. Sự bùng phát Ransomware WannaCry và cách giải mã ~ Networking, Programming Blog, LOGISTICS JOBS

Sunday, May 14, 2017

Sự bùng phát Ransomware WannaCry và cách giải mã


on 12:23 AM


khác thậm chí còn lớn hơn đang làm cho tiêu đề. Thủ phạm? Một gia đình chuộc lại mới gọi là
WannaCry hoặc WCry. Phát hiện trước đó ngày hôm nay, WCry đã thu hút sự chú ý của đội vì
nó đã được lan truyền qua các nhà môi giới bóng tối NSA gần đây khai thác. Công ty WCry
đã gây bất ngờ cho nhiều doanh nghiệp và các tổ chức công cộng, bao gồm cả Telefonica ở
Tây Ban Nha và Dịch vụ Y tế Quốc gia ở Anh, và đã nhiễm hàng chục nghìn hệ thống trên toàn cầu.
Nhà nghiên cứu an ninh MalwareTech tạo bản đồ về nhiễm trùng tổng thể  bản đồ thời gian
thực các bệnh nhiễm trùng để hình dung số ca nhiễm WCry, mà đã vượt qua mốc 70.000 nhiễm.

Gặp gỡ WCry Ransomware

Các ransomware WCry, còn được gọi là WNCry, WannaCry, WanaCrypt0r hoặc
Wana Decrypt0r, ban đầu được phát hiện trong các chiến dịch vào đầu tháng 2 năm 2017,
với nhiều chiến dịch tiếp theo vào tháng ba. Nhưng cho tới giờ vẫn chưa có một cuộc
tấn công toàn cầu nào được đăng ký.
Nó đã được viết bằng C + + và không có nỗ lực đã được thực hiện để ẩn phần lớn các mã. 
Giống như hầu hết các gia đình ransomware, WCry đổi tên các tập tin mà nó mã hóa,
 thêm phần mở rộng .WCRY.
Khi lây nhiễm vào một hệ thống, nó trình bày một màn hình đòi hỏi tiền chuộc đòi hỏi
phải trả 300.000 đồng giá trị bitcoins:
















Không giống như hầu hết các chiến dịch ransomware, thường nhắm đến các khu vực cụ thể,
WCry đang nhắm đến các hệ thống trên toàn cầu. Vì vậy, không có gì ngạc nhiên khi các
tác giả ransomware cung cấp tin nhắn ransomware được bản địa hoá cho hơn 20 ngôn ngữ:
Tiếng Bungari, Tiếng Trung Quốc (giản thể), tiếng Trung (truyền thống), tiếng Croatia, tiếng Séc, tiếng Đan Mạch, tiếng Hà Lan, tiếng Anh, tiếng Philipin, tiếng Phần Lan, tiếng Pháp, tiếng Đức, tiếng Hy Lạp, tiếng Indonesia, tiếng Ba Lan, tiếng Bồ Đào Nha, tiếng Rumani, Tiếng Nga, tiếng Slovak, tiếng Tây Ban Nha, tiếng Thụy Điển, tiếng Thổ Nhĩ Kỳ, tiếng Việt

Làm thế nào để bạn bị lây nhiễm WCry ransomware?

