Timp de citit: 4 minuteMajoritatea oamenilor sunt conștienți de ransomware până acum, cu siguranță cei care citesc în mod regulat secțiunea de blog Comodo și publicații similare. Pentru cei care nu o fac, ransomware este un atac prin care atacatorul criptează toate fișierele de pe computerul sau serverul unei victime, făcându-le complet inutilizabile. Atacatorul cere apoi o taxă, o răscumpărare de obicei în Bitcoins, pentru a decripta fișierele. Frumusețea atacului din punctul de vedere al criminalului este că aproape niciodată nu există o soluție pentru victimă odată ce criptarea a avut loc. Niciun antivirus, niciun ajutor din partea experților tehnici, nicio forță de poliție și nicio cantitate de plâns nu poate recupera acele fișiere pentru tine. Trebuie să aveți cheia de decriptare sau să vă luați la revedere de la fișierele dvs.
Când privesc în jos țeava neiertătoare a acestei arme, multe victime de profil înalt constată că nu au de ales decât să plătească taxa. Au nevoie de acele fișiere pentru a-și continua activitatea sau pentru a-și oferi serviciile societății și nu își pot permite deloc timp de nefuncționare. Spitalele, departamentele guvernamentale, organizațiile de caritate, universitățile, instanțele de judecată și birourile de ziare sunt doar câteva exemple de instituții majore care au cedat și au plătit răscumpărarea.
Ransomware is usually spread in the formă of a Trojan horse program. These are programs that trick you into thinking they are a normal program when you install them but are actually a malicious executable which encrypts your drives. Each piece of ransomware has its own unique way of infecting the target machine, and each uses several levels of obfuscation to avoid detection. This blog is a deep-dive from one of Comodo’s leading engineers into the inner workings of one such piece of Ransomware – WONSYS.
What is WONSYS Ransomware?
Wonsys is a strain of malware that is either obfuscated by cryptor software, or packed into a file like UPX, ASPROTECT or VMPROTECT. The actual executable, wonsys.exe, is buried deep inside another, apparently innocent, program, so it is one of those trojans we mentioned earlier. This is a common method used by a criminal to help it avoid detection by antivirus de produse.
Malware-ul ajunge pe computerul țintă și rulează folosind API-ul SHELL32, ShellExecuteW:
Odată ce ransomware-ul este rulat de utilizator, acesta creează o cheie „RunOnce” în registru:
De asemenea, numără toate unitățile de pe mașina țintă, astfel încât să le poată cripta pe toate:
Wonsys creează apoi o „listă de ucidere” de procese pe care trebuie să le închidă. Acestea sunt programe care, dacă sunt lăsate să ruleze, ar putea împiedica Wonsys să infecteze întregul sistem. Mai exact, sunt programe precum Word, PowerPoint, Notepad, Thunderbird care pot „bloca” fișierele și astfel împiedică criptarea acestora. După ce le închide aceste programe, Wonsys șterge și copia umbră a fișierelor, astfel încât utilizatorul să nu le poată restaura:
Fereastra promptului de comandă este deschisă prin COMSPEC în folderul system32 cu privilegii de administrator:
Atacatorul colectează, de asemenea, data, formatul orei, numele sistemului și informațiile locale folosind funcțiile API și face ping pe site-ul iplogger.org, colectând astfel informații detaliate despre mașină.
Wonsys are acum toate informațiile de care are nevoie. Captura de ecran de mai jos arată că „dccdc” este extensia pe care o va adăuga la toate numele fișierelor după criptare, „PC-Administrator” este numele computerului și unitatea „C:” este unitatea pe care o va infecta:
Finally, the WONSYS Ransomware unleashes its payload, encrypting all files on the machine. All files are left with the ‘.dccdc’ extension apart a single, unencrypted file which the user can open – ‘CLICK_HERE-dccdc.txt’:
Acest fișier .txt este modul în care atacatorul îi spune victimei ce să facă în continuare. Fiecare mașină infectată primește propriul său ID și cheie personală. Nota îi spune utilizatorului să viziteze o pagină web unde va avea nevoie de aceste informații pentru a se conecta la un serviciu de chat:
Nota încearcă să creeze impresia că chat-ul este un serviciu prietenos cu un operator amabil care îi va ajuta să-și recupereze fișierele. În realitate, chat-ul este locul în care hackerul solicită plata lor în Bitcoin, altfel fișierele victimei se pierd pentru totdeauna.
Scanner de programe malware pentru site-uri web
Software de protecție împotriva ransomware
Mesaj WONSYS – Anatomia unui atac ransomware a apărut în primul rând pe Știri Comodo și informații de securitate pe Internet.
- a
- TOATE
- sumă
- analiză
- anatomie
- O alta
- antivirus
- separat
- api
- Frumuseţe
- de mai jos
- Bitcoin
- Bloca
- Blog
- afaceri
- alegere
- închidere
- Colectare
- Comun
- complet
- calculator
- continua
- ar putea
- Instanțe
- crea
- creează
- Penal
- plâns
- adânc
- cererile
- detaliat
- Detectare
- Afişa
- jos
- nefuncționare
- conduce
- fiecare
- criptare
- inginerii
- exemple
- experți
- First
- pentru totdeauna
- format
- din
- funcții
- Guvern
- hacker
- ajutor
- Cal
- spitale
- Cum
- HTTPS
- info
- informații
- instala
- instituții
- Internet
- Internet Security
- IT
- în sine
- Cheie
- conducere
- nivelurile de
- maşină
- major
- Efectuarea
- malware
- menționat
- nevoilor
- ştiri
- următor
- normală.
- Birouri
- deschide
- operator
- propriu
- împachetat
- plătit
- Plătește
- plată
- oameni
- personal
- bucată
- Punct
- Punct de vedere
- Police
- procese
- Produse
- Program
- Programe
- protecţie
- furniza
- Publicații
- Răscumpărare
- Ransomware
- Atac Ransomware
- Realitate
- Recupera
- Alerga
- funcţionare
- securitate
- serviciu
- Servicii
- câteva
- Umbră
- asemănător
- singur
- teren
- So
- Societate
- Software
- soluţie
- specific
- răspândire
- sistem
- Ţintă
- Tehnic
- spune
- Gândire
- Prin
- timp
- troian
- unic
- Universități
- obișnuit
- victime
- Vizualizare
- web
- Ce
- OMS
- Ta
