ransomware, zeker degenen die regelmatig de Comodo-blogsectie en soortgelijke publicaties lezen. Voor degenen die dat niet doen, is ransomware een aanval waarbij de aanvaller alle bestanden op de computer of server van een slachtoffer versleutelt, waardoor ze volledig onbruikbaar worden. De aanvaller eist vervolgens een vergoeding, een losgeld dat gewoonlijk in Bitcoins wordt betaald, om de bestanden te ontsleutelen. Het mooie van de aanval vanuit het oogpunt van de crimineel is dat er bijna nooit een oplossing is voor het slachtoffer als de codering eenmaal heeft plaatsgevonden. Geen antivirus, geen hulp van technische experts, geen politie en geen enkele huilbui kan die bestanden ooit voor u herstellen. Je moet de decoderingssleutel hebben of je bestanden vaarwel zeggen.
Bij het staren naar de meedogenloze loop van dit pistool, merken veel spraakmakende slachtoffers dat ze geen andere keuze hebben dan de vergoeding te betalen. Ze hebben die bestanden nodig om hun bedrijf voort te zetten of om hun diensten aan de samenleving te leveren, en ze kunnen helemaal geen downtime veroorloven. Ziekenhuizen, overheidsdiensten, liefdadigheidsinstellingen, universiteiten, rechtbanken en krantenkantoren zijn slechts enkele voorbeelden van grote instellingen die zich hebben overgegeven en het losgeld hebben betaald.
Ransomware wordt meestal verspreid in de formulier van een Trojaans paard-programma. Dit zijn programma's die u laten denken dat ze een normaal programma zijn wanneer u ze installeert, maar in feite een kwaadaardig uitvoerbaar bestand zijn dat uw schijven versleutelt. Elk stukje ransomware heeft zijn eigen unieke manier om de doelmachine te infecteren en elk gebruikt verschillende niveaus van verduistering om detectie te voorkomen. Deze blog is een diepe duik van een van Comodo's toonaangevende ingenieurs in de innerlijke werking van zo'n stuk van ransomware – WONSYS.
Wat is WONSYS Ransomware?
Wonsys is een vorm van malware die ofwel wordt versluierd door cryptorsoftware, ofwel wordt ingepakt in een bestand zoals UPX, ASPROTECT of VMPROTECT. Het daadwerkelijke uitvoerbare bestand, wonsys.exe, is diep begraven in een ander, ogenschijnlijk onschuldig programma, dus het is een van die trojans die we eerder noemden. Dit is een veelgebruikte methode die door een crimineel wordt gebruikt om detectie te voorkomen door: antivirus producten.
De malware valt zichzelf op de doelcomputer en draait met de SHELL32 API, ShellExecuteW:
Zodra de ransomware door de gebruiker wordt uitgevoerd, wordt er een "RunOnce" -sleutel in het register gemaakt:
Het telt ook alle schijven op de doelcomputer, zodat het ze allemaal kan versleutelen:
Wonsys maakt vervolgens een 'kill-list' van processen die het moet afsluiten. Dit zijn programma's die, als ze actief blijven, mogelijk kunnen voorkomen dat Wonsys het hele systeem infecteert. Het zijn met name programma's zoals Word, PowerPoint, Kladblok, Thunderbird die bestanden kunnen 'vergrendelen' en zo hun codering voorkomen. Na het sluiten van deze programma's verwijdert Wonsys ook de schaduwkopie van de bestanden zodat de gebruiker ze niet kan herstellen:
Het opdrachtpromptvenster wordt geopend via COMSPEC in de map system32 met beheerdersrechten:
De aanvaller verzamelt ook de datum, tijdnotatie, systeemnaam en locale-informatie met behulp van API-functies en pingt de iplogger.org-site, en verzamelt zo gedetailleerde informatie over de machine.
Wonsys heeft nu alle informatie die het nodig heeft. De onderstaande schermafbeelding laat zien dat 'dccdc' de extensie is die na codering aan alle bestandsnamen wordt toegevoegd, 'PC-Administrator' is de computernaam en station 'C:' is het station dat het zal infecteren:
Eindelijk, de WONSYS ransomware ontketent zijn lading en versleutelt alle bestanden op de machine. Alle bestanden hebben de extensie '.dccdc', behalve een enkel, niet-versleuteld bestand dat de gebruiker kan openen - 'CLICK_HERE-dccdc.txt':
Dit .txt-bestand is hoe de aanvaller het slachtoffer vertelt wat hij vervolgens moet doen. Elke geïnfecteerde machine krijgt zijn eigen ID en persoonlijke sleutel. De notitie vertelt de gebruiker dat hij een webpagina moet bezoeken waar hij deze informatie nodig heeft om in te loggen bij een chatservice:
De notitie probeert de indruk te wekken dat de chat een vriendelijke service is met een vriendelijke operator die hen zal helpen hun bestanden te herstellen. In werkelijkheid is de chat de plek waar de hacker om betaling in Bitcoin vraagt, anders gaan de bestanden van het slachtoffer voor altijd verloren.
Software voor bescherming tegen ransomware
De post WONSYS – Anatomie van een ransomware-aanval verscheen eerst op Comodo Nieuws en informatie over internetbeveiliging.
- a
- Alles
- bedragen
- analyse
- anatomie
- Nog een
- antivirus
- uit elkaar
- api
- Beauty
- onder
- Bitcoin
- Blok
- Blog
- bedrijfsdeskundigen
- keuze
- sluitend
- Het verzamelen van
- Gemeen
- compleet
- computer
- voortzetten
- kon
- Rechtbanken
- en je merk te creëren
- creëert
- Crimineel
- huilen
- deep
- eisen
- gedetailleerd
- Opsporing
- Display
- beneden
- uitvaltijd
- rit
- elk
- encryptie
- Ingenieurs
- voorbeelden
- deskundigen
- Voornaam*
- altijd
- formaat
- oppompen van
- functies
- Overheid
- hacker
- hulp
- Paard
- ziekenhuizen
- Hoe
- HTTPS
- info
- informatie
- installeren
- instellingen
- Internet
- internet Security
- IT
- zelf
- sleutel
- leidend
- niveaus
- machine
- groot
- maken
- malware
- vermeld
- behoeften
- nieuws
- volgende
- een
- kantoren
- open
- operator
- het te bezitten.
- verpakt
- betaald
- Betaal
- betaling
- Mensen
- persoonlijk
- stuk
- punt
- Oogpunt
- Politie
- processen
- Producten
- Programma
- Programma's
- bescherming
- zorgen voor
- publicaties
- Losgeld
- ransomware
- Ransomware-aanval
- Realiteit
- Herstellen
- lopen
- lopend
- veiligheid
- service
- Diensten
- verscheidene
- Shadow
- gelijk
- single
- website
- So
- Maatschappij
- Software
- oplossing
- specifiek
- verspreiden
- system
- doelwit
- Technisch
- vertelt
- De
- het denken
- Door
- niet de tijd of
- Trojaans
- unieke
- Universiteiten
- doorgaans
- slachtoffers
- Bekijk
- web
- Wat
- WIE
- Your