Hiện tại, WCry chủ yếu lây lan thông qua các khai thác lỗ hổng của NSA mà nhóm Shadow
Brokers phát hành gần đây. Cụ thể hơn, nhà nghiên cứu Pháp Kaffine là người đầu tiên
nghi ngờ rằng WCry đã được lan truyền thông qua việc khai thác ETERNALBLUE.
ETERNALBLUE lợi dụng lỗ hổng trong giao thức Microsoft SMBv1, cho phép kẻ tấn công
kiểm soát các hệ thống:
  • Có thể bật giao thức SMBv1
  • Có thể truy cập được từ internet
  • Đã không được vá bởi MS17-010 sửa chữa phát hành trở lại vào tháng 3 năm 2017
Ngoài ra, dường như các tác giả phần mềm độc hại cũng lợi dụng DOUBLESPEAR,
một cửa sau thường được cài đặt thông qua khai thác ETERNALBLUE và kiên trì trên hệ thống. 
Vì vậy, nếu hệ thống của bạn bị ETERNALBLUE xâm nhập trước đây, rất có thể hệ thống của
bạn vẫn còn dễ bị tổn thương, ngay cả khi lỗ hổng SMBv1 ban đầu được vá.
Bản thực thi ransomware có thể được mô tả tốt nhất như là một cái giọt có chứa tất cả các
thành phần ransomware khác nhau dưới dạng tệp lưu trữ ZIP được bảo vệ bằng mật khẩu
trong tệp của nó. Khi chạy, nó sẽ bắt đầu giải nén các thành phần của nó vào thư mục
nó đã được thực hiện bằng cách sử dụng mật khẩu hardcoded "WNcry@2ol7". 
Kiểm tra chặt chẽ hơn kho lưu trữ ZIP cho thấy các tệp sau:
  • B.wnry - Ransom hình nền máy tính để bàn
  • C.wnry - Cấu hình tập tin chứa địa chỉ máy chủ C2, BitCoin Wallet vv
  • R.wnry - Ransom note
  • S.wnry - Lưu trữ ZIP chứa khách hàng TOR
  • T.wnry - Phần mã hóa của ransomware được mã hóa sử dụng định dạng WanaCry cụ thể; Có thể được giải mã bằng cách sử dụng khóa riêng nhúng bên trong các ransomware thực thi.
  • U.wnry - Decrypter thực thi
  • Taskdl.exe - Xoá tất cả các tệp tin tạm được tạo ra trong quá trình mã hóa (.WNCRYT)
  • Taskse.exe - Chạy chương trình được đưa ra trong tất cả các phiên người dùng
  • Msg \ * - Các tệp tin ngôn ngữ (hiện có 28 ngôn ngữ khác nhau)
Ngoài ra các ransomware tạo ra một vài tác phẩm bổ sung trong quá trình thực hiện của nó:
  • 00000000.eky - Khóa mã hóa cho tệp t.wnry chứa các thành phần mã hóa thực tế được sử dụng bởi ransomware. Nó được mã hóa bằng khóa công khai thuộc về một khóa riêng được nhúng bên trong ransomware.
  • 00000000.pky - Khóa công khai được sử dụng bởi ransomware để mã hóa các phím AES được tạo ra được sử dụng để mã hóa các tệp của người dùng
  • 00000000.res - Kết quả truyền thông C2
Một danh sách tất cả các thay đổi được thực hiện bởi ransomware đến một hệ thống bị nhiễm bệnh,
 có thể được tìm thấy trong phần "Indicators of Compromise" bên dưới.

