WONSYS – กายวิภาคของการโจมตีแรนซัมแวร์

เวลาอ่านหนังสือ: 4 นาทีคนส่วนใหญ่ทราบถึงแรนซัมแวร์แล้ว แน่นอนว่าผู้ที่อ่านส่วนบล็อก Comodo และสิ่งพิมพ์ที่คล้ายคลึงกันเป็นประจำ สำหรับผู้ที่ไม่ทำ แรนซัมแวร์เป็นการโจมตีโดยผู้โจมตีจะเข้ารหัสไฟล์ทั้งหมดบนคอมพิวเตอร์หรือเซิร์ฟเวอร์ของเหยื่อ ทำให้ไม่สามารถใช้งานได้อย่างสมบูรณ์ จากนั้นผู้โจมตีจะเรียกเก็บค่าธรรมเนียม ซึ่งมักจะเป็นค่าไถ่ใน Bitcoins เพื่อถอดรหัสไฟล์ ความงามของการโจมตีจากมุมมองของอาชญากรคือแทบไม่มีทางแก้ไขให้เหยื่อได้เมื่อการเข้ารหัสเกิดขึ้น ไม่มีแอนตี้ไวรัส ไม่มีความช่วยเหลือจากผู้เชี่ยวชาญทางเทคนิค ไม่มีตำรวจ และเสียงร้องไห้มากมายขนาดไหนที่จะกู้คืนไฟล์เหล่านั้นให้คุณได้ คุณต้องมีคีย์ถอดรหัสหรือบอกลาไฟล์ของคุณ

เมื่อมองลงมาที่ลำกล้องปืนที่ไม่ยอมให้อภัย เหยื่อที่มีชื่อเสียงหลายคนพบว่าพวกเขาไม่มีทางเลือกนอกจากต้องเสียค่าธรรมเนียม พวกเขาต้องการไฟล์เหล่านั้นเพื่อดำเนินการต่อในธุรกิจหรือเพื่อให้บริการแก่สังคม และพวกเขาไม่สามารถจ่ายค่าเสียหายได้เลย โรงพยาบาล หน่วยงานของรัฐ องค์กรการกุศล มหาวิทยาลัย ศาลปกครอง และสำนักงานหนังสือพิมพ์ เป็นเพียงตัวอย่างเล็กๆ น้อยๆ ของสถาบันสำคัญๆ ที่ยอมผ่อนปรนและจ่ายค่าไถ่

Ransomware มักจะแพร่กระจายใน ฟอร์ม ของโปรแกรมม้าโทรจัน โปรแกรมเหล่านี้เป็นโปรแกรมที่หลอกล่อให้คุณคิดว่าเป็นโปรแกรมปกติเมื่อคุณติดตั้ง แต่จริงๆ แล้วเป็นโปรแกรมที่ประสงค์ร้ายซึ่งจะเข้ารหัสไดรฟ์ของคุณ แรนซัมแวร์แต่ละชิ้นมีวิธีการติดเชื้อในเครื่องเป้าหมายที่แตกต่างกันไป และแต่ละแรนซัมแวร์จะใช้การทำให้งงงวยหลายระดับเพื่อหลีกเลี่ยงการตรวจจับ บล็อกนี้เป็นข้อมูลเจาะลึกจากหนึ่งในวิศวกรชั้นนำของ Comodo สู่การทำงานภายในของชิ้นส่วนดังกล่าว ransomware – วอนซิส

WONSYS Ransomware คืออะไร?

Wonsys เป็นมัลแวร์สายพันธุ์หนึ่งที่อาจสร้างความสับสนโดยซอฟต์แวร์เข้ารหัสลับ หรือรวมไว้ในไฟล์เช่น UPX, ASProtECT หรือ VMProtect โปรแกรมเรียกทำงานจริง winsys.exe ถูกฝังลึกในอีกโปรแกรมหนึ่งซึ่งดูเหมือนไร้เดียงสา ดังนั้นจึงเป็นหนึ่งในโทรจันที่เรากล่าวถึงก่อนหน้านี้ นี่เป็นวิธีการทั่วไปที่อาชญากรใช้เพื่อหลีกเลี่ยงการตรวจจับโดย โปรแกรมป้องกันไวรัส ผลิตภัณฑ์

มัลแวร์ปล่อยตัวเองลงสู่คอมพิวเตอร์เป้าหมายและทำงานโดยใช้ SHELL32 API, ShellExecuteW:

