Timp de citit: 4 minuteMajoritatea oamenilor sunt conștienți de ransomware până acum, cu siguranță cei care citesc în mod regulat secțiunea de blog Comodo și publicații similare. Pentru cei care nu o fac, ransomware este un atac prin care atacatorul criptează toate fișierele de pe computerul sau serverul unei victime, făcându-le complet inutilizabile. Atacatorul cere apoi o taxă, o răscumpărare de obicei în Bitcoins, pentru a decripta fișierele. Frumusețea atacului din punctul de vedere al criminalului este că aproape niciodată nu există o soluție pentru victimă odată ce criptarea a avut loc. Niciun antivirus, niciun ajutor din partea experților tehnici, nicio forță de poliție și nicio cantitate de plâns nu poate recupera acele fișiere pentru tine. Trebuie să aveți cheia de decriptare sau să vă luați la revedere de la fișierele dvs.
Când privesc în jos țeava neiertătoare a acestei arme, multe victime de profil înalt constată că nu au de ales decât să plătească taxa. Au nevoie de acele fișiere pentru a-și continua activitatea sau pentru a-și oferi serviciile societății și nu își pot permite deloc timp de nefuncționare. Spitalele, departamentele guvernamentale, organizațiile de caritate, universitățile, instanțele de judecată și birourile de ziare sunt doar câteva exemple de instituții majore care au cedat și au plătit răscumpărarea.
Ransomware-ul este de obicei răspândit în formă a unui program troian. Acestea sunt programe care te păcălesc să crezi că sunt un program normal atunci când le instalezi, dar sunt de fapt un executabil rău intenționat care criptează unitățile tale. Fiecare bucată de ransomware are propriul mod unic de a infecta mașina țintă și fiecare folosește mai multe niveluri de ofuscare pentru a evita detectarea. Acest blog este o scufundare profundă de la unul dintre cei mai importanți ingineri ai Comodo în funcționarea interioară a unei astfel de piese Ransomware – WONSYS.
Ce este WONSYS Ransomware?
Wonsys este o tulpină de malware care este fie ascunsă de software-ul criptor, fie împachetat într-un fișier precum UPX, ASPROTECT sau VMPROTECT. Executabilul real, wonsys.exe, este îngropat adânc în alt program, aparent inocent, deci este unul dintre acei troieni pe care i-am menționat mai devreme. Aceasta este o metodă obișnuită folosită de un criminal pentru a-l ajuta să evite detectarea de către antivirus de produse.
Malware-ul ajunge pe computerul țintă și rulează folosind API-ul SHELL32, ShellExecuteW:
Odată ce ransomware-ul este rulat de utilizator, acesta creează o cheie „RunOnce” în registru:
De asemenea, numără toate unitățile de pe mașina țintă, astfel încât să le poată cripta pe toate:
Wonsys creează apoi o „listă de ucidere” de procese pe care trebuie să le închidă. Acestea sunt programe care, dacă sunt lăsate să ruleze, ar putea împiedica Wonsys să infecteze întregul sistem. Mai exact, sunt programe precum Word, PowerPoint, Notepad, Thunderbird care pot „bloca” fișierele și astfel împiedică criptarea acestora. După ce le închide aceste programe, Wonsys șterge și copia umbră a fișierelor, astfel încât utilizatorul să nu le poată restaura:
Fereastra promptului de comandă este deschisă prin COMSPEC în folderul system32 cu privilegii de administrator:
Atacatorul colectează, de asemenea, data, formatul orei, numele sistemului și informațiile locale folosind funcțiile API și face ping pe site-ul iplogger.org, colectând astfel informații detaliate despre mașină.
Wonsys are acum toate informațiile de care are nevoie. Captura de ecran de mai jos arată că „dccdc” este extensia pe care o va adăuga la toate numele fișierelor după criptare, „PC-Administrator” este numele computerului și unitatea „C:” este unitatea pe care o va infecta:
În cele din urmă, WONSYS Ransomware își eliberează sarcina utilă, criptând toate fișierele de pe mașină. Toate fișierele rămân cu extensia „.dccdc” în afară de un singur fișier necriptat pe care utilizatorul îl poate deschide – „CLICK_HERE-dccdc.txt”:
Acest fișier .txt este modul în care atacatorul îi spune victimei ce să facă în continuare. Fiecare mașină infectată primește propriul său ID și cheie personală. Nota îi spune utilizatorului să viziteze o pagină web unde va avea nevoie de aceste informații pentru a se conecta la un serviciu de chat:
Nota încearcă să creeze impresia că chat-ul este un serviciu prietenos cu un operator amabil care îi va ajuta să-și recupereze fișierele. În realitate, chat-ul este locul în care hackerul solicită plata lor în Bitcoin, altfel fișierele victimei se pierd pentru totdeauna.
Scanner de programe malware pentru site-uri web
Software de protecție împotriva ransomware
Mesaj WONSYS – Anatomia unui atac ransomware a apărut în primul rând pe Știri Comodo și informații de securitate pe Internet.
- a
- TOATE
- sumă
- analiză
- anatomie
- O alta
- antivirus
- separat
- api
- Frumuseţe
- de mai jos
- Bitcoin
- Bloca
- Blog
- afaceri
- alegere
- închidere
- Colectare
- Comun
- complet
- calculator
- continua
- ar putea
- Instanțe
- crea
- creează
- Penal
- plâns
- adânc
- cererile
- detaliat
- Detectare
- Afişa
- jos
- nefuncționare
- conduce
- fiecare
- criptare
- inginerii
- exemple
- experți
- First
- pentru totdeauna
- format
- din
- funcții
- Guvern
- hacker
- ajutor
- Cal
- spitale
- Cum
- HTTPS
- info
- informații
- instala
- instituții
- Internet
- Internet Security
- IT
- în sine
- Cheie
- conducere
- nivelurile de
- maşină
- major
- Efectuarea
- malware
- menționat
- nevoilor
- ştiri
- următor
- normală.
- Birouri
- deschide
- operator
- propriu
- împachetat
- plătit
- Plătește
- plată
- oameni
- personal
- bucată
- Punct
- Punct de vedere
- Police
- procese
- Produse
- Program
- Programe
- protecţie
- furniza
- Publicații
- Răscumpărare
- Ransomware
- Atac Ransomware
- Realitate
- Recupera
- Alerga
- funcţionare
- securitate
- serviciu
- Servicii
- câteva
- Umbră
- asemănător
- singur
- teren
- So
- Societate
- Software
- soluţie
- specific
- răspândire
- sistem
- Ţintă
- Tehnic
- spune
- Gândire
- Prin
- timp
- troian
- unic
- Universități
- obișnuit
- victime
- Vizualizare
- web
- Ce
- OMS
- Ta