WCry thế hệ chìa khóa và mã hóa

WCS ransomware sử dụng kết hợp RSA và AES-128-CBC để mã hóa dữ liệu của nạn nhân. 
Để tạo điều kiện thuận lợi cho quá trình này, sử dụng Windows CryptoAPI cho RSA, nhưng
thực hiện tùy chỉnh cho mã hóa AES.
Thật thú vị, thói quen mã hóa được lưu trữ trong một thành phần riêng trong tập tin t.wnry 
và được mã hóa bằng cách sử dụng cùng một phương pháp được sử dụng bởi ransomware
để mã hóa các tệp người dùng. Điều này có thể thực hiện để làm cho phân tích phần mềm
độc hại khó khăn hơn. Mô-đun được nạp vào bộ nhớ sử dụng trình nạp tùy chỉnh và được
thực thi từ đó, mà không cần phải ghi vào đĩa của nạn nhân mà không được mã hóa.
Khi WCry đến trên một hệ thống, đầu tiên nó sẽ nhập khẩu một khóa RSA tư nhân được
mã hóa cứng được sử dụng để giải mã thành phần mã hóa tập tin được lưu trữ trong "t.wnry". 
Sau khi hoàn thành, ransomware sẽ tạo ra một khóa RSA tư nhân mới. Khóa RSA đó sau đó
được gửi tới máy chủ điều khiển và lệnh của phần mềm độc hại và một bản sao của khoá
công khai được lưu trữ trên hệ thống.
Các ransomware sau đó tìm kiếm tất cả các ổ đĩa có sẵn và chia sẻ mạng cho các tập tin với
một trong những phần mở rộng sau đây:
.torrent, .pfx, .key, .crt, .sr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots , .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6,. Asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .bb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cs, .cpp, .pas, .asm, .js, .cmd, .bat, .ps1, .vbs, .vb, .pl, .dip, .dch, .sch, .brd, .jsp, .php , .asp, .rb, .java, .jar, .class, .sh, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi,. Mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .ai, .psd, .nf, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .7z, .gz, .tgz, .tar, .bak , .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt,. Onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf,.Csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb , .docx, .doc, .c, .h
Sau khi hoàn tất, phần mềm độc hại sẽ tạo ra một khóa AES 128 bit mới cho mọi tệp mà nó
 tìm thấy, được mã hóa bằng khóa RSA công khai được tạo ra trước đó và khoá AES được mã
hóa RSA được lưu trữ trong phần đầu của tệp được mã hóa cùng với tệp Đánh dấu "WANACRY!".
 Khóa AES sau đó được sử dụng để mã hóa nội dung của tệp.
Thật không may, sau khi đánh giá cách WCry thực hiện mã hóa của nó, không có cách nào để
khôi phục lại các tập tin mã hóa mà không cần truy cập vào khóa riêng được tạo ra bởi
ransomware. Vì vậy, nó không có khả năng miễn phí WCry ransomware decrypter sẽ có
sẵn cho các nạn nhân.

Làm thế nào tôi có thể bảo vệ mình khỏi WCry?

Như đã giải thích trong bài báo ransomware của chúng tôi , việc bảo vệ tốt nhất vẫn là
một chiến lược sao lưu đáng tin cậy và đáng tin cậy, đặc biệt là kể từ khi mã hóa được
sử dụng bởi WCry ransomware được an toàn. Cách duy nhất để có được dữ liệu trở lại là
thông qua sự giúp đỡ của tác giả ransomware hoặc thông qua khôi phục lại từ bản sao lưu.
 Đảm bảo cài đặt các bản cập nhật cửa sổ quan trọng cũng là một bước rất quan trọng trong
việc bảo vệ hệ thống, như WCry dường như chỉ lây lan thông qua việc khai thác SMBv1
 hiện đã được vá cho đã 2 tháng.
Ngoài các bản sao lưu thường xuyên, bạn sẽ rất vui khi biết rằng công nghệ Behavior
Blocker được sử dụng bởi Emsisoft Anti-Malware  Emsisoft Internet Security đã chứng
tỏ là biện pháp phòng vệ tốt nhất tiếp theo vì nó đã bắt gặp ransomware trước khi tệp
có thể thực hiện và do đó một lần nữa Giữ cho người dùng của chúng tôi được bảo vệ
khỏi điều này và hàng trăm gia đình ransomware khác mà không cần chữ ký.

Emsisoft Anti-Malware và Emsisoft Internet Security được bảo vệ khỏi WCry bởi Block Behavior Blocker
Chúng tôi coi ransomware là một trong những mối đe dọa lớn nhất trong năm qua và
có kế hoạch làm tốt nhất để tiếp tục thành tích xuất sắc trong năm tới để giữ cho người
dùng được bảo vệ tốt nhất có thể.
Nó có vẻ là một câu đố không thể, nhưng thật dễ dàng để giải quyết các thuật toán sử
dụng Rubik 'Cube .
CTA_ransomware_EAM_Tải xuống

Các chỉ tiêu về sự thỏa hiệp

Registry:

  • HKLM\SOFTWARE\WanaCrypt0r
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\<random>: “”<ransomware directory>\tasksche.exe””
  • HKLM\SOFTWARE\WanaCrypt0r\wd: “<ransomware directory>”
  • HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “%APPDATA%\Microsoft\Windows\Themes\TranscodedWallpaper.jpg”
  • HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “<ransomware directory>\@WanaDecryptor@.bmp”