เมื่อผู้ใช้เรียกค่าไถ่ ransomware จะสร้างคีย์ "RunOnce" ในรีจิสทรี:

นอกจากนี้ยังนับไดรฟ์ทั้งหมดในเครื่องเป้าหมายเพื่อให้สามารถเข้ารหัสได้ทั้งหมด:

จากนั้น Wonsys จะสร้าง 'kill-list' ของกระบวนการที่ต้องปิดตัวลง โปรแกรมเหล่านี้เป็นโปรแกรมที่อาจป้องกันไม่ให้ Wonsys ติดไวรัสทั้งระบบได้ หากปล่อยทิ้งไว้ โดยเฉพาะคือโปรแกรมต่างๆ เช่น Word, PowerPoint, Notepad, Thunderbird ซึ่งสามารถ 'ล็อก' ไฟล์และป้องกันการเข้ารหัสได้ หลังจากปิดโปรแกรมเหล่านี้แล้ว Wonsys จะลบ Shadow Copy ของไฟล์ด้วย ดังนั้นผู้ใช้จึงไม่สามารถกู้คืนได้:

หน้าต่างพรอมต์คำสั่งเปิดผ่าน COMSPEC ในโฟลเดอร์ system32 พร้อมสิทธิ์ของผู้ดูแลระบบ:

ผู้โจมตียังรวบรวมวันที่ รูปแบบเวลา ชื่อระบบ และข้อมูลสถานที่โดยใช้ฟังก์ชัน API และปิงเว็บไซต์ iplogger.org เพื่อรวบรวมข้อมูลโดยละเอียดเกี่ยวกับเครื่อง

ตอนนี้ Wonsys มีข้อมูลทั้งหมดที่ต้องการแล้ว ภาพหน้าจอด้านล่างแสดงให้เห็นว่า 'dccdc' เป็นส่วนขยายที่จะเพิ่มให้กับชื่อไฟล์ทั้งหมดหลังการเข้ารหัส 'PC-Administrator' คือชื่อคอมพิวเตอร์ และไดรฟ์ 'C:' คือไดรฟ์ที่จะแพร่ระบาด:

ในที่สุด WONSYS ransomware ปลดปล่อย payload ของมัน เข้ารหัสไฟล์ทั้งหมดบนเครื่อง ไฟล์ทั้งหมดเหลือนามสกุล '.dccdc' แยกจากไฟล์เดียวที่ไม่มีการเข้ารหัสซึ่งผู้ใช้สามารถเปิดได้ – 'CLICK_HERE-dccdc.txt':

ไฟล์ .txt นี้เป็นวิธีที่ผู้โจมตีแจ้งเหยื่อว่าต้องทำอย่างไรต่อไป เครื่องที่ติดไวรัสแต่ละเครื่องจะได้รับ ID และรหัสส่วนตัวของตัวเอง บันทึกย่อบอกให้ผู้ใช้ไปที่หน้าเว็บที่ต้องการข้อมูลนี้เพื่อเข้าสู่บริการแชท:

บันทึกย่อพยายามสร้างความประทับใจว่าการแชทเป็นบริการที่เป็นมิตรโดยมีโอเปอเรเตอร์ที่ใจดีซึ่งจะช่วยพวกเขากู้คืนไฟล์ ในความเป็นจริง แชทเป็นที่ที่แฮ็กเกอร์เรียกร้องการชำระเงินเป็น Bitcoin มิฉะนั้น ไฟล์ของเหยื่อจะสูญหายไปตลอดกาล

แรนซัมแวร์โจมตี

เครื่องสแกนมัลแวร์เว็บไซต์

ซอฟต์แวร์ป้องกันแรนซัมแวร์

โพสต์ WONSYS – กายวิภาคของการโจมตีแรนซัมแวร์ ปรากฏตัวครั้งแรกเมื่อ ข่าวโคโมโดและข้อมูลความปลอดภัยทางอินเทอร์เน็ต.

• คอยน์สมาร์ท การแลกเปลี่ยน Bitcoin และ Crypto ที่ดีที่สุดในยุโรป
• เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าฟรี
• คริปโตฮอว์ก เรดาร์ Altcoin ทดลองฟรี.
• ที่มา: https://blog.comodo.com/comodo-news/wonsys-anatomy-of-a-ransomware-attack/