Thời gian đọc: 4 phútHiện nay, hầu hết mọi người đều biết đến ransomware, chắc chắn là những người thường xuyên đọc phần blog Comodo và các ấn phẩm tương tự. Đối với những người không, ransomware là một cuộc tấn công theo đó kẻ tấn công mã hóa tất cả các tệp trên máy tính hoặc máy chủ của nạn nhân, khiến chúng hoàn toàn không thể sử dụng được. Sau đó, kẻ tấn công yêu cầu một khoản phí, một khoản tiền chuộc thường bằng Bitcoin, để giải mã các tệp. Cái hay của cuộc tấn công theo quan điểm của tội phạm là hầu như không bao giờ có giải pháp cho nạn nhân một khi quá trình mã hóa đã diễn ra. Không có phần mềm chống vi-rút, không cần sự trợ giúp từ các chuyên gia kỹ thuật, không cần lực lượng cảnh sát và không bao giờ có thể khôi phục các tệp đó cho bạn. Bạn phải có khóa giải mã hoặc tạm biệt các tệp của mình.
Khi nhìn chằm chằm xuống nòng súng không khoan nhượng của khẩu súng này, nhiều nạn nhân hiểu rõ rằng họ không còn lựa chọn nào khác ngoài việc trả phí. Họ cần những tệp đó để tiếp tục kinh doanh hoặc cung cấp dịch vụ của họ cho xã hội, và họ không thể chịu được bất kỳ thời gian chết nào. Bệnh viện, cơ quan chính phủ, tổ chức từ thiện, trường đại học, tòa án thẩm phán và các tòa soạn báo chỉ là một vài ví dụ về các tổ chức lớn đã nhượng bộ và trả tiền chuộc.
Ransomware thường được phát tán trong hình thức của một chương trình ngựa thành Troy. Đây là những chương trình đánh lừa bạn nghĩ rằng chúng là một chương trình bình thường khi bạn cài đặt chúng nhưng thực sự là một tệp thực thi độc hại mã hóa ổ đĩa của bạn. Mỗi phần mềm ransomware có cách lây nhiễm độc nhất vào máy mục tiêu và mỗi phần mềm sử dụng một số cấp độ gây nhiễu để tránh bị phát hiện. Blog này là bài viết chuyên sâu của một trong những kỹ sư hàng đầu của Comodo về hoạt động bên trong của một phần như vậy ransomware - CHÚC MỪNG.
WONSYS Ransomware là gì?
Wonsys là một loại phần mềm độc hại được làm xáo trộn bằng phần mềm mã hóa hoặc được đóng gói thành một tệp như UPX, ASPROTECT hoặc VMPROTECT. Tập tin thực thi thực sự, wonsys.exe, được chôn sâu bên trong một chương trình khác, rõ ràng là vô tội, vì vậy nó là một trong những trojan mà chúng tôi đã đề cập trước đó. Đây là một phương pháp phổ biến được sử dụng bởi tội phạm để giúp nó tránh bị phát hiện bởi antivirus sản phẩm.
Phần mềm độc hại tự rơi vào máy tính mục tiêu và chạy bằng API SHELL32, ShellExecuteW:
Khi người dùng chạy ransomware, nó sẽ tạo khóa “RunOnce” trong sổ đăng ký:
Nó cũng đếm tất cả các ổ đĩa trên máy mục tiêu để nó có thể mã hóa tất cả:
Sau đó, Wonsys tạo một 'danh sách tiêu diệt' các quy trình mà nó cần phải tắt. Đây là những chương trình, nếu vẫn chạy, có khả năng ngăn Wonsys lây nhiễm vào toàn bộ hệ thống. Cụ thể, chúng là các chương trình như Word, PowerPoint, Notepad, Thunderbird có thể 'khóa' các tệp và do đó ngăn chặn mã hóa của chúng. Sau khi đóng chúng các chương trình này, Wonsys cũng xóa bản sao bóng của tệp để người dùng không thể khôi phục chúng:
Cửa sổ nhắc lệnh được mở thông qua COMSPEC trong thư mục system32 với đặc quyền của quản trị viên:
Kẻ tấn công cũng thu thập thông tin ngày, giờ, tên hệ thống và ngôn ngữ bằng cách sử dụng các hàm API và ping trang iplogger.org, do đó thu thập thông tin chi tiết về máy.