Hệ thống tập tin:

  • @Please_Read_Me@.txt – Placed inside every folder that contains encrypted files
  • @WanaDecryptor@.exe.lnk – Placed inside every folder that contains encrypted files
  • %DESKTOP%\@WanaDecryptor@.bmp
  • %DESKTOP%\@WanaDecryptor@.exe
  • %APPDATA%\tor\cached-certs
  • %APPDATA%\tor\cached-microdesc-consensus
  • %APPDATA%\tor\cached-microdescs.new
  • %APPDATA%\tor\lock
  • %APPDATA%\tor\state
  • <ransomware directory>\00000000.eky
  • <ransomware directory>\00000000.pky
  • <ransomware directory>\00000000.res
  • <ransomware directory>\@WanaDecryptor@.bmp
  • <ransomware directory>\@WanaDecryptor@.exe
  • <ransomware directory>\b.wnry
  • <ransomware directory>\c.wnry
  • <ransomware directory>\f.wnry
  • <ransomware directory>\msg\m_bulgarian.wnry
  • <ransomware directory>\msg\m_chinese (simplified).wnry
  • <ransomware directory>\msg\m_chinese (traditional).wnry
  • <ransomware directory>\msg\m_croatian.wnry
  • <ransomware directory>\msg\m_czech.wnry
  • <ransomware directory>\msg\m_danish.wnry
  • <ransomware directory>\msg\m_dutch.wnry
  • <ransomware directory>\msg\m_english.wnry
  • <ransomware directory>\msg\m_filipino.wnry
  • <ransomware directory>\msg\m_finnish.wnry
  • <ransomware directory>\msg\m_french.wnry
  • <ransomware directory>\msg\m_german.wnry
  • <ransomware directory>\msg\m_greek.wnry
  • <ransomware directory>\msg\m_indonesian.wnry
  • <ransomware directory>\msg\m_italian.wnry
  • <ransomware directory>\msg\m_japanese.wnry
  • <ransomware directory>\msg\m_korean.wnry
  • <ransomware directory>\msg\m_latvian.wnry
  • <ransomware directory>\msg\m_norwegian.wnry
  • <ransomware directory>\msg\m_polish.wnry
  • <ransomware directory>\msg\m_portuguese.wnry
  • <ransomware directory>\msg\m_romanian.wnry
  • <ransomware directory>\msg\m_russian.wnry
  • <ransomware directory>\msg\m_slovak.wnry
  • <ransomware directory>\msg\m_spanish.wnry
  • <ransomware directory>\msg\m_swedish.wnry
  • <ransomware directory>\msg\m_turkish.wnry
  • <ransomware directory>\msg\m_vietnamese.wnry
  • <ransomware directory>\r.wnry
  • <ransomware directory>\s.wnry
  • <ransomware directory>\t.wnry
  • <ransomware directory>\TaskData\Tor\libeay32.dll
  • <ransomware directory>\TaskData\Tor\libevent-2-0-5.dll
  • <ransomware directory>\TaskData\Tor\libevent_core-2-0-5.dll
  • <ransomware directory>\TaskData\Tor\libevent_extra-2-0-5.dll
  • <ransomware directory>\TaskData\Tor\libgcc_s_sjlj-1.dll
  • <ransomware directory>\TaskData\Tor\libssp-0.dll
  • <ransomware directory>\TaskData\Tor\ssleay32.dll
  • <ransomware directory>\TaskData\Tor\taskhsvc.exe
  • <ransomware directory>\TaskData\Tor\tor.exe
  • <ransomware directory>\TaskData\Tor\zlib1.dll
  • <ransomware directory>\taskdl.exe
  • <ransomware directory>\taskse.exe
  • <ransomware directory>\u.wnry
  • C:\@WanaDecryptor@.exe

Thuốc giải / DECRYPTION TOOLS : click here

 tag:
Giải mã dữ liệu bị khóa bởi Ransomware, giải mã ransomware, mật khẩu giải mã ransomeware

0 comments:

Post a Comment