Wonsys hiện có tất cả thông tin cần thiết. Ảnh chụp màn hình bên dưới cho thấy 'dccdc' là phần mở rộng mà nó sẽ thêm vào tất cả các tên tệp sau khi mã hóa, 'PC-Administrator' là tên máy tính và ổ "C:" là ổ mà nó sẽ lây nhiễm:
Cuối cùng, WONSYS ransomware giải phóng tải trọng của nó, mã hóa tất cả các tệp trên máy. Tất cả các tệp còn lại với phần mở rộng '.dccdc' ngoài một tệp duy nhất, không được mã hóa mà người dùng có thể mở - 'CLICK_HERE-dccdc.txt':
Tệp .txt này là cách kẻ tấn công nói với nạn nhân phải làm gì tiếp theo. Mỗi máy bị nhiễm được cấp ID và khóa cá nhân riêng. Ghi chú cho người dùng truy cập một trang web nơi họ sẽ cần thông tin này để đăng nhập vào dịch vụ trò chuyện:
Ghi chú cố gắng tạo ấn tượng rằng cuộc trò chuyện là một dịch vụ thân thiện với người điều hành tử tế, người sẽ giúp họ khôi phục tệp của mình. Trên thực tế, cuộc trò chuyện là nơi hacker yêu cầu họ thanh toán bằng Bitcoin nếu không các tệp của nạn nhân sẽ bị mất vĩnh viễn.
Trình quét phần mềm độc hại trang web
Các bài viết WONSYS - Giải phẫu một cuộc tấn công bằng Ransomware xuất hiện đầu tiên trên Tin tức Comodo và Thông tin An ninh Internet.
- a
- Tất cả
- số lượng
- phân tích
- giải phẫu
- Một
- antivirus
- ngoài
- api
- Làm đẹp
- phía dưới
- Bitcoin
- Chặn
- Blog
- kinh doanh
- sự lựa chọn
- đóng cửa
- Thu
- Chung
- hoàn toàn
- máy tính
- tiếp tục
- có thể
- Tòa án
- tạo
- tạo ra
- Hình sự
- Khóc
- sâu
- nhu cầu
- chi tiết
- Phát hiện
- Giao diện
- xuống
- thời gian chết
- lái xe
- mỗi
- mã hóa
- Kỹ sư
- ví dụ
- các chuyên gia
- Tên
- mãi mãi
- định dạng
- từ
- chức năng
- Chính phủ
- của hacker
- giúp đỡ
- Ngựa
- bệnh viện
- Độ đáng tin của
- HTTPS
- Thông tin
- thông tin
- cài đặt, dựng lên
- tổ chức
- Internet
- Internet Security
- IT
- chính nó
- Key
- hàng đầu
- niveaux
- máy
- chính
- Làm
- phần mềm độc hại
- đề cập
- nhu cầu
- tin tức
- tiếp theo
- bình thường
- văn phòng
- mở
- nhà điều hành
- riêng
- đóng gói
- thanh toán
- Trả
- thanh toán
- người
- riêng
- mảnh
- Điểm
- Quan điểm
- Công an
- Quy trình
- Sản phẩm
- chương trình
- Khóa Học
- bảo vệ
- cho
- ấn phẩm
- Đòi tiền chuộc
- ransomware
- Tấn công Ransomware
- Thực tế
- Phục hồi
- chạy
- chạy
- an ninh
- dịch vụ
- DỊCH VỤ
- một số
- Bóng tối
- tương tự
- duy nhất
- website
- So
- Xã hội
- Phần mềm
- giải pháp
- đặc biệt
- lan tràn
- hệ thống
- Mục tiêu
- Kỹ thuật
- nói
- Sản phẩm
- Suy nghĩ
- Thông qua
- thời gian
- Trojan
- độc đáo
- Các trường Đại học
- thường
- nạn nhân
- Xem
- web
- Điều gì
- CHÚNG TÔI LÀ
- trên màn hình
